Строгие правила конфиденциальности Индии для провайдеров VPN отложены на 3 месяца

Индийская команда реагирования на компьютерные чрезвычайные ситуации (CERT-In) в понедельник решила отложить свои новые правила конфиденциальности для центров обработки данных, провайдеров виртуальных частных сетей (VPN), провайдеров виртуальных частных серверов (VPS) и провайдеров облачных услуг на еще три месяца.

Срок для соблюдения новых правил конфиденциальности в Индии должен был вступить в силу 27 июня 2022 года, но теперь он продлен до 25 сентября 2022 года.

“Продление сроков реализации этих направлений кибербезопасности от 28 апреля 2022 года было предложено в отношении микро-, малых и средних предприятий (МСП) для предоставления разумного времени для создания необходимой емкости для реализации этих направлений,” - подчеркнул CERT-In в своем новом уведомлении в понедельник.

“Также было запрошено дополнительное время для реализации механизма валидации подписчиков/клиентов центрами обработки данных, провайдерами виртуальных частных серверов (VPS), провайдерами облачных услуг и провайдерами услуг виртуальных частных сетей (VPN).”

Для незнающих, 28 апреля 2022 года CERT-In выпустил направления по кибербезопасности для центров обработки данных, провайдеров VPS, провайдеров облачных услуг и провайдеров услуг виртуальных частных сетей (VPN), которые требуют от них собирать/хранить информацию о пользователях как минимум в течение пяти лет – даже после того, как пользователи перестанут пользоваться услугой – и передавать ее агентству. Те, кто откажется соблюдать, могут столкнуться с тюремным заключением на срок до одного года.

Новые правила требовали от них собирать следующую информацию:

2. Проверенные имена подписчиков/клиентов, нанимающих услуги

3. Период аренды, включая даты

4. IP-адреса, выделенные/используемые участниками

5. Адрес электронной почты и IP-адрес, а также временная метка, использованная во время регистрации/входа

6. Цель аренды услуг

7. Проверенный адрес и контактные номера

8. Структура собственности подписчиков/клиентов, нанимающих услуги

Обоснованно, новые правила были широко раскритикованы провайдерами VPN, экспертами по кибербезопасности и технологами, которые заявили, что они серьезно ослабят конфиденциальность и безопасность на индийском рынке.

Местные эксперты по кибербезопасности из Индии и всего мира призвали отложить соблюдение Направлений, выпущенных в апреле. Они отправили совместное письмо в CERT и Министерство электроники и информационных технологий (MeiTY) в понедельник, предупреждая их о негативном влиянии, которое Направления окажут на кибербезопасность и конфиденциальность.

“Направления в их текущей форме приведут к непреднамеренным последствиям, подрывающим кибербезопасность и ее ключевой компонент – онлайн-конфиденциальность. Мы осознаем необходимость создания структуры для отчетности о киберинцидентах, но сроки отчетности и чрезмерные приказы о хранении данных, изложенные в Руководящих принципах, приведут к негативным последствиям на практике и затруднят эффективность, угрожая конфиденциальности и онлайн-безопасности,” - написали они.

Тем временем, такие провайдеры VPN, как NordVPN, Surfshark, ExpressVPN и PureVPN, уже закрыли свои физические VPN-серверы в Индии, так как считают, что новые правила VPN нарушают право на защиту конфиденциальности.

Что касается индийского правительства, оно ясно дало понять, что не намерено смягчать новые правила и не будет проводить публичные обсуждения по этому вопросу.