Компаниите, които предлагат услуги за виртуална частна мрежа, ще трябва да събират всякакви данни за клиентите си – и да ги съхраняват в продължение на пет години. Това предвижда нова регулация в Индия. Националната директива от екипа за реагиране на компютърни спешни ситуации в страната, известен като CERT-in, вероятно ще затрудни живота както на VPN компаниите, така и на потребителите на VPN там.
VPN мрежите са своеобразни „шапки-невидимки” в глобалната мрежа. Но на дневен ред идва и въпросът дали подобни мерки като тези в Индия няма да се появят и навсякъде другаде по света?
Шапка-невидимка в интернет
Повечето фирми, предлагащи VPN услуга, не регистрират, събират и споделят данни за потребителите си и тяхното сърфиране в интернет. Обичайно операторите работят с т.нар. RAM-диск сървъри и други технологии, позволяващи да се избегне регистриране на дейността на клиентите. Не се пазят регистри на дейността на потребителите. Всеки, който използва VPN, може да се движи из интернет прикрито, без да бъде проследяван, без да се трупа история на дейностите му в Мрежата, без да се знае какви сайтове посещава, какво и на кого пише или изпраща.
Глобален прецедент
Решението на Индия гласи, че от 27 юни нататък операторите на VPN мрежи в страната ще трябва да съхраняват имената на клиентите, да пазят валидирани физически и IP адреси, да следят моделите на използване и да пазят лична информация. Тези, които не спазват новото изискване, могат да получат санкции като например една година затвор, съгласно действащото законодателство в новата директива.
Тя не се ограничава само до доставчиците на VPN. Центровете за данни и доставчиците на облачни услуги също ще имат подобно задължение. Компаниите ще трябва да съхраняват информация за клиентите дори след като потребителят анулира своя абонамент или акаунт.
Във всички случаи CERT-in ще изисква от компаниите да докладват за „неоторизиран достъп на своите потребители до акаунти в социалните медии”.
Министерството на електрониката и ИТ заяви в съобщение в събота, че новата директива има за цел да му помогне да се справи с „определени пропуски”, които му пречат да реагира на неуточнени „киберинциденти и взаимодействия с избирателите”.
Глобалното следене срещу демокрацията
Съгласно директивата, VPN компаниите ще трябва да събират и докладват следната информация:
- имена на клиента, физически адреси, имейл адреси и телефонни номера;
- причината, поради която клиентът използва услугата, заедно с датите, на които я използва, и „модел на собственост”;
- IP адрес и имейл адрес, използвани от клиента за регистрация за услугата, заедно с времеви печат за регистрация и др.
Случаят поставя на дневен ред въпроса дали VPN операторите и техните клиенти не са следващата голяма група в интернет, която ще стане обект на регулации в още и още държави, до постигането на пълна проследимост на всички VPN потребители в глобален мащаб. Без съмнение анонимността, която този род услуги предоставят, е нож с две остриета. Тя гарантира поверителността, но това може да бъде благодатно за злонамерени субекти.
Базираната на Британските Вирджински острови фирма PureVPN, която има 3 милиона потребители в световен мащаб, заяви, че новата директива може да повлияе на позицията на компанията в Индия.
„Доста сме учудени от този политически ход от най-голямата демокрация в света, която е на ръба да се превърне в най-голямата полицейска държава в света. Ние се опитваме да говорим с индийските власти и да прегледаме насоките на политиката, за да преценим какво означава тя за чуждестранните компании, обслужващи потребители в Индия. PureVPN е VPN без регистрация. Анонимността и сигурността на потребителите са наш основен приоритет. Ако това бъде компрометирано от новата политика, тогава ще трябва да преразгледаме позицията си в Индия”, каза изпълнителният директор на фирмата Узаир Гадит пред CNET.
Този въпрос стои и пред всички оператори на VPN, които работят в страната, но в дългосрочен план може да се изправи и пред всички доставчици и клиенти на VPN по цял свят. Ако примерът на Индия бъде последван и от други страни, то интернет окончателно ще се превърне в арена на пълна проследимост на всеки и за всичко.
Това може да се окаже проблем за огромни групи хора и цели общности, за които в момента анонимността на интернет е спасение – например малтретирани жени, които търсят подкрепа и закрила, както и много други уязвими групи, в които хората разчитат на прикритието на интернет, за да се спасят от тормоз, следене, насилие, погазване на човешките права и др.
Надига се и въпросът за следенето като инструмент в обществено-политическия живот. Пълното проследяване е предпоставка за „мониторинг” на речта в обществения живот и злоупотреби със свободата на словото, включително разправа с политически опоненти.
Всичко това означава, че случващото се в Индия трябва да е „червена лампа” за индустрията по цял свят.