Slika preko Pixabay-a od Kreatikar-a. Koristi se pod licencom Pixabay-a.

Indijsko Ministarstvo za elektroniku i informacione tehnologije (MeitY) je nedavno objavilo da će mnogi provajderi internet usluga, posrednici i centri podataka odgovorni za anonimne i privatne internet usluge morati da čuvaju širok spektar korisničkih podataka pet godina. Direktiva, koja , uključuje obavezno prijavljivanje „sajber incidenata“ kao što su kršenje podataka ili curenje podataka u roku od šest sati od identifikacije.

Tim ministarstva za kompjuterske hitne slučajeve (CERT-in) objavio je saopštenje 28. aprila 2022., obraćajući se organizacijama koje pružaju virtuelnu privatnu mrežu (VPN), virtuelni privatni server (VPS) i usluge u oblaku, kao i centre podataka. Pošto su VPN-ovi i usluge zasnovane na blokčejnu često dizajnirane da obezbede anonimnost i privatnost korisnika, ova direktiva bi mogla da natera mnoge provajdere usluga da ili zaustave operacije u Indiji ili naruše privatnost svojih korisnika.

Indijski neprofitni pravni centar za slobodu softvera izrazio je zabrinutost zbog povlačenja najveće svetske VPN kompanije, NordVPN iz Indije (NordVPN, jedan od najvećih svetskih provajdera VPN-a, mogao bi da se povuče iz Indije zbog naredbe indijskog tima za hitne slučajeve @IndianCERT prošle nedelje koja zahteva od provajdera virtuelnih privatnih mreža da održavaju korisničke podatke.
#InfoSec #CiberSecuriti #VPN
Ekskluzivno: NordVPN može povući servere iz Indije nakon IT Mini…
NordVPN, jedan od najvećih svetskih VPN provajdera, mogao bi da se povuče iz Indije zbog naloga indijskog tima za hitne slučajeve.):

NordVPN, jedan od najvećih svetskih provajdera VPN-a, mogao bi da se povuče iz Indije zbog naredbe indijskog tima za hitne slučajeve @IndianCERT prošle nedelje koja zahteva od provajdera virtuelnih privatnih mreža da održavaju korisničke podatke.#InfoSec #CyberSecurity #VPNhttps://t.co/wZCBkisI4D

— sflc.in (@SFLCin) 6. maj 2022

Međunarodni provajder usluga Proton VPN takođe je uložio protest (Novi indijski VPN propisi su napad na #privatnost i prete da stave građane pod mikroskop nadzora. Ostajemo posvećeni našoj politici bez evidentiranja i preporučujemo svima koji koriste naše servere u Indiji da prate ove smernice:):

Novi indijski propisi o VPN-u su napad na #privatnost i prete da stave građane pod mikroskop nadzora. Ostajemo posvećeni našoj politici bez evidencije i preporučujemo svima koji koriste naše servere u Indiji da prate ove smernice: https://t.co/85WTkUJ5Z6. (1/2)

— ProtonVPN (@ProtonVPN) 5. maja 2022

Zašto bi Indijci trebali biti zabrinuti?

Korišćenje VPN usluge može sakriti vašu lokaciju i IP adresu i dodati još jedan nivo bezbednosti otvorenoj mreži. Međutim, ove usluge ne pohranjuju evidenciju vaših pristupnih zapisa i aktivnosti na mreži, niti ih prosljeđuju trećim stranama – pa iako indijska vlada ne zabranjuje VPN-ove, novinare, aktiviste i druge koji koriste ove usluge da sakriju svoj internet trag će rizikovati da budu izloženi, čak i dok koristite VPN usluge.

Indijska organizacija za digitalne slobode Internet Freedom Foundation (Fondacija za slobodu interneta) je izrazila zabrinutost u vezi sa ovom CERT-In direktivom, uključujući nedostatak definicija, neusaglašenost sa postojećim odredbama o sajber bezbednosti i preterane zahteve za zadržavanje podataka. Takođe je zabrinut što gradi staza za masovni nadzor (Izjava: Pozivamo @IndianCERT da opozove Uputstva o praksi bezbednosti informacija izdata 28. aprila koja stupaju na snagu 27. juna. Ova uputstva su nejasna. Oni potkopavaju privatnost korisnika i sigurnost informacija, suprotno mandatu CERT-a. 1/n. Pročitajte celu konvenciju na Tviteru):

Izjava: Pozivamo @IndianCERT da opozove Uputstva o praksi bezbednosti informacija izdata 28. aprila koja stupaju na snagu 27. juna. Ova uputstva su nejasna. Oni potkopavaju privatnost korisnika i sigurnost informacija, suprotno mandatu CERT-a. 1/n pic.twitter.com/okzMhgIG0y

— Fondacija za slobodu interneta (IFF) (@internetfreedom) 4. maj, 2022

Specifični podaci koje će navedeni provajderi usluga morati da čuvaju uključuju imena korisnika, trajanje i datume korišćenja, internet protokol (IP) korisnika i adrese e-pošte, pa čak i IP adresu i vremensku oznaku koja se koristi u trenutku registracije ili usluge. Pored toga, od njih se traži da dokumentuju svrhu usluga, kao i adrese, kontakt brojeve i obrasce vlasništva ljudi koji ih koriste. Javni cirkular takođe naglašava imenovanje tačke kontakta (PoC), i deljenje detalja PoC-a sa CERT-in Sa svoje strane, CERT-in kaže da je ovaj korak preventivna mera protiv različitih vrsta zlonamernih i ciljanih napada, uključujući kršenje i curenje podataka, i napade putem špijunskog softvera, ransomvare-a ili fišing-a.

CERT-in cirkular nalaže prijavljivanje takvih „sajber incidenata“ vladinim organima u roku od šest sati od identifikacije. Internetska novinska publikacija Medianama izvestila je da je Savet industrije informacionih tehnologija (ITI), a predstavnik tehnoloških kompanija — uključujući velike tehnološke korporacije poput Apple, Amazon, Meta (Facebook), Google (Alphabet), i Microsoft — izrazio zabrinutost u vezi sa ovom novom direktivom i da, osim što može naneti štetu tehnološkoj industriji, može takođe da potkopa sajber bezbednost Indije. ITIC je preporučio povećanje vremena izveštavanja sa šest sati na 72, i smatra da je održavanje korisničkih dnevnika 180 dana rizično za korisnike i skupo za pružaoce usluga.

Mandat takođe zahteva od posrednika i provajdera usluga da se povežu na određene servere mrežnog vremenskog protokola (NTP) za sinhronizaciju sata njihovog IKT sistema. NTP je mrežni protokol, koji koriste računarski sistemi povezani preko interneta i drugih mreža podataka, za sinhronizaciju sata. Veliki bezbednosni incidenti prijavljeni su poslednjih godina zbog NTP-a, a ITIC je rekao da takav zahtev može „negativno uticati na bezbednosne operacije kompanija, kao i na funkcionalnost njihovih sistema, mreža i aplikacija“.

Ukazujući na nedostatke u direktivi i označavajući kako CERT-In nije uspeo da uradi svoj posao tokom kršenja podataka, Mishi Choudhary, osnivač Pravnog centra za slobodu softvera (SFLC.in) u Nju Delhiju, primetio je, „Zahteve za registraciju VPN korisnika [i ] povezivanje identifikacije sa IP adresama izaziva ozbiljnu zabrinutost za privatnost i trebalo bi da bude uklonjeno. CERT-In ne može oduzeti pravo na korišćenje određenih alata u ruhu sajber bezbednosti.”

Široko rasprostranjena kritika

U međuvremenu, onlajn komentari o direktivi su bili veoma popularni, a softverski inženjer i bloger Manoj Saru je postavio očigledno pitanje:

Provajderi VPN-a u Indiji imaju mandat da prikupljaju podatke o klijentima, kaže indijska vlada 🤯🤯

Jednostavno pitanje koja je svrha korišćenja vpn-a ?? 🤔🤔 pic.twitter.com/0bIRtBOZmE

— Manoj Saru (@ManojSaru) 6. maja 2022. godine

Novinar Tanai Singh Thakur je tvitovao:

CERT-In je odlučio da će #VPN kompanije u Indiji sada morati da čuvaju korisničke podatke do pet godina. Ovo će definitivno biti veliko razočarenje za mnoge koji svakodnevno koriste VPN-ove da prikriju svoju kritičnu komunikaciju i pregledavanje na mreži. (🧵).

— Tanay Singh Thakur (@TanaysinghT) 13. maja 2022

Korisnik Tvitera Vikram Karandikar upozorio je:

@narendramodi @rsprasad najnovija politika za VPN kompanije je pogrešna. Previše državne kontrole zabrinjava. Idemo u pogrešnom pravcu. #VPN #india

— Vikram Karandikar विक्रम करंदीकर (@vickybadbad) 13. maja 2022

Kroz seriju tvitova, istaknuti stručnjak za sajber bezbednost Anand Venkatanarajanan kritikovao je kako CERT-in nije težio sopstvenoj infrastrukturi čak i kada je uveo mandat vezan za NTP. U tom smislu, on je doveo u pitanje preporučenu upotrebu servera nacionalnog informatičkog centra (NIC) u vlasništvu države, koji su se u prošlosti pokazali ranjivi na kršenja bezbednosti, sugerišući da bi to moglo dovesti do još kršenja ako i kada direktiva stupi na snagu.

U jednom biltenu, Venkatanaraianan je dalje kritikovao ovu direktivu, hnaglašavajući loš tehnički kapacitet koji je CERT-in pokazao 2019. godine kada je WhatsApp objavio da se bezbednosne ranjivosti iskorištavaju za korišćenje Pegasus špijunskog softvera:

[..]iako zemlje žele da budu samostalne, težnja nije zamena za kapacitete, sposobnosti i budžete.

Amnesti Indija je tvitovala:

Najnovija direktiva indijske vlade koja traži od VPN kompanija da prikupljaju i čuvaju podatke korisnika u periodu od pet godina ili se suočavaju sa zabranom i zatvorom predstavlja novi veliki udarac pravima na privatnost i slobodu izražavanja u Indiji.

1/6https://t.co/FYidrQf0tB

— Amnesty India (@AIIndia) 5. maja 2022. godine

2021. godine, projekat Pegasus je otkrio navodnu ulogu indijske vlade u korišćenju špijunskog softvera Pegasus za njuškanje opozicionih političara, novinara koji su kritični prema vladi i visokim vladinim zvaničnicima.