Indijsko Ministarstvo za elektroniku i informacione tehnologije [3] (MeitY) je nedavno objavilo [4] da će mnogi provajderi internet usluga, posrednici i centri podataka odgovorni za anonimne i privatne internet usluge morati da čuvaju širok spektar korisničkih podataka pet godina. Direktiva, koja , uključuje obavezno prijavljivanje „sajber incidenata“ kao što su kršenje podataka ili curenje podataka u roku od šest sati od identifikacije.
Tim ministarstva za kompjuterske hitne slučajeve [5] (CERT-in) objavio je saopštenje [6] 28. aprila 2022., obraćajući se organizacijama koje pružaju virtuelnu privatnu mrežu [7] (VPN), virtuelni privatni server [8] (VPS) i usluge u oblaku [9], kao i centre podataka [10]. Pošto su VPN-ovi i usluge zasnovane na blokčejnu često dizajnirane da obezbede anonimnost i privatnost korisnika, ova direktiva bi mogla da natera mnoge provajdere usluga da ili zaustave operacije u Indiji ili naruše privatnost svojih korisnika.
Indijski neprofitni pravni centar za slobodu softvera izrazio je zabrinutost [11] zbog povlačenja najveće svetske VPN kompanije [12], NordVPN iz Indije (NordVPN, jedan od najvećih svetskih provajdera VPN-a, mogao bi da se povuče iz Indije zbog naredbe indijskog tima za hitne slučajeve @IndianCERT prošle nedelje koja zahteva od provajdera virtuelnih privatnih mreža da održavaju korisničke podatke.
#InfoSec #CiberSecuriti #VPN
Ekskluzivno: NordVPN može povući servere iz Indije nakon IT Mini…
NordVPN, jedan od najvećih svetskih VPN provajdera, mogao bi da se povuče iz Indije zbog naloga indijskog tima za hitne slučajeve.):
NordVPN, jedan od najvećih svetskih provajdera VPN-a, mogao bi da se povuče iz Indije zbog naredbe indijskog tima za hitne slučajeve @IndianCERT [13] prošle nedelje koja zahteva od provajdera virtuelnih privatnih mreža da održavaju korisničke podatke.#InfoSec [14] #CyberSecurity [15] #VPN [16]https://t.co/wZCBkisI4D [17]
— sflc.in (@SFLCin) 6. maj 2022 [18]
Međunarodni provajder usluga Proton VPN takođe je uložio protest (Novi indijski VPN propisi su napad na #privatnost i prete da stave građane pod mikroskop nadzora. Ostajemo posvećeni našoj politici bez evidentiranja i preporučujemo svima koji koriste naše servere u Indiji da prate ove smernice:):
Novi indijski propisi o VPN-u su napad na #privatnost [19] i prete da stave građane pod mikroskop nadzora. Ostajemo posvećeni našoj politici bez evidencije i preporučujemo svima koji koriste naše servere u Indiji da prate ove smernice: https://t.co/85WTkUJ5Z6 [20]. (1/2)
— ProtonVPN (@ProtonVPN) 5. maja 2022 [21]
Zašto bi Indijci trebali biti zabrinuti?
Korišćenje VPN usluge može sakriti vašu lokaciju i IP adresu i dodati još jedan nivo bezbednosti otvorenoj mreži. Međutim, ove usluge ne pohranjuju [22] evidenciju vaših pristupnih zapisa i aktivnosti na mreži, niti ih prosljeđuju trećim stranama – pa iako indijska vlada ne zabranjuje VPN-ove, novinare, aktiviste i druge koji koriste ove usluge da sakriju svoj internet trag će rizikovati da budu izloženi, čak i dok koristite VPN usluge [23].
Indijska organizacija za digitalne slobode Internet Freedom Foundation (Fondacija za slobodu interneta) je izrazila zabrinutost u vezi sa ovom CERT-In direktivom [24], uključujući nedostatak definicija, neusaglašenost sa postojećim odredbama o sajber bezbednosti i preterane zahteve za zadržavanje podataka. Takođe je zabrinut što gradi staza za masovni nadzor (Izjava: Pozivamo @IndianCERT da opozove Uputstva o praksi bezbednosti informacija izdata 28. aprila koja stupaju na snagu 27. juna. Ova uputstva su nejasna. Oni potkopavaju privatnost korisnika i sigurnost informacija, suprotno mandatu CERT-a. 1/n. Pročitajte celu konvenciju na Tviteru):
Izjava: Pozivamo @IndianCERT [13] da opozove Uputstva o praksi bezbednosti informacija izdata 28. aprila koja stupaju na snagu 27. juna. Ova uputstva su nejasna. Oni potkopavaju privatnost korisnika i sigurnost informacija, suprotno mandatu CERT-a. 1/n pic.twitter.com/okzMhgIG0y [25]
— Fondacija za slobodu interneta (IFF) (@internetfreedom) 4. maj, 2022 [26]
Specifični podaci koje će navedeni provajderi usluga morati da čuvaju uključuju imena korisnika, trajanje i datume korišćenja, internet protokol (IP) korisnika i adrese e-pošte, pa čak i IP adresu i vremensku oznaku koja se koristi u trenutku registracije ili usluge. Pored toga, od njih se traži da dokumentuju svrhu usluga, kao i adrese, kontakt brojeve i obrasce vlasništva ljudi koji ih koriste. Javni cirkular [6] takođe naglašava imenovanje tačke kontakta (PoC), i deljenje detalja PoC-a sa CERT-in Sa svoje strane, CERT-in kaže da je ovaj korak preventivna mera protiv različitih vrsta zlonamernih i ciljanih napada, uključujući kršenje i curenje podataka, i napade putem špijunskog softvera, ransomvare-a ili fišing-a.
CERT-in cirkular nalaže prijavljivanje takvih „sajber incidenata“ vladinim organima u roku od šest sati od identifikacije. Internetska novinska publikacija Medianama izvestila je da [27] je Savet industrije informacionih tehnologija [28] (ITI), a predstavnik tehnoloških kompanija — uključujući velike tehnološke korporacije poput Apple, Amazon, Meta (Facebook), Google (Alphabet), i Microsoft — izrazio zabrinutost u vezi sa ovom novom direktivom [29] i da, osim što može naneti štetu tehnološkoj industriji, može takođe da potkopa sajber bezbednost Indije. ITIC je preporučio povećanje vremena izveštavanja sa šest sati na 72, i smatra da je održavanje korisničkih dnevnika 180 dana rizično za korisnike i skupo za pružaoce usluga.
Mandat takođe zahteva od posrednika i provajdera usluga da se povežu na određene servere mrežnog vremenskog protokola (NTP) [30] za sinhronizaciju sata njihovog IKT sistema. NTP je mrežni protokol, koji koriste računarski sistemi povezani preko interneta i drugih mreža podataka, za sinhronizaciju sata. Veliki bezbednosni incidenti [31] prijavljeni su poslednjih godina zbog NTP-a, a ITIC je rekao da takav zahtev može „negativno uticati na bezbednosne operacije kompanija, kao i na funkcionalnost njihovih sistema, mreža i aplikacija“.
Ukazujući na nedostatke u direktivi i označavajući kako CERT-In nije uspeo da uradi svoj posao tokom kršenja podataka, Mishi Choudhary, osnivač Pravnog centra za slobodu softvera (SFLC.in) u Nju Delhiju, primetio je [32], „Zahteve za registraciju VPN korisnika [i ] povezivanje identifikacije sa IP adresama izaziva ozbiljnu zabrinutost za privatnost i trebalo bi da bude uklonjeno. CERT-In ne može oduzeti pravo na korišćenje određenih alata u ruhu sajber bezbednosti.”
Široko rasprostranjena kritika
U međuvremenu, onlajn komentari o direktivi su bili veoma popularni, a softverski inženjer i bloger Manoj Saru je postavio očigledno pitanje:
Provajderi VPN-a u Indiji imaju mandat da prikupljaju podatke o klijentima, kaže indijska vlada 🤯🤯
Jednostavno pitanje koja je svrha korišćenja vpn-a ?? 🤔🤔 pic.twitter.com/0bIRtBOZmE [33]
— Manoj Saru (@ManojSaru) 6. maja 2022. godine [34]
Novinar Tanai Singh Thakur je tvitovao:
CERT-In je odlučio da će #VPN [16] kompanije u Indiji sada morati da čuvaju korisničke podatke do pet godina. Ovo će definitivno biti veliko razočarenje za mnoge koji svakodnevno koriste VPN-ove da prikriju svoju kritičnu komunikaciju i pregledavanje na mreži. (🧵).
— Tanay Singh Thakur (@TanaysinghT) 13. maja 2022 [35]
Korisnik Tvitera Vikram Karandikar upozorio je:
@narendramodi [36] @rsprasad [37] najnovija politika za VPN kompanije je pogrešna. Previše državne kontrole zabrinjava. Idemo u pogrešnom pravcu. #VPN [16] #india [38]
— Vikram Karandikar विक्रम करंदीकर (@vickybadbad) 13. maja 2022 [39]
Kroz seriju tvitova [40], istaknuti stručnjak za sajber bezbednost Anand Venkatanarajanan kritikovao je kako CERT-in nije težio sopstvenoj infrastrukturi čak i kada je uveo mandat vezan za NTP. U tom smislu, on je doveo u pitanje [41] preporučenu upotrebu servera nacionalnog informatičkog centra (NIC) u vlasništvu države, koji su se u prošlosti pokazali ranjivi na kršenja bezbednosti, sugerišući da bi to moglo dovesti do još kršenja ako i kada direktiva stupi na snagu.
U jednom biltenu, Venkatanaraianan je dalje kritikovao ovu direktivu [42], hnaglašavajući loš tehnički kapacitet koji je CERT-in pokazao 2019. godine kada je WhatsApp objavio da se bezbednosne ranjivosti iskorištavaju za korišćenje Pegasus špijunskog softvera:
[..]iako zemlje žele da budu samostalne, težnja nije zamena za kapacitete, sposobnosti i budžete.
Amnesti Indija je tvitovala:
Najnovija direktiva indijske vlade koja traži od VPN kompanija da prikupljaju i čuvaju podatke korisnika u periodu od pet godina ili se suočavaju sa zabranom i zatvorom predstavlja novi veliki udarac pravima na privatnost i slobodu izražavanja u Indiji.
1/6https://t.co/FYidrQf0tB [43]
— Amnesty India (@AIIndia) 5. maja 2022. godine [44]
2021. godine, projekat Pegasus je otkrio [45] navodnu ulogu indijske vlade u korišćenju špijunskog softvera Pegasus za njuškanje opozicionih političara, novinara koji su kritični prema vladi i visokim vladinim zvaničnicima.