Em abril de 2022, a Equipe Indiana de Resposta a Emergências de Computadores (CERT-In) introduziu diretrizes de segurança cibernética em um esforço para combater ataques cibernéticos e fortalecer a segurança online. As novas regras exigiriam que serviços de VPN e outros provedores de serviços em nuvem mantivessem todos os dados de clientes e transações de TIC por cinco anos.
A indústria de VPN denunciou as novas diretrizes, dizendo que leis tão rigorosas vão contra o propósito básico e a política das Redes Privadas Virtuais. Vários provedores de VPN removeram seus servidores físicos indianos.
Quais são essas novas regras? E existe alguma solução?
O que significam as novas regras de privacidade para provedores de VPN?
De acordo com as novas diretrizes, os provedores de serviços são obrigados a manter um registro das informações dos clientes por cinco anos ou mais e entregá-lo ao governo mediante solicitação.
As regras se aplicam a VPNs de consumidor; VPNs corporativas ou empresariais não se enquadram nessa categoria.
Os novos regulamentos, uma vez implementados, significariam que qualquer VPN de consumidor com servidores físicos na Índia seria forçada a armazenar os registros dos clientes, incluindo:
- Nome completo e endereço.
- Número de telefone.
- Endereço de email.
- Endereço IP real.
- Novo endereço IP (emitido pela VPN).
- Carimbo do registro.
- Padrão de propriedade dos clientes.
- Objetivo de usar a VPN.
Os serviços de VPN também são obrigados a manter registros de usuários mesmo depois de terem cancelado o serviço. Essas regras não apenas violam a privacidade dos usuários; eles também são incompatíveis com a forma como a maioria das VPNs funciona. Além das rígidas políticas de não registro, a configuração de hardware impossibilita que alguns provedores de VPN registrem dados.
ExpressVPN, PIA e Surfshark, por exemplo, operam servidores baseados em RAM que usam módulos de RAM voláteis em vez de discos rígidos tradicionais. Uma vez que a energia é removida dos servidores, todos os dados são perdidos.
Inicialmente, as novas regras deveriam entrar em vigor em 60 dias após o anúncio, ou seja, em 27 de julho. Mas, de acordo com uma atualização do CERT-In, o prazo foi estendido por três meses até 25 de setembro de 2022.
A extensão fornecerá aos provedores de serviços em nuvem e PMEs o tempo necessário para desenvolver a capacidade de implementação de novas direções. O não cumprimento destes pode levar à prisão ou outras ações punitivas.
Como a indústria de segurança cibernética reagiu às regras de privacidade da Índia?
A Internet Freedom Foundation (IFF) emitiu um comunicado chamando essa lei de violação da privacidade e segurança da informação dos usuários.
Os provedores de serviços VPN, em particular, estão em pé de guerra contra as diretrizes, pois vão contra os princípios básicos das VPNs, que é manter a atividade dos usuários privada.
A ExpressVPN foi a primeira a mover seus servidores para fora da Índia. Ele descreveu as regras como “amplas” e “exageradas” e sustentou que o uso indevido potencial de tal lei supera em muito os benefícios.
A Surfshark logo seguiu o exemplo e anunciou o encerramento de seus servidores indianos. Em um post no blog, a empresa disse:
“O Surfshark orgulhosamente opera sob uma política rígida de “sem registros”, então esses novos requisitos vão contra o espírito central da empresa.”
A NordVPN também confirmou que está encerrando os servidores indianos em resposta à diretiva de segurança cibernética do país.
Vários outros provedores de serviços VPN estão considerando a mesma rota se a lei de privacidade for implementada em sua forma atual, incluindo:
- VPN de prótons.
- CyberGhost.
- Me esconda.
- Pura VPN.
- Privado.
Apesar disso, algumas VPNs ainda oferecem uma maneira de obter um endereço IP indiano usando servidores virtuais.
Os servidores virtuais são seguros de usar?
Se você é um usuário preocupado com a privacidade e precisa desbloquear o conteúdo indiano, há uma solução alternativa na forma de servidores virtuais. Não é o ideal, mas ainda é a próxima melhor opção.
Um servidor virtual é uma representação baseada em software de um servidor físico dedicado. Ele recria a funcionalidade, mas não possui o maquinário subjacente de um servidor físico. Os administradores de rede usam software de virtualização para dividir um servidor físico em vários servidores virtuais.
VPNs como Surfshark e ExpressVPN usam servidores virtuais para ajudar os usuários a desbloquear o conteúdo indiano. Esses servidores estão localizados fisicamente no Reino Unido e em Cingapura, mas usam uma variedade de endereços IP indianos que fazem parecer que você está navegando na Web de dentro da Índia.
Como os servidores virtuais não estão fisicamente localizados na Índia, as novas leis de retenção de dados não se aplicam a eles. Você ainda gosta da política normal de não registro — com algumas pequenas desvantagens. Isso inclui problemas de monopolização de recursos e baixo desempenho. Isso geralmente acontece quando uma única máquina física hospeda vários servidores virtuais, alguns dos quais podem começar a usar recursos em excesso.
A segunda desvantagem diz respeito à sua disponibilidade. Nem todos os serviços VPN oferecem servidores virtuais; aqueles que o fazem, geralmente sofrem de atrasos e velocidades de conexão lentas. No entanto, você pode ver velocidades mais rápidas se estiver se conectando de um país em que está localizado.
O que isso significa para usuários de VPN?
À medida que as principais empresas de VPN encerram seus servidores na Índia, os usuários estão preocupados sobre como usarão os serviços de VPN. Muitas VPNs começaram a fornecer servidores virtuais para atender às suas necessidades.
A partir de agora, não temos conhecimento de nenhuma empresa de VPN que tenha concordado com as leis de retenção de dados. Mas se você usa uma VPN e vê um servidor indiano na lista de países, vale a pena verificar com a empresa sua própria privacidade.
