Cyberthreat.id - Penyedia jaringan pribadi virtual ExpressVPN pekan lalu mengatakan akan menarik layanannya di India sehubungan dengan aturan keamanan siber baru yang kontroversial. Beberapa layanan sejenis dikabarkan sedang mempertimbangkan opsi serupa.

Pada 28 April, pemerintah India memperbarui pasal 70B  Undang-Undang Teknologi Informasi (TI), untuk menambahkan beberapa tindakan. Penyedia layanan, perantara, pusat data, perusahaan, dan organisasi pemerintah memiliki waktu enam jam untuk melaporkan berbagai penyusupan ke CERT-IN, sebuah badan yang bertugas mengatur tanggapan pemerintah terhadap penyusupan komputer.

Aturan baru, yang mulai berlaku pada bulan Juni, menyebabkan kemarahan di antara perusahaan teknologi di seluruh dunia. Banyak yang berpendapat aturan itu akan rumit dan memberi peretas kumpulan data yang tersedia untuk dicuri.

Sebuah kelompok perdagangan teknologi yang mewakili Apple, Google, Microsoft dan raksasa teknologi lainnya secara tegas menentang aturan baru itu. Namun, para pejabat India menolak mundur.

Aturan tersebut dikritik habis-habisan oleh perusahaan VPN yang tidak menyimpan jenis data pengguna yang sekarang diwajibkan oleh aturan baru di India. Menanggapi keluhan tersebut, Menteri Negara Elektronik dan Teknologi Informasi Rajeev Chandrasekhar mengatakan perusahaan “bebas meninggalkan negara itu jika mereka tidak mengikuti aturan baru.

“Jika Anda tidak memiliki log, mulailah memelihara log. Jika Anda penyedia layanan VPN yang ingin menyembunyikan dan menjadi anonim tentang mereka yang menggunakan VPN untuk melakukan bisnis di India dan tidak ingin mengikuti aturan ini, maka sejujurnya, keluarlah dari India. Itulah satu-satunya kesempatan yang Anda miliki, kata Chandrasekhar dalam sebuah acara pada 22 Mei tentang aturan baru seperti dilaporkan The Record.

Kamis pekan lalu, ExpressVPN merilis posting blog yang menjelaskan bahwa mereka akan menghapus server VPN yang berbasis di India sebagai tanggapan terhadap aturan baru.

ExpressVPN adalah salah satu layanan VPN paling populer di dunia bersama SurfShark, NordVPN, ProtonVPN, dan lainnya.

Perusahaan mengatakan pengguna di India masih dapat terhubung ke server VPN yang akan memberi mereka alamat IP India dan memungkinkan mereka untuk mengakses internet seolah-olah mereka berada di India melalui server virtual yang secara fisik berlokasi di Singapura dan Inggris.

“Di bawah aturan VPN baru India, yang mulai berlaku pada 27 Juni 2022, perusahaan akan diminta untuk menyimpan nama asli pengguna, alamat IP yang ditetapkan untuk mereka, pola penggunaan, dan data pengenal lainnya, kata perusahaan itu.

“Undang-undang data baru yang diprakarsai oleh Tim Tanggap Darurat Komputer India (CERT-In), yang dimaksudkan untuk membantu memerangi kejahatan dunia maya, tidak sesuai dengan tujuan VPN, yang dirancang untuk menjaga aktivitas online pengguna tetap pribadi. Undang-undang tersebut juga melampaui batas dan sangat luas sehingga membuka jendela untuk potensi penyalahgunaan. Kami percaya kerusakan yang ditimbulkan oleh potensi penyalahgunaan undang-undang semacam ini jauh melebihi manfaat apa pun yang diklaim oleh pembuat undang-undang akan datang darinya.

Perusahaan selanjutnya mengatakan mereka “menolak berpartisipasi dalam upaya pemerintah India untuk membatasi kebebasan internet dan “tidak akan pernah mengumpulkan log aktivitas pengguna, termasuk tidak ada pencatatan riwayat penelusuran, tujuan lalu lintas, konten data, atau permintaan DNS.

Mereka berjanji untuk tidak pernah menyimpan log koneksi, log alamat IP, alamat IP VPN keluar, stempel waktu koneksi, atau durasi sesi. Perusahaan telah membangun server VPN-nya sehingga mereka tidak dapat mencatat atau menyimpan data pada pengguna.

Siap Cabut Steker

Menyusul langkah ExpressVPN, beberapa penyedia layanan VPN terkemuka lainnya mengatakan mereka sedang mempertimbangkan tindakan serupa.

Laura Tyrylyte, kepala hubungan masyarakat di Nord Security, mengatakan bahwa jika posisi pemerintah India saat ini tidak berubah dalam beberapa minggu ke depan, mereka juga akan menghapus server mereka “karena tidak akan ada cara lain untuk tinggal di India sambil mempertahankan privasi pelanggan kami dan integritas layanan kami.

“Karena itu, kami tidak melihat alasan untuk menghapus infrastruktur kami lebih awal dari yang diperlukan. Kami juga bertujuan untuk menjangkau pelanggan kami dan memberi tahu mereka tentang perubahan yang akan datang. Kami percaya bahwa hak atas privasi sangat penting dan mendorong regulator untuk tidak terburu-buru mengambil keputusan yang dapat berdampak negatif terhadap hak-hak dasar digital, kata Tyrylyte.

Seorang juru bicara ProtonVPN melangkah lebih jauh, dengan mengatakan peraturan baru India seputar layanan VPN akan “mengikis kebebasan sipil dan mempersulit orang untuk melindungi data mereka secara online.

“ProtonVPN sedang memantau situasi, tetapi pada akhirnya kami tetap berkomitmen pada kebijakan larangan masuk kami dan menjaga privasi pengguna kami, kata juru bicara itu.

Seorang juru bicara SurfShark membuat komentar serupa, mengatakan perusahaan belum mematikan servernya di India tetapi “selalu siap untuk mencabut jika lingkungan tempat kami beroperasi menjadi tidak menguntungkan.

“Karena peraturan baru bertentangan dengan sifat layanan VPN – yang berupaya melindungi privasi pengguna, tim kami tetap berkomitmen untuk menyediakan layanan tanpa pencatatan kepada pengguna India. Jika diterapkan, undang-undang baru akan secara signifikan memengaruhi privasi data pengguna, kata juru bicara SurfShark.

Aturan baru telah menjadi penangkal kontroversi sejak dirilis pada akhir April. Sementara para pakar keamanan siber memuji negara itu karena mengambil sikap tegas terhadap keamanan siber, beberapa pendukung privasi mempertanyakan apakah pemerintah India telah melampaui batas.

Kurt Opsahl, wakil direktur eksekutif dan penasihat umum untuk Electronic Frontier Foundation, mengatakan kepada The Record bahwa aturan tersebut “menimbulkan masalah besar bagi kebebasan berekspresi dan privasi pengguna Internet, termasuk persyaratan berbahaya bagi platform untuk mengidentifikasi asal pesan dan konten pre-screen, yang pada dasarnya merusak enkripsi yang kuat untuk alat perpesanan.

“EFF memahami dan menghormati keputusan ExpressVPN untuk menarik diri dari India karena aturan keamanan siber dan TI India yang kejam, kata Opsahl.