Поставщики услуг виртуальной частной сети (VPN) выражают обеспокоенность в связи с распоряжением правительства, в соответствии с которым оно обязало их хранить пользовательские данные не менее пяти лет и при необходимости передавать записи властям. Некоторые из крупных VPN-компаний, включая NordVPN, намерены покинуть страну, если правительство не предоставит им возможность обслуживать своих клиентов частным образом. В то же время группы правовой защиты предлагают правительству отменить требования, нарушающие конфиденциальность пользователей.
Приказ, который был принят агентством CERT-In Министерства электроники и информационных технологий на прошлой неделе и вступает в силу с 28 июня, предписывает поставщикам услуг VPN сохранять данные, включая проверенные имена, идентификаторы электронной почты и IP-адреса своих пользователей в течение пяти лет или дольше «в соответствии с требованиями закон» даже после отмены или отзыва их регистрации.
В нем также говорится, что «все поставщики услуг» должны «в обязательном порядке включать журналы» своих систем и надежно поддерживать их в течение скользящего периода в 180 дней, и «то же самое должно поддерживаться в пределах индийской юрисдикции». Директива ограничивает поставщиков услуг в предоставлении журналов CERT-In по заказу или указанию агентства.
Согласно приказу, он направлен на то, чтобы помочь ограничить киберпреступность и инциденты в области кибербезопасности в стране. Непредоставление информации или несоблюдение указаний может привести к «карательным мерам» в соответствии с подразделом (7) раздела 70B Закона об информационных технологиях 2000 года и другими применимыми законами, заявило правительственное агентство.
Однако поставщики услуг VPN — в качестве своей модели по умолчанию — предлагают первостепенную конфиденциальность пользователей для привлечения клиентов.
«Surfshark придерживается строгой политики отсутствия логов, что означает, что мы не собираем и не передаем данные о посещении наших клиентов или какую-либо информацию об использовании», — сказал Гитис Малинаускас, глава юридического отдела Surfshark, в заявлении для Gadgets 360. «Более того, мы работаем только с серверами, использующими только оперативную память, которые автоматически перезаписывают данные, связанные с пользователем. Таким образом, на данный момент, даже технически, мы не смогли бы выполнить требования к ведению журнала».
Малинаускас добавил, сказав, что Surfshark все еще изучает новые правила и их последствия, но не планирует идти на компромисс с конфиденциальностью пользователей и стремится продолжать предоставлять услуги без регистрации всем своим пользователям.
Как и Surfshark, Nord Security — материнская компания NordVPN — в настоящее время расследует приказ, принятый CERT-In неожиданным шагом.
Лаура Тирилайт, руководитель отдела по связям с общественностью Nord Security, рассказала Gadgets 360, что компания изучает наилучший план действий и в настоящее время работает в обычном режиме, поскольку до вступления приказа в силу осталось «по крайней мере два месяца».
«Мы стремимся защищать конфиденциальность наших клиентов, поэтому мы можем удалить наши серверы из Индии, если не останется других вариантов», — сказал Тирилайт.
Индия является одним из крупнейших рынков для VPN, учитывая растущую интернет—цензуру в стране, которая реализуется с использованием различных технологических методологий, включая ограничения DNS и блокировку TCP /IP. Во многих случаях пользователи сообщали об определенных ограничениях, которые ограничены некоторыми интернет-провайдерами (интернет-провайдерами), которые можно преодолеть с помощью службы VPN. Карантин 2020 года в стране также привел к значительному росту VPN-сервисов, включая ExpressVPN.
Согласно отчету британского веб-сайта VPN review Top10VPN.com Индия является вторым по величине рынком VPN в мире, и по состоянию на 2020 год до 45 процентов ее общей базы пользователей Интернета полагаются на VPN.
«Несмотря на то, что в Индии огромное количество пользователей VPN, лишь немногие провайдеры VPN имеют прямое физическое присутствие в стране, что затруднит властям применение нового законодательства», — сказал Саймон Мильяно, руководитель отдела исследований в Top10VPN.com .
Поставщики услуг, такие как NordVPN, действительно имеют свои серверы в Индии, согласно подробной информации, доступной на сайте VPN-компании со штаб-квартирой в Панаме.
Но, тем не менее, Мильяно сказал, что это мало повлияет на клиентов, поскольку они могут просто подключиться к VPN-сервису, базирующемуся в другой стране.
«В целом, представляется крайне маловероятным, что какой-либо законный поставщик VPN будет соблюдать законодательство о сертификации, поскольку его не только трудно обеспечить, но и противоречит всему, за что они выступают», — сказал исследователь.
Приказ также предписывает поставщикам услуг, центрам обработки данных и организациям сообщать о кибератаках в течение шести часов с момента их уведомления в CERT-In. Это было расценено как позитивный шаг юридическими правозащитными группами, в том числе SFLC.in — учитывая тот факт, что в стране наблюдается ряд случаев кибербезопасности.
Однако Миши Чоудхари, юрист в области технологий и основатель SFLC.in , заявил, что требования к регистрации пользователей VPN и привязке идентификации к IP-адресам вызывают серьезные опасения по поводу конфиденциальности и должны быть удалены.
«CERT-In не может лишить права использовать определенные инструменты в облачении кибербезопасности», — сказала она Gadgets 360.
Прасант Сугатан, директор по правовым вопросам в SFLC.in , заявил, что сбор чрезмерных данных о потребителях противоречит политике большинства провайдеров VPN и может привести к тому, что некоторые из них покинут страну вместо того, чтобы соблюдать «громоздкие положения», приведенные в приказе.
Эксперты по правовым вопросам считают директиву двусмысленной, поскольку в ней четко не детализированы последствия для поставщиков услуг.
«Эти указания были даны без каких-либо консультаций с общественностью», — сказал Пратик Вагре, директор по политике Фонда свободы Интернета (IFF).
Он добавил, что приказ не дает никакой ясности в отношении того, что означают правила для поставщиков услуг VPN и их операций в Индии.
«Также неясно, будут ли поставщики услуг VPN, которые не используют индийский IP-адрес, по-прежнему нести ответственность в соответствии с положениями директивы», — сказал он, добавив, что разработка, безусловно, добавит уровень беспокойства, если у кого-либо из этих поставщиков услуг есть сотрудники в стране.
- Индия просит Криптофирмы сохранять данные в течение 5 лет, Эксперты опасаются краха Корпорации
- Microsoft Edge Вскоре Может получить встроенную Службу VPN, Сообщается в Сообщении Службы Поддержки
- Кризис на Украине: Борьба за сохранение бесплатного Интернета в России
В недавнем прошлом законодатели предлагали ввести ограничения, касающиеся VPN-сервисов. Операторы связи, включая Reliance Jio, также были замечены в ограничении доступа к некоторым VPN-сервисам. Тем не менее, число пользователей VPN в стране до сих пор продолжает расти.