VPN-leverantören Surfshark blev det senaste företaget att ta bort sina servrar från Indien denna vecka, som svar på regeringens försök att reglera krypterad webbtrafik.
Ny vägledning från Indiens ledande cybersäkerhetsbyrå, Indian Computer Emergency Response Team (Cert-In), kräver att VPN, virtuell privat server (VPS) och molntjänstleverantörer lagrar namn, e-postadresser, IP-adresser, kunskap om kundregister och finansiella transaktioner . under en period av fem år.
SurfShark tillkännagav i en artikel med titeln "Surfshark Shutting Down Servers in India in Response to Data Law" på onsdagen att de "stolt fungerar under en strikt "inga loggar"-policy, så dessa nya krav strider mot företagets grundläggande etik." .
SurfShark är inte den första VPN-leverantören att ta bort sina servrar från landet efter direktivet. ExpressVPN beslutade också att vidta samma åtgärd förra veckan, och NordVPN varnade också för att de skulle ta bort fysiska servrar om riktlinjerna inte ändras.
Nya VPN-regler "saknar tydlighet"
Liksom många företag runt om i världen har indiska företag ökat sitt beroende av VPN sedan covid-19-pandemin tvingade många anställda att arbeta hemifrån. VPN-antagandet har vuxit så att anställda kan komma åt känsliga data på distans, även när företag har börjat använda andra säkra sätt att möjliggöra fjärråtkomst, såsom Zero Trust, Network Access och Smart DNS-lösningar.
En rapport från Atlas VPN visar att VPN-penetrationshastigheten i Indien ökade från 3 % 2020 till över 25 % under första halvåret 2021, och växte i den snabbaste takten i världen med häpnadsväckande 348,7 miljoner installationer, vilket motsvarar en tillväxt på 671 % jämfört med 2020. .
"Detta kommer att ha en stor inverkan på indiska företag eftersom dessa bestämmelser kan göra det svårt för dem att stödja anställda som arbetar på distans, vilket har varit fallet sedan covid-pandemin", säger Prasanth Sugathan, partner på Sugathan Law Firm and Associates.
Direktivet som utfärdades av Cert-In den 28 april säger också att cybersäkerhetssårbarheter måste avslöjas inom sex timmar efter upptäckten. Faktum är att det råder så mycket förvirring kring direktivet på åtta sidor att Cert-In har publicerat en 28-sidig FAQ.
"Riktlinjerna är mycket breda och det finns inte så stor klarhet i hur detta kommer att tillämpas på grund av direktivets ordalydelse. Bara det faktum att regeringen var tvungen att utfärda en lång FAQ-notis med direktivet visar på komplexiteten i situationen. Du kanske inte har vanliga frågor för att klargöra de rättsliga bestämmelserna, säger Sugathan.
Enligt uppgifter från Surfshark har 2004 miljoner konton som tillhör indiska användare hackats sedan 254,9. "För att sätta detta i perspektiv har 18 av 100 indier fått sina personuppgifter hackade", enligt en Surfshark-anteckning.
"Att vidta sådana drastiska åtgärder som har en betydande inverkan på integriteten för miljontals människor som bor i Indien kommer sannolikt att vara kontraproduktivt och kommer att i hög grad skada tillväxten av sektorn i landet. I slutändan kommer insamlingen av alltför stora mängder data inom "indisk jurisdiktion Utan starka skyddsmekanismer kan det till och med leda till fler kränkningar över hela landet”, tilläggs anteckningen.
Copyright © 2022 IDG Communications, Inc.