अप्रैल 2022 में, भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) ने साइबर हमलों का मुकाबला करने और ऑनलाइन सुरक्षा को मजबूत करने के प्रयास में साइबर सुरक्षा दिशानिर्देश पेश किए। नए नियमों में वीपीएन सेवाओं और अन्य क्लाउड सेवा प्रदाताओं को सभी ग्राहक डेटा और आईसीटी लेनदेन को पांच साल तक बनाए रखने की आवश्यकता होगी।
वीपीएन उद्योग ने नए निर्देशों की निंदा करते हुए कहा है कि इस तरह के कड़े कानून वर्चुअल प्राइवेट नेटवर्क के मूल उद्देश्य और नीति के खिलाफ हैं। कई वीपीएन प्रदाताओं ने अपने भौतिक भारतीय सर्वरों को हटा दिया है।
क्या हैं ये नए नियम? और क्या कोई उपाय है?
वीपीएन प्रदाताओं के लिए नए गोपनीयता नियमों का क्या अर्थ है?
नए निर्देशों के तहत, सेवा प्रदाताओं को ग्राहकों की जानकारी का पांच साल या उससे अधिक समय तक रिकॉर्ड रखना होगा और अनुरोध पर इसे सरकार को सौंपना होगा।
नियम उपभोक्ता वीपीएन पर लागू करें; कॉर्पोरेट या एंटरप्राइज़ VPN इस श्रेणी में नहीं आते हैं।
एक बार लागू होने के बाद नए नियमों का मतलब होगा कि भारत में भौतिक सर्वर वाले किसी भी उपभोक्ता वीपीएन को ग्राहकों के रिकॉर्ड को स्टोर करने के लिए मजबूर किया जाएगा, जिसमें शामिल हैं:
- पूरा नाम और पता।
- फ़ोन नंबर।
- ईमेल पता।
- वास्तविक आईपी पता।
- नया आईपी पता (वीपीएन द्वारा जारी)।
- पंजीकरण का टाइमस्टैम्प।
- ग्राहकों का स्वामित्व पैटर्न।
- वीपीएन का उपयोग करने का उद्देश्य।
वीपीएन सेवाओं को सेवा रद्द करने के बाद भी उपयोगकर्ताओं के रिकॉर्ड बनाए रखने की आवश्यकता होती है। ये नियम न केवल उपयोगकर्ताओं की गोपनीयता का उल्लंघन करते हैं; वे अधिकांश वीपीएन के काम करने के तरीके से भी असंगत हैं। इससे अलग सख्त नो-लॉग्स नीतियां, हार्डवेयर कॉन्फ़िगरेशन कुछ वीपीएन प्रदाताओं के लिए डेटा रिकॉर्ड करना असंभव बना देता है।
उदाहरण के लिए, एक्सप्रेसवीपीएन, पीआईए और सुरफशार्क रैम-आधारित सर्वर संचालित करते हैं जो पारंपरिक हार्ड ड्राइव के बजाय अस्थिर रैम मॉड्यूल का उपयोग करते हैं। एक बार जब सर्वर से बिजली हटा दी जाती है, तो सारा डेटा खो जाता है।
नए नियम शुरू में घोषित होने के 60 दिनों के भीतर यानी 27 जुलाई को लागू होने की उम्मीद थी। लेकिन सीईआरटी-इन के एक अपडेट के अनुसार, समय सीमा तीन महीने बढ़ाकर 25 सितंबर, 2022 कर दी गई है।
यह विस्तार क्लाउड सेवा प्रदाताओं और एसएमई को नई दिशाओं को लागू करने के लिए क्षमता निर्माण के लिए आवश्यक समय प्रदान करेगा। इन्हें पूरा करने में विफल रहने पर कारावास या अन्य दंडात्मक कार्रवाई हो सकती है।
साइबर सुरक्षा उद्योग ने भारत के गोपनीयता नियमों पर कैसे प्रतिक्रिया दी?
इंटरनेट फ्रीडम फाउंडेशन (आईएफएफ) ने एक बयान जारी कर इस कानून को यूजर्स की निजता और सूचना सुरक्षा का उल्लंघन बताया है।
वीपीएन सेवा प्रदाता, विशेष रूप से, दिशानिर्देशों के खिलाफ हैं क्योंकि वे वीपीएन के मूल सिद्धांतों के खिलाफ जाते हैं, जो कि उपयोगकर्ताओं की गतिविधि को निजी रखना है।
एक्सप्रेसवीपीएन अपने सर्वरों को भारत से बाहर ले जाने वाला पहला था। इसने नियमों का वर्णन किया "व्यापक" और "अतिव्यापी" के रूप में और यह बनाए रखा कि इस तरह के कानून का संभावित दुरुपयोग लाभ से कहीं अधिक है।
सुरफशार्क जल्द ही सूट का पालन किया और अपने भारतीय सर्वर को बंद करने की घोषणा की। एक ब्लॉग पोस्ट में, कंपनी ने कहा,
"सुरफशार्क एक सख्त" नो लॉग्स "नीति के तहत गर्व से काम करता है, इसलिए इस तरह की नई आवश्यकताएं कंपनी के मूल लोकाचार के खिलाफ जाती हैं।"
नॉर्डवीपीएन ने यह भी पुष्टि की कि यह देश के साइबर सुरक्षा निर्देश के जवाब में भारतीय सर्वरों को समाप्त कर रहा है।
कई अन्य वीपीएन सेवा प्रदाता उसी मार्ग पर विचार कर रहे हैं यदि गोपनीयता कानून अपने वर्तमान स्वरूप में लागू होता है, जिसमें शामिल हैं:
- प्रोटॉन वीपीएन।
- साइबर भूत।
- मुझे छुपा दो।
- शुद्ध वीपीएन।
- प्रिवाडो।
इसके बावजूद, कुछ वीपीएन अभी भी वर्चुअल सर्वर का उपयोग करके भारतीय आईपी पता प्राप्त करने का एक तरीका प्रदान करते हैं।
क्या वर्चुअल सर्वर उपयोग करने के लिए सुरक्षित हैं?
यदि आप गोपनीयता के प्रति जागरूक उपयोगकर्ता हैं और आपको भारतीय सामग्री को अनब्लॉक करने की आवश्यकता है, तो वर्चुअल सर्वर के रूप में एक समाधान है। यह आदर्श नहीं है, लेकिन फिर भी अगला सबसे अच्छा विकल्प है।
एक वर्चुअल सर्वर एक समर्पित भौतिक सर्वर का एक सॉफ्टवेयर-आधारित प्रतिनिधित्व है। यह कार्यक्षमता को फिर से बनाता है लेकिन एक भौतिक सर्वर की अंतर्निहित मशीनरी का अभाव है। नेटवर्क एडमिनिस्ट्रेटर एक भौतिक सर्वर को कई वर्चुअल सर्वर में विभाजित करने के लिए वर्चुअलाइजेशन सॉफ्टवेयर का उपयोग करते हैं।
सुरफशाख और एक्सप्रेसवीपीएन जैसे वीपीएन उपयोगकर्ताओं को भारतीय सामग्री को अनब्लॉक करने में मदद करने के लिए वर्चुअल सर्वर का उपयोग करते हैं। ये सर्वर भौतिक रूप से यूके और सिंगापुर में स्थित हैं, लेकिन कई भारतीय आईपी पतों का उपयोग करते हैं जो ऐसा प्रतीत करते हैं जैसे आप भारत के भीतर से वेब ब्राउज़ कर रहे हैं।
चूंकि वर्चुअल सर्वर भारत में भौतिक रूप से स्थित नहीं हैं, इसलिए नए डेटा प्रतिधारण कानून उन पर लागू नहीं होते हैं। आप अभी भी सामान्य नो-लॉग्स पॉलिसी का आनंद लेते हैं - कुछ मामूली कमियों के साथ। इनमें संसाधन हॉगिंग और कम प्रदर्शन वाले मुद्दे शामिल हैं। यह आमतौर पर तब होता है जब एक भौतिक मशीन कई वर्चुअल सर्वरों को होस्ट करती है, जिनमें से कुछ संसाधनों का अत्यधिक उपयोग करना शुरू कर सकते हैं।
दूसरी कमी उनकी उपलब्धता से संबंधित है। सभी वीपीएन सेवाएं वर्चुअल सर्वर प्रदान नहीं करती हैं; जो ऐसा करते हैं, वे आमतौर पर अंतराल और धीमी कनेक्शन गति से पीड़ित होते हैं। हालाँकि, यदि आप किसी ऐसे देश से कनेक्ट कर रहे हैं, जहां यह स्थित है, तो आपको तेज़ गति दिखाई दे सकती है।
वीपीएन उपयोगकर्ताओं के लिए इसका क्या अर्थ है?
जैसा कि शीर्ष वीपीएन कंपनियां भारत में अपने सर्वर को समाप्त करती हैं, उपयोगकर्ता इस बात से चिंतित हैं कि वे वीपीएन सेवाओं का उपयोग कैसे करेंगे। कई वीपीएन ने अपनी जरूरतों को पूरा करने के लिए वर्चुअल सर्वर प्रदान करना शुरू कर दिया है।
अभी तक, हमें ऐसी किसी भी वीपीएन कंपनी के बारे में जानकारी नहीं है, जो डेटा प्रतिधारण कानूनों से सहमत है। लेकिन अगर आप वीपीएन का उपयोग करते हैं और देशों की सूची में एक भारतीय सर्वर देखते हैं, तो यह आपकी अपनी गोपनीयता के लिए कंपनी के साथ जांच करने लायक है।
