Gepost op 31-12-2022 11:29

VPN-bedrijven maken zich klaar voor een gevecht met de Indiase regering over nieuwe regels die zijn ontworpen om de manier waarop ze in het land werken te veranderen. Op 28 april kondigden functionarissen aan dat virtuele particuliere netwerkbedrijven onder een nieuwe nationale richtlijn verplicht zullen worden om grote hoeveelheden klantgegevens te verzamelen - en deze gedurende vijf jaar of langer te bewaren. VPN-providers hebben twee maanden de tijd om zich aan de regels te conformeren en data te gaan verzamelen.

De rechtvaardiging van het Computer Emergency Response Team (CERT-In) van het land is dat het in staat moet zijn om potentiële cybercriminaliteit te onderzoeken. Maar dat werkt niet bij VPN-providers, van wie sommigen hebben gezegd dat ze de eisen misschien negeren. "Deze laatste stap van de Indiase regering om van VPN-bedrijven te eisen dat ze persoonlijke gegevens van gebruikers overhandigen, is een zorgwekkende poging om inbreuk te maken op de digitale rechten van haar burgers", zegt Harold Li, vice-president van ExpressVPN. Hij voegt eraan toe dat het bedrijf nooit gebruikersinformatie of -activiteit zou loggen en dat het zijn "operaties en infrastructuur zal aanpassen om dit principe te behouden als en wanneer dat nodig is."

Ook andere VPN-aanbieders overwegen hun opties. Gytis Malinauskas, hoofd van de juridische afdeling van Surfshark, zegt dat de VPN-provider momenteel niet kan voldoen aan de logboekvereisten van India omdat het alleen RAM-servers gebruikt, die automatisch gebruikersgerelateerde gegevens overschrijven. "We onderzoeken nog steeds de nieuwe regelgeving en de implicaties ervan voor ons, maar het algemene doel is om door te gaan met het aanbieden van logbestandenvrije diensten aan al onze gebruikers", zegt hij. ProtonVPN is eveneens bezorgd en noemt de verhuizing een uitholling van burgerlijke vrijheden. "ProtonVPN houdt de situatie in de gaten, maar uiteindelijk blijven we ons inzetten voor ons beleid zonder logboeken en het behoud van de privacy van onze gebruikers", zegt woordvoerder Matt Fossen. "Ons team onderzoekt de nieuwe richtlijn en onderzoekt wat de beste manier van handelen is", zegt Laura Tyrylyte, hoofd public relations bij Nord Security, dat Nord VPN ontwikkelt. "We kunnen onze servers uit India verwijderen als er geen andere opties meer zijn."

De keiharde reactie van VPN-providers laat zien hoeveel er op het spel staat. India heeft snel afstand genomen van een vrije en open democratie en hardhandig opgetreden tegen niet-gouvernementele organisaties, journalisten en activisten, van wie velen VPN's gebruiken om te communiceren. Human Rights Watch waarschuwde onlangs dat de mediavrijheid wordt aangevallen in het land, met een aantal wets- en beleidswijzigingen die de rechten van minderheden in het land bedreigen. India is het afgelopen jaar acht plaatsen gedaald op de Press Freedom Index van Reporters Without Borders en staat nu op de 150e plaats van de 180 landen wereldwijd. Autoriteiten zouden journalisten hebben geviseerd, nationalistische verdeeldheid hebben aangewakkerd en intimidatie hebben aangemoedigd van verslaggevers die kritisch zijn over de Indiase premier Narendra Modi. Door gegevens over alle VPN-gebruikers in India te verzamelen en op te slaan, kunnen autoriteiten gemakkelijker zien met wie VPN-gebruikende journalisten contact opnemen en waarom.

Ambtenaren in India hebben beweerd dat de nieuwe regels voor VPN-providers geen deel uitmaken van een dataroof om de persvrijheid verder te belemmeren, maar eerder een poging zijn om cybercriminaliteit beter te controleren. India is de afgelopen jaren getroffen door een aantal aanzienlijke datalekken en was in 2021 het op twee na meest getroffen land ter wereld. "Datalekken zijn zo gewoon geworden in India dat ze niet langer voorpaginanieuws halen zoals vroeger", zegt Mishi Choudhary, een technologieadvocaat en oprichter van het Software Freedom Law Center, een dienstverlener op het gebied van juridische ondersteuning op het gebied van technologie in India. In mei 2021 werden de namen, e-mailadressen, locaties en telefoonnummers van meer dan 1 miljoen klanten van Domino's Pizza gestolen en online geplaatst; in hetzelfde jaar kwamen de persoonlijke gegevens van 110 miljoen gebruikers van digitaal betaalplatform MobiKwik op het dark web terecht. Nu de grote incidenten zich opstapelen, gaan Indiase functionarissen achter VPN's aan in een kennelijke poging om de golf van cybercriminaliteit te beheersen.

"CERT-In is verplicht om te reageren op cyberbeveiligingsincidenten", zegt Srinivas Kodali, een onderzoeker die zich richt op digitalisering in India van de Free Software Movement of India, hoewel hij de doeltreffendheid ervan betwist. Met deze informatie bij de hand zou CERT-In in theorie in staat moeten zijn eventuele incidenten achteraf sneller te onderzoeken. Maar velen geloven niet dat dit het volledige verhaal is. "CERT-In heeft niet echt een schoon verleden en ze hebben de privacy van burgers nooit echt beschermd", beweert Kodali. “Volgens de regels gaan ze deze logs alleen opvragen als ze die ook daadwerkelijk nodig hebben voor een onderdeel van een onderzoek. Maar in India weet je nooit hoe ze zullen worden misbruikt.”

En India is niet de enige. "Zuid-Aziatische regeringen concurreren in feite met elkaar tijdens deze operationele Olympische Spelen rond het schenden van de digitale rechten van hun burgers", zegt de Pakistaanse advocaat en internetactivist Nighat Dad. De Pakistaanse regering probeerde in oktober 2021 een wet in te voeren die haar het recht gaf om alle inhoud op sociale media in het land te controleren en te censureren. Pakistan heeft eerder de toegang tot Facebook, Twitter, YouTube, WhatsApp en Telegram geblokkeerd "om de openbare orde te handhaven". Papa is bang. “Niet alleen in Pakistan, maar ook in India zijn er gemarginaliseerde gemeenschappen die gevaar lopen. Dit is een enge situatie.” Soortgelijke zorgen zijn geuit in Indonesië, waar digitale platforms zich moeten registreren bij het ministerie van communicatie en ermee instemmen op verzoek toegang te verlenen tot hun systemen en gegevens. Zo ook in Bangladesh, waar de internetvrijheid volgens Freedom House een "all-time low" heeft bereikt, aangezien de regeringspartij wetten gebruikt om politieke dissidentie via sociale media aan te pakken.

VPN's die zijn ontwikkeld in - of actief zijn in - India zullen moeten kiezen of ze ingaan op het verzoek van CERT-In of hun steun aan het land intrekken. Kodali zegt dat providers een tussenoplossing kunnen gebruiken, waardoor nieuwe gebruikers niet kunnen betalen voor VPN's met een Indiase bankrekening, wat het theoretisch onmogelijk zou maken voor Indiërs om zich aan te melden, terwijl ze in de praktijk stilletjes een oplossing zouden kunnen vinden. Maar wat in India begint, zal daar waarschijnlijk niet eindigen. "Dit heeft wereldwijde implicaties", zegt Chander, die gelooft dat India een lesje leert van China, met zijn strenge internetoptredens. Er is een zorg dat andere, meer liberale regeringen ook het Indiaas-Chinese model zullen volgen. Aanvallen op end-to-end encryptie zijn schering en inslag in het Verenigd Koninkrijk, terwijl de Verenigde Staten samen met India, het Verenigd Koninkrijk, Japan, Australië en Nieuw-Zeeland een internationale verklaring hebben ondertekend waarin wordt gevraagd om toegang via een achterdeur die de encryptiestandaarden zou ondermijnen. "Ik denk dat het belangrijk is dat regeringen deze acties rechtvaardigen", zegt Chander, "en uitleggen hoe ze de burgerlijke vrijheden niet bedreigen."