Nell'aprile 2022, l'Indian Computer Emergency Response Team (CERT-In) ha introdotto linee guida sulla sicurezza informatica nel tentativo di contrastare gli attacchi informatici e rafforzare la sicurezza online. Le nuove regole richiederebbero ai servizi VPN e ad altri fornitori di servizi cloud di mantenere tutti i dati dei clienti e le transazioni ICT per cinque anni.
L'industria delle VPN ha denunciato le nuove direttive, affermando che leggi così rigorose vanno contro lo scopo e la politica di base delle reti private virtuali. Diversi provider VPN hanno rimosso i loro server indiani fisici.
Quali sono queste nuove regole? E c'è una soluzione alternativa?
Cosa significano le nuove regole sulla privacy per i provider VPN?
Secondo le nuove direttive, i fornitori di servizi sono tenuti a conservare un registro delle informazioni sui clienti per cinque anni o più ea consegnarlo al governo su richiesta.
Le regole applicare alle VPN consumer; le VPN aziendali o aziendali non rientrano in questa categoria.
Le nuove normative, una volta implementate, significherebbero che qualsiasi VPN consumer con server fisici in India sarebbe costretta a memorizzare i record dei clienti, tra cui:
- Nome completo e indirizzo.
- Numero di telefono.
- Indirizzo e-mail.
- Indirizzo IP effettivo.
- Nuovo indirizzo IP (rilasciato dalla VPN).
- Timestamp di registrazione.
- Modello di proprietà dei clienti.
- Scopo dell'utilizzo della VPN.
I servizi VPN sono inoltre necessari per mantenere i record degli utenti anche dopo che hanno annullato il servizio. Non solo queste regole violano la privacy degli utenti; sono anche incompatibili con il modo in cui funzionano la maggior parte delle VPN. A parte il rigorose politiche di no-log, la configurazione hardware rende impossibile per alcuni provider VPN la registrazione dei dati.
ExpressVPN, PIA e Surfshark, ad esempio, gestiscono server basati su RAM che utilizzano moduli RAM volatili invece dei tradizionali dischi rigidi. Una volta rimossa l'alimentazione dai server, tutti i dati vengono persi.
Inizialmente le nuove regole avrebbero dovuto entrare in vigore entro 60 giorni dall'annuncio, ovvero il 27 luglio. Ma secondo un aggiornamento di CERT-In, la scadenza è stata prorogata di tre mesi fino al 25 settembre 2022.
L'estensione fornirà ai fornitori di servizi cloud e alle PMI il tempo necessario per costruire la capacità di implementare nuove direzioni. Il mancato rispetto di questi potrebbe portare alla reclusione o ad altre azioni punitive.
Come ha reagito l'industria della sicurezza informatica alle norme sulla privacy dell'India?
La Internet Freedom Foundation (IFF) ha rilasciato una dichiarazione definendo questa legge una violazione della privacy e della sicurezza delle informazioni degli utenti.
I fornitori di servizi VPN, in particolare, sono in armi contro le linee guida in quanto vanno contro i principi di base delle VPN, ovvero mantenere privata l'attività degli utenti.
ExpressVPN è stato il primo a spostare i suoi server fuori dall'India. Descriveva le regole come "ampio" e "eccessivo" e ha affermato che il potenziale uso improprio di tale legge supera di gran lunga i benefici.
squalo surfista presto seguì l'esempio e annunciò la chiusura dei suoi server indiani. In un post sul blog, ha detto la società,
"Surfshark opera con orgoglio secondo una rigorosa politica "no log", quindi tali nuovi requisiti vanno contro l'etica principale dell'azienda."
NordVPN ha anche confermato che sta terminando i server indiani in risposta alla direttiva sulla sicurezza informatica del paese.
Diversi altri fornitori di servizi VPN stanno prendendo in considerazione lo stesso percorso se la legge sulla privacy viene implementata nella sua forma attuale, tra cui:
- Protone VPN.
- CyberGhost.
- Nascondimi.
- VPN pura.
- Privato.
Nonostante ciò, alcune VPN offrono ancora un modo per ottenere un indirizzo IP indiano utilizzando server virtuali.
I server virtuali sono sicuri da usare?
Se sei un utente attento alla privacy e hai bisogno di sbloccare i contenuti indiani, c'è una soluzione alternativa sotto forma di server virtuali. Non è l'ideale, ma è comunque l'opzione migliore.
Un server virtuale è una rappresentazione basata su software di un server fisico dedicato. Ricrea la funzionalità ma manca del macchinario sottostante di un server fisico. Gli amministratori di rete utilizzano il software di virtualizzazione per dividere un server fisico in più server virtuali.
VPN come Surfshark ed ExpressVPN utilizzano server virtuali per aiutare gli utenti a sbloccare i contenuti indiani. Questi server si trovano fisicamente nel Regno Unito ea Singapore, ma utilizzano una gamma di indirizzi IP indiani che fanno sembrare che tu stia navigando sul Web dall'interno dell'India.
Poiché i server virtuali non si trovano fisicamente in India, le nuove leggi sulla conservazione dei dati non si applicano a loro. Ti piace ancora la normale politica di no-log, con alcuni piccoli inconvenienti. Questi includono monopolio delle risorse e problemi di basse prestazioni. Questo di solito accade quando una singola macchina fisica ospita diversi server virtuali, alcuni dei quali potrebbero iniziare a utilizzare in modo eccessivo le risorse.
Il secondo inconveniente riguarda la loro disponibilità. Non tutti i servizi VPN offrono server virtuali; quelli che lo fanno, di solito soffrono di ritardi e velocità di connessione lente. Tuttavia, potresti vedere velocità più elevate se ti connetti da un paese in cui si trova.
Cosa significa questo per gli utenti VPN?
Poiché le principali società VPN terminano i loro server in India, gli utenti sono preoccupati per come utilizzeranno i servizi VPN. Molte VPN hanno iniziato a fornire server virtuali per soddisfare le loro esigenze.
Al momento, non siamo a conoscenza di alcuna società VPN che abbia accettato le leggi sulla conservazione dei dati. Ma se usi una VPN e vedi un server indiano nell'elenco dei paesi, vale la pena verificare con l'azienda per la tua privacy.
