In april 2022 heeft het Indian Computer Emergency Response Team (CERT-In) cyberbeveiligingsrichtlijnen geïntroduceerd in een poging om cyberaanvallen tegen te gaan en de online beveiliging te versterken. De nieuwe regels zouden VPN-services en andere cloudserviceproviders verplichten om alle klantgegevens en ICT-transacties vijf jaar te bewaren.
De VPN-industrie heeft de nieuwe richtlijnen aan de kaak gesteld en zegt dat dergelijke strenge wetten indruisen tegen het basisdoel en het beleid van Virtual Private Networks. Verschillende VPN-providers hebben hun fysieke Indiase servers verwijderd.
Wat zijn deze nieuwe regels? En is er een oplossing?
Wat betekenen de nieuwe privacyregels voor VPN-providers?
Onder de nieuwe richtlijnen zijn dienstverleners verplicht om klantgegevens vijf jaar of langer bij te houden en op verzoek aan de overheid te overhandigen.
De regels van toepassing op consumenten-VPN's; zakelijke of zakelijke VPN's vallen niet in deze categorie.
De nieuwe regelgeving, eenmaal geïmplementeerd, zou betekenen dat elke consumenten-VPN met fysieke servers in India gedwongen zou worden om de gegevens van klanten op te slaan, waaronder:
- Volledige naam en adres.
- Telefoonnummer.
- E-mailadres.
- Werkelijk IP-adres.
- Nieuw IP-adres (uitgegeven door de VPN).
- Tijdstempel van registratie.
- Eigendomspatroon van klanten.
- Doel van het gebruik van de VPN.
VPN-services zijn ook verplicht om gegevens van gebruikers bij te houden, zelfs nadat ze de service hebben geannuleerd. Deze regels zijn niet alleen in strijd met de privacy van gebruikers; ze zijn ook niet compatibel met de manier waarop de meeste VPN's werken. Los van de strikt beleid zonder logboeken, maakt de hardwareconfiguratie het voor sommige VPN-providers onmogelijk om gegevens vast te leggen.
ExpressVPN, PIA en Surfshark gebruiken bijvoorbeeld op RAM gebaseerde servers die vluchtige RAM-modules gebruiken in plaats van traditionele harde schijven. Zodra de stroom naar de servers wordt verwijderd, gaan alle gegevens verloren.
Aanvankelijk werd verwacht dat de nieuwe regels binnen 60 dagen na bekendmaking, dus op 27 juli, in werking zouden treden. Maar volgens een update van CERT-In is de deadline met drie maanden verlengd tot 25 september 2022.
De uitbreiding zal cloudserviceproviders en het MKB de tijd geven die nodig is om de capaciteit op te bouwen voor het implementeren van nieuwe richtingen. Het niet naleven hiervan kan leiden tot gevangenisstraf of andere strafmaatregelen.
Hoe reageerde de cyberbeveiligingsindustrie op de privacyregels van India?
De Internet Freedom Foundation (IFF) heeft in een verklaring deze wet een schending van de privacy en informatiebeveiliging van gebruikers genoemd.
Vooral VPN-serviceproviders nemen het op tegen de richtlijnen omdat ze ingaan tegen de basisprincipes van VPN's, namelijk het privé houden van de activiteit van de gebruikers.
ExpressVPN was de eerste die zijn servers uit India verplaatste. Het beschreef de regels als "breed" en "overspannend" en beweerde dat het mogelijke misbruik van een dergelijke wet veel groter is dan de voordelen.
Surfhaai volgde al snel zijn voorbeeld en kondigde aan zijn Indiase servers te sluiten. In een blogpost, zei het bedrijf,
"Surfshark opereert met trots onder een strikt 'geen logboeken'-beleid, dus dergelijke nieuwe vereisten druisen in tegen de kernethos van het bedrijf."
NordVPN bevestigde ook dat het Indiase servers beëindigt als reactie op de cyberbeveiligingsrichtlijn van het land.
Verschillende andere VPN-serviceproviders overwegen dezelfde route als de privacywet in zijn huidige vorm wordt geïmplementeerd, waaronder:
- Proton VPN.
- CyberGhost.
- Verstop me.
- Puur VPN.
- privé.
Desondanks bieden sommige VPN's nog steeds een manier om een Indiaas IP-adres te krijgen met behulp van virtuele servers.
Zijn virtuele servers veilig in gebruik?
Als u een privacybewuste gebruiker bent en Indiase inhoud moet deblokkeren, is er een tijdelijke oplossing in de vorm van virtuele servers. Het is niet ideaal, maar het is nog steeds de op één na beste optie.
Een virtuele server is een op software gebaseerde weergave van een dedicated fysieke server. Het bootst de functionaliteit na, maar mist de onderliggende machinerie van een fysieke server. Netwerkbeheerders gebruiken virtualisatiesoftware om een fysieke server op te delen in meerdere virtuele servers.
VPN's zoals Surfshark en ExpressVPN gebruiken virtuele servers om gebruikers te helpen Indiase inhoud te deblokkeren. Deze servers bevinden zich fysiek in het VK en Singapore, maar gebruiken een reeks Indiase IP-adressen waardoor het lijkt alsof u vanuit India op internet surft.
Aangezien virtuele servers zich niet fysiek in India bevinden, zijn de nieuwe wetten voor het bewaren van gegevens niet op hen van toepassing. U geniet nog steeds van het normale beleid zonder logboeken, met enkele kleine nadelen. Deze omvatten resource hogging en problemen met lage prestaties. Dit gebeurt meestal wanneer een enkele fysieke machine meerdere virtuele servers host, waarvan sommige mogelijk te veel resources gaan gebruiken.
Het tweede nadeel heeft betrekking op hun beschikbaarheid. Niet alle VPN-services bieden virtuele servers; degenen die dat wel doen, hebben meestal last van vertragingen en trage verbindingssnelheden. Het is echter mogelijk dat u hogere snelheden ziet als u verbinding maakt vanuit een land waar het zich bevindt.
Wat betekent dit voor VPN-gebruikers?
Aangezien top VPN-bedrijven hun servers in India beëindigen, maken gebruikers zich zorgen over hoe ze VPN-services zullen gebruiken. Veel VPN's zijn begonnen met het leveren van virtuele servers om aan hun behoeften te voldoen.
Op dit moment zijn we niet op de hoogte van VPN-bedrijven die hebben ingestemd met de wetten voor het bewaren van gegevens. Maar als u een VPN gebruikt en een Indiase server in de lijst met landen ziet, is het de moeite waard om bij het bedrijf te informeren naar uw eigen privacy.
