- Global Voices na srpskom - https://sr.globalvoices.org -

Indija se zalaže za skladištenje privatnih podataka koristeći tehnologiju napravljenu za anonimnost

Kategorije: Južna Azija, Indija, Censorship, Digitalni aktivizam, Građanski mediji, Ljudska prava, Međunarodni odnosi, Prava, Protesti, Sloboda govora, Tehnika, Vlade, GV Podrška
Image via Pixabay by Kreatikar. Used under a Pixabay license. [1]

Slika preko Pixabay-a od Kreatikar-a [1]. Koristi se pod licencom Pixabay-a [2].

Indijsko Ministarstvo za elektroniku i informacione tehnologije [3] (MeitY) je nedavno objavilo [4] da će mnogi provajderi internet usluga, posrednici i centri podataka odgovorni za anonimne i privatne internet usluge morati da čuvaju širok spektar korisničkih podataka pet godina. Direktiva, koja , uključuje obavezno prijavljivanje „sajber incidenata“ kao što su kršenje podataka ili curenje podataka u roku od šest sati od identifikacije.

Tim ministarstva za kompjuterske hitne slučajeve [5] (CERT-in) objavio je saopštenje [6] 28. aprila 2022., obraćajući se organizacijama koje pružaju virtuelnu privatnu mrežu [7] (VPN), virtuelni privatni server [8] (VPS) i usluge u oblaku [9], kao i centre podataka [10]. Pošto su VPN-ovi i usluge zasnovane na blokčejnu često dizajnirane da obezbede anonimnost i privatnost korisnika, ova direktiva bi mogla da natera mnoge provajdere usluga da ili zaustave operacije u Indiji ili naruše privatnost svojih korisnika.

Indijski neprofitni pravni centar za slobodu softvera izrazio je zabrinutost [11] zbog povlačenja najveće svetske VPN kompanije [12], NordVPN iz Indije (NordVPN, jedan od najvećih svetskih provajdera VPN-a, mogao bi da se povuče iz Indije zbog naredbe indijskog tima za hitne slučajeve @IndianCERT prošle nedelje koja zahteva od provajdera virtuelnih privatnih mreža da održavaju korisničke podatke.
#InfoSec #CiberSecuriti #VPN
Ekskluzivno: NordVPN može povući servere iz Indije nakon IT Mini…
NordVPN, jedan od najvećih svetskih VPN provajdera, mogao bi da se povuče iz Indije zbog naloga indijskog tima za hitne slučajeve.):

Međunarodni provajder usluga Proton VPN takođe je uložio protest (Novi indijski VPN propisi su napad na #privatnost i prete da stave građane pod mikroskop nadzora. Ostajemo posvećeni našoj politici bez evidentiranja i preporučujemo svima koji koriste naše servere u Indiji da prate ove smernice:):

Zašto bi Indijci trebali biti zabrinuti?

Korišćenje VPN usluge može sakriti vašu lokaciju i IP adresu i dodati još jedan nivo bezbednosti otvorenoj mreži. Međutim, ove usluge ne pohranjuju [22] evidenciju vaših pristupnih zapisa i aktivnosti na mreži, niti ih prosljeđuju trećim stranama – pa iako indijska vlada ne zabranjuje VPN-ove, novinare, aktiviste i druge koji koriste ove usluge da sakriju svoj internet trag će rizikovati da budu izloženi, čak i dok koristite VPN usluge [23].

Indijska organizacija za digitalne slobode Internet Freedom Foundation (Fondacija za slobodu interneta) je izrazila zabrinutost u vezi sa ovom CERT-In direktivom [24], uključujući nedostatak definicija, neusaglašenost sa postojećim odredbama o sajber bezbednosti i preterane zahteve za zadržavanje podataka. Takođe je zabrinut što gradi staza za masovni nadzor (Izjava: Pozivamo @IndianCERT da opozove Uputstva o praksi bezbednosti informacija izdata 28. aprila koja stupaju na snagu 27. juna. Ova uputstva su nejasna. Oni potkopavaju privatnost korisnika i sigurnost informacija, suprotno mandatu CERT-a. 1/n. Pročitajte celu konvenciju na Tviteru):

Specifični podaci koje će navedeni provajderi usluga morati da čuvaju uključuju imena korisnika, trajanje i datume korišćenja, internet protokol (IP) korisnika i adrese e-pošte, pa čak i IP adresu i vremensku oznaku koja se koristi u trenutku registracije ili usluge. Pored toga, od njih se traži da dokumentuju svrhu usluga, kao i adrese, kontakt brojeve i obrasce vlasništva ljudi koji ih koriste. Javni cirkular [6] takođe naglašava imenovanje tačke kontakta (PoC), i deljenje detalja PoC-a sa CERT-in Sa svoje strane, CERT-in kaže da je ovaj korak preventivna mera protiv različitih vrsta zlonamernih i ciljanih napada, uključujući kršenje i curenje podataka, i napade putem špijunskog softvera, ransomvare-a ili fišing-a.

CERT-in cirkular nalaže prijavljivanje takvih „sajber incidenata“ vladinim organima u roku od šest sati od identifikacije. Internetska novinska publikacija Medianama izvestila je da [27] je Savet industrije informacionih tehnologija [28] (ITI), a predstavnik tehnoloških kompanija — uključujući velike tehnološke korporacije poput Apple, Amazon, Meta (Facebook), Google (Alphabet), i Microsoft — izrazio zabrinutost u vezi sa ovom novom direktivom [29] i da, osim što može naneti štetu tehnološkoj industriji, može takođe da potkopa sajber bezbednost Indije. ITIC je preporučio povećanje vremena izveštavanja sa šest sati na 72, i smatra da je održavanje korisničkih dnevnika 180 dana rizično za korisnike i skupo za pružaoce usluga.

Mandat takođe zahteva od posrednika i provajdera usluga da se povežu na određene servere mrežnog vremenskog protokola (NTP) [30] za sinhronizaciju sata njihovog IKT sistema. NTP je mrežni protokol, koji koriste računarski sistemi povezani preko interneta i drugih mreža podataka, za sinhronizaciju sata. Veliki bezbednosni incidenti [31] prijavljeni su poslednjih godina zbog NTP-a, a ITIC je rekao da takav zahtev može „negativno uticati na bezbednosne operacije kompanija, kao i na funkcionalnost njihovih sistema, mreža i aplikacija“.

Ukazujući na nedostatke u direktivi i označavajući kako CERT-In nije uspeo da uradi svoj posao tokom kršenja podataka, Mishi Choudhary, osnivač Pravnog centra za slobodu softvera (SFLC.in) u Nju Delhiju, primetio je [32], „Zahteve za registraciju VPN korisnika [i ] povezivanje identifikacije sa IP adresama izaziva ozbiljnu zabrinutost za privatnost i trebalo bi da bude uklonjeno. CERT-In ne može oduzeti pravo na korišćenje određenih alata u ruhu sajber bezbednosti.”

Široko rasprostranjena kritika

U međuvremenu, onlajn komentari o direktivi su bili veoma popularni, a softverski inženjer i bloger Manoj Saru je postavio očigledno pitanje:

Novinar Tanai Singh Thakur je tvitovao:

Korisnik Tvitera Vikram Karandikar upozorio je:

Kroz seriju tvitova [40], istaknuti stručnjak za sajber bezbednost Anand Venkatanarajanan kritikovao je kako CERT-in nije težio sopstvenoj infrastrukturi čak i kada je uveo mandat vezan za NTP. U tom smislu, on je doveo u pitanje [41] preporučenu upotrebu servera nacionalnog informatičkog centra (NIC) u vlasništvu države, koji su se u prošlosti pokazali ranjivi na kršenja bezbednosti, sugerišući da bi to moglo dovesti do još kršenja ako i kada direktiva stupi na snagu.

U jednom biltenu, Venkatanaraianan je dalje kritikovao ovu direktivu [42], hnaglašavajući loš tehnički kapacitet koji je CERT-in pokazao 2019. godine kada je WhatsApp objavio da se bezbednosne ranjivosti iskorištavaju za korišćenje Pegasus špijunskog softvera:

[..]iako zemlje žele da budu samostalne, težnja nije zamena za kapacitete, sposobnosti i budžete.

Amnesti Indija je tvitovala:

2021. godine, projekat Pegasus je otkrio [45] navodnu ulogu indijske vlade u korišćenju špijunskog softvera Pegasus za njuškanje opozicionih političara, novinara koji su kritični prema vladi i visokim vladinim zvaničnicima.