I april 2022 introduserte Indian Computer Emergency Response Team (CERT-In) retningslinjer for cybersikkerhet i et forsøk på å motvirke cyberangrep og styrke nettsikkerheten. De nye reglene vil kreve at VPN-tjenester og andre skytjenesteleverandører opprettholder alle kundedata og IKT-transaksjoner i fem år.

VPN-industrien har fordømt de nye direktivene og sagt at slike strenge lover strider mot det grunnleggende formålet og policyen til virtuelle private nettverk. Flere VPN-leverandører har fjernet sine fysiske indiske servere.

Hva er disse nye reglene? Og finnes det en løsning?

Hva betyr de nye personvernreglene for VPN-leverandører?

I henhold til de nye retningslinjene er tjenesteleverandører pålagt å holde oversikt over kundenes informasjon i fem år eller lenger og overlevere den til myndighetene på forespørsel.

Reglene gjelder for forbruker-VPN-er; bedrifts- eller bedrifts-VPN-er faller ikke inn i denne kategorien.

De nye forskriftene, når de er implementert, vil bety at enhver forbruker-VPN med fysiske servere i India vil bli tvunget til å lagre kundenes poster, inkludert:

instagram viewer
  • Fullt navn og adresse.
  • Telefonnummer.
  • Epostadresse.
  • Faktisk IP-adresse.
  • Ny IP-adresse (utstedt av VPN).
  • Tidsstempel for registrering.
  • Eiermønster av kunder.
  • Formålet med å bruke VPN.

VPN-tjenester er også pålagt å holde oversikt over brukere selv etter at de har kansellert tjenesten. Ikke bare er disse reglene i strid med brukernes personvern; de er også inkompatible med måten de fleste VPN-er fungerer på. Bortsett fra strenge retningslinjer for ingen logger, gjør maskinvarekonfigurasjonen det umulig for enkelte VPN-leverandører å registrere data.

ExpressVPN, PIA og Surfshark, for eksempel, driver RAM-baserte servere som bruker flyktige RAM-moduler i stedet for tradisjonelle harddisker. Når strømmen er fjernet fra serverne, går alle data tapt.

De nye reglene var opprinnelig forventet å tre i kraft innen 60 dager etter at de ble kunngjort, det vil si 27. juli. Men ifølge en oppdatering fra CERT-In er fristen forlenget med tre måneder til 25. september 2022.

Utvidelsen vil gi skytjenesteleverandører og SMB-er den tiden som kreves for å bygge kapasiteten for å implementere nye retninger. Unnlatelse av å oppfylle disse kan føre til fengsel eller andre straffehandlinger.

Hvordan reagerte cybersikkerhetsindustrien på Indias personvernregler?

Internet Freedom Foundation (IFF) ga ut en uttalelse som kaller denne loven et brudd på brukernes personvern og informasjonssikkerhet.

Spesielt VPN-tjenesteleverandører er opp i armene mot retningslinjene da de går i strid med de grunnleggende prinsippene til VPN, som er å holde brukernes aktivitet privat.

ExpressVPN var den første som flyttet serverne sine ut av India. Den beskrev reglene som «vide» og «overstrekkende» og fastholdt at den potensielle misbruken av en slik lov langt oppveier fordelene.

Surfshark fulgte snart etter og kunngjorde å stenge sine indiske servere. I et blogginnlegg, sa selskapet,

"Surfshark opererer stolt under en streng "ingen logger"-policy, så slike nye krav strider mot kjerneetosen til selskapet."

NordVPN bekreftet også at de avslutter indiske servere som svar på landets cybersikkerhetsdirektiv.

Flere andre VPN-tjenesteleverandører vurderer samme rute hvis personvernloven implementeres i sin nåværende form, inkludert:

  • Proton VPN.
  • CyberGhost.
  • Gjem meg.
  • Ren VPN.
  • Privado.

Til tross for dette tilbyr noen VPN-er fortsatt en måte å få en indisk IP-adresse ved hjelp av virtuelle servere.

Er virtuelle servere trygge å bruke?

Hvis du er en personvernbevisst bruker og trenger å fjerne blokkeringen av indisk innhold, finnes det en løsning i form av virtuelle servere. Det er ikke ideelt, men er fortsatt det nest beste alternativet.

En virtuell server er en programvarebasert representasjon av en dedikert fysisk server. Den gjenskaper funksjonaliteten, men mangler det underliggende maskineriet til en fysisk server. Nettverksadministratorer bruker virtualiseringsprogramvare for å dele en fysisk server i flere virtuelle servere.

VPN-er som Surfshark og ExpressVPN bruker virtuelle servere for å hjelpe brukere med å oppheve blokkering av indisk innhold. Disse serverne er fysisk plassert i Storbritannia og Singapore, men bruker en rekke indiske IP-adresser som får det til å se ut som om du surfer på nettet fra India.

Siden virtuelle servere ikke er fysisk plassert i India, gjelder ikke de nye datalagringslovene for dem. Du nyter fortsatt den vanlige policyen for ingen logger – med noen mindre ulemper. Disse inkluderer ressurshogging og problemer med lav ytelse. Dette skjer vanligvis når en enkelt fysisk maskin er vert for flere virtuelle servere, hvorav noen kan begynne å overbruke ressurser.

Den andre ulempen er deres tilgjengelighet. Ikke alle VPN-tjenester tilbyr virtuelle servere; de som gjør det, lider vanligvis av etterslep og lave tilkoblingshastigheter. Du kan imidlertid se høyere hastigheter hvis du kobler til fra et land det befinner seg.

Hva betyr dette for VPN-brukere?

Når topp VPN-selskaper avslutter serverne sine i India, er brukere bekymret for hvordan de vil bruke VPN-tjenester. Mange VPN-er har begynt å tilby virtuelle servere for å imøtekomme deres behov.

Foreløpig er vi ikke kjent med noen VPN-selskaper som har godtatt lovene om oppbevaring av data. Men hvis du bruker en VPN og ser en indisk server i listen over land, er det verdt å sjekke med selskapet for ditt eget personvern.