Le fournisseur de VPN Surfshark est devenu la dernière entreprise à retirer ses serveurs d'Inde cette semaine, en réponse aux tentatives du gouvernement de réglementer le trafic Web crypté.
Les nouvelles directives de la principale agence indienne de cybersécurité, la Computer Emergency Response Team of India (Cert-In), exigent que les VPN, les serveurs privés virtuels (VPS) et les fournisseurs de services cloud stockent les noms, les adresses e-mail, les adresses IP, la connaissance des dossiers clients et opérations financières. pour une période de cinq ans.
SurfShark anunció en un artículo titulado "Surfshark apagando servidores en India en respuesta a la ley de datos" el miércoles que "opera con orgullo bajo una estricta política de 'no registros', por lo que estos nuevos requisitos van en contra de la ética fundamental de l'entreprise". .
SurfShark n'est pas le premier fournisseur VPN à retirer ses serveurs du pays suite à la directive. ExpressVPN a également décidé de prendre la même mesure la semaine dernière, NordVPN avertissant également qu'il supprimerait les serveurs physiques si les directives ne sont pas inversées.
La nouvelle réglementation VPN "manque de clarté"
Comme de nombreuses entreprises dans le monde, les entreprises indiennes ont accru leur dépendance aux VPN depuis que la pandémie de COVID-19 a forcé de nombreux employés à travailler à domicile. L'adoption du VPN s'est développée pour permettre aux employés d'accéder à distance aux données sensibles, alors même que les entreprises ont commencé à adopter d'autres moyens sécurisés pour permettre l'accès à distance, tels que les solutions Zero Trust, Network Access et Smart DNS.
Un rapport Atlas VPN souligne que le taux de pénétration du VPN en Inde est passé de 3 % en 2020 à plus de 25 % au premier semestre 2021, augmentant au rythme le plus rapide au monde pour atteindre 348,7 millions d'installations, ce qui représente une croissance de 671% par rapport à 2020. .
"Cela aura un impact énorme sur les entreprises indiennes car ces dispositions pourraient rendre plus difficile pour elles de soutenir les employés travaillant à distance, comme c'est le cas depuis la pandémie de COVID", a déclaré Prasanth Sugathan, associé chez Sugathan Law Firm and Associates.
La directive émise par Cert-In le 28 avril stipule également que les vulnérabilités de cybersécurité doivent être divulguées dans les six heures suivant leur découverte. En fait, il y a tellement de confusion à propos de la directive de huit pages que Cert-In a publié une FAQ de 28 pages.
"Les directives sont très larges et il n'y a pas beaucoup de clarté sur la façon dont cela sera appliqué en raison du libellé de la directive. Le simple fait que le gouvernement ait dû publier une longue note FAQ avec la directive montre la complexité de la situation. Vous peut ne pas avoir de FAQ pour clarifier les dispositions légales », a déclaré Sugathan.
Selon les données de Surfshark, depuis 2004, 254,9 millions de comptes appartenant à des utilisateurs indiens ont été piratés. "Pour mettre cela en perspective, 18 Indiens sur 100 ont vu leurs données personnelles piratées", selon une note de Surfshark.
"Prendre des mesures aussi drastiques qui ont un impact significatif sur la vie privée de millions de personnes vivant en Inde se retournera probablement contre elle et nuira grandement à la croissance de l'industrie dans le pays. En fin de compte, la collecte de quantités excessives de données au sein de la juridiction indienne sans une protection solide mécanismes, pourraient même conduire à davantage de violations à travers le pays », ajoute la note.
Copyright © 2022 IDG Communications, Inc.