Bild via Pixabay av Creator. Används under en Pixabay-licens.
Det indiska ministeriet för elektronik och informationsteknologi (MeitY) meddelade nyligen att många internetleverantörer, mellanhänder och datacenter som ansvarar för anonyma och privata internettjänster kommer att behöva underhålla omfattande användardata i fem år. Direktivet, som trädde i kraft i juni, innehåller obligatorisk information om “cyberincidenter” såsom dataintrång eller läckor inom sex timmar efter identifiering.
Den 28 april 2022 publicerade ministeriets Computer Emergency Response Team (CERT) ett tillkännagivande som vädjade till organisationer som tillhandahåller Virtual Private Network (VPN), Virtual Private Server (VPS) och molntjänster, samt datacenter. Eftersom VPN och blockchain-baserade tjänster ofta är utformade för att säkerställa användarnas anonymitet och konfidentialitet, kan detta direktiv tvinga många tjänsteleverantörer att avbryta verksamheten i Indien eller kränka deras användares integritet.
Freedom Legal Center för Indian Legal Non-Profit Program delade sin oro över NordVPN, världens största VPN-företags utträde från Indien:
NordVPN, en av världens största VPN-leverantörer, kan komma att lämna Indien på beslut av Indian Computer Ambulance Group. @IndianCERT en order förra veckan som kräver att virtuella privata nätverksleverantörer lagrar användarinformation.#InfoSec #Cyber security #VPNhttps://t.co/wZCBkisI4D
– sflc.in (@SFLCin) 6 maj 2022
Den internationella tjänsteleverantören Proton VPN protesterade också:
Indiens nya VPN-regler är en attack #privacy och hotar att sätta medborgare under ett mikroskop. Vi förblir engagerade i vår anonymitetspolicy och rekommenderar att alla som använder våra servrar i Indien följer dessa riktlinjer: https://t.co/85WTkUJ5Z6. (1/2)
– ProtonVPN (@ProtonVPN) 5 maj 2022
Varför ska indier oroa sig?
VPN-tjänsten kan dölja din plats och IP-adress och lägga till ytterligare ett lager av säkerhet till det öppna nätverket. Dessa tjänster för dock inte register över dina loggar och onlineaktiviteter och överför dem inte till tredje part – så den indiska regeringen förbjuder inte VPN, journalister, aktivister och andra som använder dessa tjänster för att dölja sina internetfotspår. Även vid användning av VPN-tjänster finns det risk för exponering.
Internet Freedom Foundation of Indias Digital Liberties Organization har tagit upp ett antal farhågor om CERT-direktivet, inklusive dess brist på definitioner, bristande efterlevnad av befintliga cybersäkerhetsbestämmelser och överdrivna datalagringskrav. Han är också oroad över byggandet av en väg för massövervakning:
Uttalande: Vi kallar @IndianCERT Recall the Guidelines on Information Security Practices publicerade den 28 april, som trädde i kraft den 27 juni. Dessa riktningar är osäkra. De bryter mot användarnas integritet och informationssäkerhet i strid med CERT:s mandat. 1 / n pic.twitter.com/okzMhgIG0y
– Internet Freedom Foundation (IFF) (@internetfreedom) 4 maj 2022
De specifika informationspunkter som tjänsteleverantörer på listan måste behålla, inklusive användarnamn, utgångsdatum, användarprotokoll (IP) och e-postadresser, och till och med IP-adressen och tidsstämpeln som används under registreringen eller tjänsten. början. Dessutom är de skyldiga att dokumentera syftet med tjänsterna, samt adresser, kontaktnummer och ägandeformer för de som använder dem. Det offentliga cirkuläret betonar också utnämningen av en kontaktpunkt (PoC) och delning av PoC-detaljer med CERT. I sin tur säger CERT att detta steg är en förebyggande åtgärd mot olika typer av skadliga och riktade attacker, inklusive dataintrång och läckor, attacker genom spionprogram, ransomware eller nätfiske.
CERT instruerar regeringen att rapportera sådana “cyberincidenter” till myndigheterna inom sex timmar efter identifieringen. Information Technology Industry Council (ITI), som representerar teknikföretag, inklusive Apple, Amazon, Meta (Facebook), Google (Alphabet) och Big Tech-företag som Microsoft, har uttryckt oro över det nya direktivet, säger Medianama online-nyhetsrelease. och kan det skada Indiens cybersäkerhet samtidigt som det skadar teknikindustrin? ITIC rekommenderade att öka rapporteringstiden från sex timmar till 72 timmar och ansåg att det var riskabelt för användarna och dyrt för tjänsteleverantörer att hålla användarregister i 180 dagar.
Mandatet kräver också att mellanhänder och tjänsteleverantörer ansluter till Network Time Protocol (NTP)-servrar avsedda för klocksynkronisering av ICT-systemet. NTP är ett nätverksprotokoll som används för klocksynkronisering av datorsystem anslutna via Internet och andra datanätverk. Stora säkerhetsincidenter har rapporterats de senaste åren på grund av NTP, och ITIC sa att ett sådant krav “kan påverka företags säkerhetsverksamhet negativt, såväl som funktionaliteten hos deras system, nätverk och applikationer.”
Mishi Choudhary, grundare av Center for Software Freedom Law (SFLC.in) i New Delhi, pekade på kryphål i direktivet och hur CERT-In inte kunde göra sitt jobb i händelse av ett dataintrång, “Krav för VPN användare att registrera sig [and] Att länka identifiering till IP-adresser är ett allvarligt integritetsproblem och bör åtgärdas. CERT kan inte ta rätten att använda vissa verktyg i sken av cybersäkerhet. ”
Utbredd kritik
Samtidigt var onlinekommentarer om direktivet utbredda, där mjukvaruingenjören och bloggaren Manoj Saru ställde en öppen fråga:
VPN-leverantörer i Indien tvingas samla in kunddata, säger den indiska regeringen 🤯🤯
Enkel fråga Vad är meningen med att använda vpn? 🤔🤔 pic.twitter.com/0bIRtBOZmE
– Manos Saru (@ManoSaru) 6 maj 2022
Journalisten Tanay Singh Thakur skrev på Twitter:
CERT-In beslutade att göra det #VPN-företag i Indien kommer nu att behöva behålla användardata i upp till fem år. Detta kommer definitivt att vara en stor besvikelse för många som använder dagliga VPN:n för att dölja sin kritiska kommunikation och surfa online. (🧵).
– Tanay Singh Thakur (@TanaysinghT) 13 maj 2022
Twitter-användaren Vikram Karandikar varnade:
@narendramodi @rsprasad Den senaste policyn för VPN-företag är felaktig. Överdriven statlig kontroll är ett problem. Vi går åt fel håll. #VPN #Indien
– Vikram Karandikar Vikram Karandikar (ickvickybadbad) 13 maj 2022
Genom en serie tweets, sa cybersäkerhetsexperten Anand Venkatanarayanan, kritiserade hur CERT inte påverkade dess infrastruktur när de presenterade sitt mandat för NTP. I denna anda frågade han. Den rekommenderade användningen av statligt ägda National Informatics Center (NIC)-servrar, som har visat sig vara känsliga för säkerhetsintrång i det förflutna, tyder på att om direktivet träder i kraft kan det leda till fler intrång. .
I en bulletin kritiserade Venkatanarayanan direktivet ytterligare och lyfte fram de svaga tekniska kapaciteterna som CERT demonstrerade 2019 när det meddelade att WhatsApp använde säkerhetssårbarheter för att använda Pegasus spionprogram:
[..]Även om länder vill vara självsäkra, är lust inte en ersättning för potential, möjligheter och budgetar.
Amnesty India twittrade:
Det senaste direktivet från den indiska regeringen, som kräver att VPN-företag samlar in och lagrar användarnas information i fem år, eller möter förbud eller arresteras, är ett stort slag mot Indiens rättigheter till integritet och yttrandefrihet.
1/6https: //t.co/FYidrQf0tB
– Amnesty India (@AIIndia) 5 maj 2022
2021 avslöjade Pegasus-projektet att den indiska regeringen använde Pegasus spionprogramvara för att spåra oppositionspolitiker, regeringskritiska journalister och högt uppsatta regeringstjänstemän.
