VPN провайдеры со строгой политикой без логов могут почувствовать себя непрошеными гостями в Индии после вступления в силу новой директивы, принятой национальным агентством по вопросам кибербезопасности.

Текст документа был опубликован индийской группой реагирования на компьютерные инциденты (CERT) в конце прошлого месяца. Новый закон обязывает VPN-провайдеры наряду с центрами сбора и обработки данных, поставщиками облачных услуг и виртуальных частных серверов (VPS) хранить большой объём данных о пользователях в течение как минимум 5 лет даже после того, как те откажутся от их услуг.

К логам, которые VPN-провайдеры будут вынуждены хранить после вступления директивы в силу в конце июля, относятся:

• Имя пользователя, физический адрес и контактный номер;
• Период использования;
• IP-адреса, предоставленные провайдером;
• Адрес электронной почты и IP-адрес при регистрации, а также точные дата и время начала использования (time stamp);
• Цель использования;
• Характер собственности.

Министерство коммуникаций и информационных технологий Индии утверждает, что усиление контроля над работой VPN и других поставщиков онлайн-услуг позволит властям повысить уровень защиты страны от киберугроз. Согласно заявлению министерства, новый закон направлен на устранение «пробелов», которые «препятствуют анализу киберинцидентов». Его вступление в силу должно «улучшить общую ситуацию с кибербезопасностью [в Индии] и обеспечить безопасный и надежный интернет в стране.

В случае несоблюдения положений директивы провайдеры рискуют столкнуться с негативными последствиями в соответствии с законом об информационных технологиях (Information Technology Act, ITA). Соответствующая статья закона предусматривает тюремное заключение сроком до 1 года или штраф в 100,000 рупий (около 88,000 руб) или и то, и другое за отказ от следования директиве.

Вступление в силу нового закона нанесёт удар по деятельности «анонимных» VPN-сервисов, которые придерживаются строгой политики нулевых логов.

Провайдерам придётся подчиниться требованиям закона и начать хранить данные на серверах, что означает меньшую конфиденциальность для конечного пользователя, — или уйти в «серую зону» или вовсе прекратить свою деятельность в Индии. Более того, новые требования могут повысить стоимость услуг VPN-провайдеров для индийских пользователей, так как вендорам придется арендовать или приобретать собственные серверы хранения данных для ведения логов.

AdGuard не логгирует информацию и не хранит никакие личные данные — это противоречит ценностям компании. Требований закона мы выполнить не сможем. Мы внимательно следим за развитием ситуации и думаем над возможными решениями: возможно, придётся пересмотреть присутствие наших серверов в данном регионе.