I april 2022 introducerade Indian Computer Emergency Response Team (CERT-In) riktlinjer för cybersäkerhet i ett försök att motverka cyberattacker och stärka onlinesäkerheten. De nya reglerna skulle kräva att VPN-tjänster och andra molntjänstleverantörer underhåller all kunddata och IKT-transaktioner i fem år.
VPN-industrin har fördömt de nya direktiven och sagt att sådana stränga lagar går emot det grundläggande syftet och policyn för virtuella privata nätverk. Flera VPN-leverantörer har tagit bort sina fysiska indiska servrar.
Vilka är dessa nya regler? Och finns det en lösning?
Vad betyder de nya integritetsreglerna för VPN-leverantörer?
Enligt de nya anvisningarna är tjänsteleverantörer skyldiga att föra ett register över kundernas information i fem år eller längre och överlämna dem till regeringen på begäran.
Reglerna gäller konsument-VPN; företags- eller företags-VPN: er faller inte i denna kategori.
De nya reglerna, när de väl implementerats, skulle innebära att alla konsument-VPN med fysiska servrar i Indien skulle tvingas lagra kunders register, inklusive:
- Fullständigt namn och adress.
- Telefonnummer.
- E-postadress.
- Faktisk IP-adress.
- Ny IP-adress (utfärdad av VPN).
- Tidsstämpel för registrering.
- Ägarmönster för kunder.
- Syftet med att använda VPN.
VPN-tjänster krävs också för att upprätthålla register över användare även efter att de har avbrutit tjänsten. Dessa regler bryter inte bara mot användarnas integritet; de är också inkompatibla med hur de flesta VPN fungerar. Förutom strikta policyer utan loggar, gör hårdvarukonfigurationen det omöjligt för vissa VPN-leverantörer att registrera data.
ExpressVPN, PIA och Surfshark, till exempel, driver RAM-baserade servrar som använder flyktiga RAM-moduler istället för traditionella hårddiskar. När strömmen tas bort från servrarna försvinner all data.
De nya reglerna förväntades initialt träda i kraft inom 60 dagar efter det att de tillkännagavs, det vill säga den 27 juli. Men enligt en uppdatering från CERT-In har tidsfristen förlängts med tre månader till den 25 september 2022.
Utvidgningen kommer att ge molntjänstleverantörer och små och medelstora företag den tid som krävs för att bygga upp kapaciteten för att implementera nya riktningar. Att inte uppfylla dessa kan leda till fängelse eller andra straffåtgärder.
Hur reagerade cybersäkerhetsindustrin på Indiens integritetsregler?
Internet Freedom Foundation (IFF) utfärdade ett uttalande som kallar denna lag en kränkning av användarnas integritet och informationssäkerhet.
VPN-tjänsteleverantörer, i synnerhet, är i vapen mot riktlinjerna eftersom de går emot de grundläggande principerna för VPN: er, som är att hålla användarnas aktivitet privat.
ExpressVPN var först med att flytta sina servrar från Indien. Den beskrev reglerna som "bred" och "övergripande" och hävdade att det potentiella missbruket av en sådan lag vida överväger fördelarna.
Surfshark följde snart efter och meddelade att de skulle stänga ner sina indiska servrar. I ett blogginlägg, sa företaget,
"Surfshark arbetar stolt under en strikt "inga loggar"-policy, så sådana nya krav strider mot företagets kärnatik."
NordVPN bekräftade också att det avslutar indiska servrar som svar på landets cybersäkerhetsdirektiv.
Flera andra VPN-tjänsteleverantörer överväger samma väg om integritetslagen implementeras i sin nuvarande form, inklusive:
- Proton VPN.
- CyberGhost.
- Göm mig.
- Ren VPN.
- Privado.
Trots detta erbjuder vissa VPN: er fortfarande ett sätt att få en indisk IP-adress med hjälp av virtuella servrar.
Är virtuella servrar säkra att använda?
Om du är en integritetsmedveten användare och behöver avblockera indiskt innehåll, finns det en lösning i form av virtuella servrar. Det är inte idealiskt, men är fortfarande det näst bästa alternativet.
En virtuell server är en mjukvarubaserad representation av en dedikerad fysisk server. Den återskapar funktionaliteten men saknar det underliggande maskineriet hos en fysisk server. Nätverksadministratörer använder virtualiseringsprogram för att dela upp en fysisk server i flera virtuella servrar.
VPN som Surfshark och ExpressVPN använder virtuella servrar för att hjälpa användare att avblockera indiskt innehåll. Dessa servrar är fysiskt placerade i Storbritannien och Singapore men använder en rad indiska IP-adresser som får det att se ut som om du surfar på webben från Indien.
Eftersom virtuella servrar inte är fysiskt placerade i Indien, gäller de nya lagarna för datalagring inte för dem. Du kan fortfarande njuta av den normala policyn för inga loggar – med några mindre nackdelar. Dessa inkluderar resurshögg och lågpresterande problem. Detta händer vanligtvis när en enda fysisk maskin är värd för flera virtuella servrar, av vilka några kan börja överanvända resurser.
Den andra nackdelen hänför sig till deras tillgänglighet. Inte alla VPN-tjänster erbjuder virtuella servrar; de som gör det lider vanligtvis av fördröjningar och långsamma anslutningshastigheter. Du kan dock se högre hastigheter om du ansluter från ett land där det finns.
Vad betyder detta för VPN-användare?
När de främsta VPN-företagen avslutar sina servrar i Indien är användarna oroliga över hur de kommer att använda VPN-tjänster. Många VPN har börjat tillhandahålla virtuella servrar för att tillgodose deras behov.
För närvarande känner vi inte till några VPN-företag som har gått med på lagarna om datalagring. Men om du använder en VPN och ser en indisk server i listan över länder, är det värt att kolla med företaget för din egen integritet.