CERT-In и VPN: кто ушёл из Индии за 4 года
В апреле 2022-го индийская команда реагирования на компьютерные инциденты — CERT-In — выпустила директиву, которая фундаментально перестроила VPN-рынок Индии. Это подавалось в прессе как наезд на приватность. По сути это было требование комплаенса, которое часть провайдеров выполнять отказалась. Четыре года спустя индийский VPN-рынок всё ещё работает в тени этих последствий.
Мы можем писать об этом честно, потому что у нас в Индии серверов никогда не было. Крупные западные бренды — NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad — имели серверы в Индии и в середине 2022-го должны были выбирать. Большинство выбрали физически уйти. Постов в блогах с заголовком «Мы ушли из Индии» они после этого не выпускали.
Вот что реально случилось, что изменилось с тех пор и как об этом думать.
Что именно требует CERT-In
Директива апреля 2022-го короткая. Она применяется к VPN-провайдерам, облачным провайдерам и операторам дата-центров с инфраструктурой в Индии. Релевантные требования:
- Пять лет хранения KYC-данных клиентов. Обязательные поля: имя, адрес, номер телефона, email, IP-адрес, выделенный клиенту, срок контракта, метод оплаты и заявленная цель использования VPN. Последнее необычно — большинство режимов хранения спрашивают, чем был сервис, а не для чего его использовали.
- Шесть часов на отчёт об инциденте. О любом киберинциденте надо доложить в CERT-In в течение шести часов с момента идентификации. Для сравнения: GDPR ЕС требует 72 часа.
- Логи синхронизированы с индийским временем (NTP-синхронизация с серверами NIC или NPL).
- Логи хранятся 180 дней для общих системных и сетевых логов (отдельно от 5-летнего срока KYC-данных).
Директива вступила в силу 27 июня 2022-го. Штрафы за несоблюдение доходят до года тюрьмы для должностных лиц компании по статье 70B(7) IT Act, плюс денежные штрафы.
Почему большинство репутабельных провайдеров отказались
Требование хранения было структурно несовместимо с no-logs-обещанием.
No-logs VPN в честной форме не хранит записей, связывающих клиента с его подключениями, трафиком или назначениями. NordVPN, ExpressVPN, Mullvad, Proton и Surfshark широко маркетинговались на no-logs-обещаниях, и большинство имели сторонние аудиты для подтверждения. Директива CERT-In требовала от них хранить ровно те записи, инфраструктуру для не-хранения которых они строили годами.
Их варианты были: (1) комплаенс — логировать индийских клиентов пять лет и тихо забыть про no-logs-claim для этой клиентской базы; (2) физически убрать индийскую инфраструктуру, чтобы директива на неё больше не распространялась; (3) отказаться от соблюдения и принять юридический риск.
В основном выбрали вариант 2.
- ExpressVPN убрал индийские серверы 2 июня 2022-го — до вступления директивы в силу.
- NordVPN убрал индийские серверы 26 июня 2022-го, за день до дедлайна.
- Surfshark убрал индийские серверы 27 июня 2022-го.
- ProtonVPN убрал индийские серверы в начале 2023-го после изначальной попытки альтернативного решения.
- Mullvad убрал индийские серверы и виртуальных замен не добавил.
- IPVanish и Private Internet Access также вывели физическую инфраструктуру.
Чего они не прекратили — это предлагать «индийские IP» своим клиентам. Они перешли на схему виртуальных серверов: сервер физически в Сингапуре (чаще всего), Нидерландах или Лондоне, сконфигурированный с индийским IP-адресом, маршрутизируемым через peering так, чтобы трафик казался идущим из Индии. NordVPN добавил первую виртуальную индийскую локацию в январе 2024-го, физически из Сингапура. ExpressVPN и Surfshark последовали схожим путём.
Это реальный продуктовый компромисс. У виртуального индийского IP не те же характеристики, что у сервера, реально стоящего в Мумбаи или Бангалоре — профиль латентности другой, репутация IP-блока может отличаться, маршрут проходит через международный канал. В большинстве сценариев разница незаметна. Для нагрузок, чувствительных к латентности и требующих индийский сервер (некоторые онлайн-игры, отдельные регулируемые банковские взаимодействия), это имеет значение.
Провайдеры, которые согласились — оставили физические индийские серверы и логируют клиентов согласно директиве — это в основном мелкие бренды и менее заметные агрегаторы. Их мы не называем; смысл в том, что «использует индийские серверы» в пост-2022 уже не сигнал качества, а флажок комплаенса.
Январь 2025: удаления из app store
Вторая волна правоприменения подоспела почти через три года.
В конце 2024 / начале 2025 года индийский Cyber Crime Coordination Centre (I4C) при Министерстве внутренних дел приказал Apple и Google удалить конкретные VPN-приложения из индийских Apple App Store и Google Play. Приказ изначально нацелился на 14 приложений по данным Internet Freedom Foundation (IFF) и MediaNama.
Пять удалений были подтверждены в прессе к 3 января 2025-го:
- Cloudflare 1.1.1.1 (технически приложение DNS-and-WARP, но включает бесплатный WireGuard VPN-туннель)
- Hide.me VPN
- PrivadoVPN
- Touch VPN
- X-VPN
Крупных коммерческих брендов — NordVPN, ExpressVPN, Surfshark, Proton, Mullvad, Private Internet Access — в подтверждённом списке удалений на ту дату не было. Их приложения остались доступны в индийских app store.
Юридическая база — статья 69A IT Act, читаемая совместно с Information Technology (Procedure and Safeguards for Blocking for Access of Information by Public) Rules 2009 года. IFF публично отметили, что приказ был выпущен без стандартных процедур прозрачности и без уведомления затронутых пользователей.
Запрет VPN в округе Доди (май 2025)
В мае 2025-го администрация округа Доди в Джамму и Кашмире выпустила приказ по статье 163 Bharatiya Nagarik Suraksha Sanhita (BNSS, новый уголовно-процессуальный кодекс, заменивший CrPC), запрещающий использование VPN в округе на два месяца. Заявленная причина — соображения безопасности, связанные с конкретными коммуникациями боевиков.
Это был первый региональный индийский акт правоприменения, нацеленный на использование VPN физическими лицами, а не на комплаенс провайдера. Географический охват — один округ. Длительность — два месяца. К концу 2025-го приказ не продлевался и не распространялся на другие округа.
Это само по себе не свидетельство более широкого антиVPN-правоприменения. Это свидетельство того, что индийские власти теперь использовали статью 163 BNSS для этой цели как минимум однажды, и этот паттерн в принципе может быть повторён в других чувствительных к безопасности районах.
Что это значит для выбора VPN в 2026-м
Несколько следствий — большинство отличается от того, что напишут списочные обзоры.
1. «Есть индийские серверы» больше не полезный критерий выбора
До 2022-го это был положительный сигнал: ниже латентность, проще маршрутизация, иногда чуть быстрее путь к индийскому контенту. После 2022-го это коррелирует с соблюдением 5-летнего мандата на логи. Репутабельный no-logs-провайдер в 2026-м не будет иметь физических серверов в Индии. Если провайдер маркетингует индийские серверы, спросить надо — они виртуальные (физически в другом месте) или физические (под действие хранения CERT-In).
2. Виртуальные индийские серверы обычно нормально
Если сценарий — «хочу индийский IP, чтобы зайти в JioHotstar/Netflix India/индийский банкинг», виртуальный индийский IP от no-logs-провайдера работает в подавляющем большинстве случаев. Стриминговые сервисы существенно не отличают физический сервер в Мумбаи от виртуального индийского IP, маршрутизируемого через Сингапур. Индийским банкинг-сайтам важен IP, а не физическое местоположение.
Исключения реальны, но узкие: real-time игры, требующие индийский сервер, где латентность до Сингапура слишком высокая; отдельные регулируемые торговые платформы, требующие origin-of-connection из домашнего дата-центра.
3. Крупные бренды ушли, но не только они
Несколько мелких брендов приняли то же решение тихо. Продуктовый вопрос не «какой большой VPN-бренд работает в Индии», а «какие провайдеры, работающие сегодня, имеют структурное обязательство по no-logs, не подрываемое ни одной активной серверной локацией». Множество ответов включает крупные западные бренды плюс несколько меньших — включая Fexyn.
4. Учитывай вторую волну
Удаления из app store в январе 2025-го нацелились на бесплатные и freemium VPN-приложения с плохой репутацией по безопасности. Крупные коммерческие бренды затронуты не были. Но регуляторный вектор — постепенное ограничение, и прецедент Доди показывает, что индивидуальное правоприменение теперь юридически доступно там, где власти решат его применить. Если живёшь в регионе с повышенными соображениями безопасности или едешь туда, иметь VPN установленным до приезда полезнее, чем пытаться скачать его через возможно троттлируемое соединение позже.
5. Конечный пользователь в основном не регулируемая сторона
CERT-In регулирует операторов инфраструктуры. Запрет в округе Доди — единственный известный случай, когда целью становились индивидуальные пользователи. Дефолтный индийский VPN-пользователь — нерегулируемая сторона и не несёт прямого комплаенс-бремени. Однако провайдер, которого ты выбрал, выбрал свою позицию по отношению к директиве — и этот выбор и есть та часть, которая на тебя влияет.
Где Fexyn вписывается
Fexyn серверов в Индии не держит. Наша инфраструктура в Франкфурте, Хельсинки, Кипре и Эшберне. Мы обслуживаем индийские IP так же, как любой другой репутабельный no-logs-провайдер — через виртуальные серверы, физически расположенные вне Индии.
Это компромисс, который вся репутабельная VPN-индустрия приняла в 2022-м. Мы не уникальны в его принятии; мы уникальны в основном тем, что готовы об этом писать.
Конкретно:
- Не логируем историю браузинга, DNS-запросы и содержимое трафика.
- Выпускаем 24-часовые short-lived сертификаты из Vault PKI, так что время жизни любого скомпрометированного credential ограничено.
- Цена для Индии — Tier 4, $2.99/мес — среди самых низких опубликованных ставок у репутабельных провайдеров.
- 7-дневный бесплатный триал не требует карты заранее. Карточная оплата индийскими Visa/Mastercard работает через Stripe; UPI пока не поддерживается. Криптоплатёж доступен как альтернатива.
Если хочется страничку по стране с практическими шагами настройки — это VPN для Индии.
Более широкое замечание
Директивы CERT-In 2022-го характеризовались в части западной прессы как наезд на приватность. Точнее — это регуляторная рационализация в стране с серьёзной киберпреступной проблемой и развивающейся повесткой технологического суверенитета. Большинство требований по хранению данных и отчётности об инцидентах хорошо прецедентны международно.
Конкретная несовместимость с no-logs-моделью бизнеса VPN — реальное последствие, но это последствие сложности удержания no-logs-обязательства при любом режиме хранения, а не уникальный индийский провал. Несколько других юрисдикций (Россия в 2017-м с законами Яровой, Беларусь в 2015-м, Пакистан с лицензированием CVAS-Data 2025-го) произвели похожую динамику ухода провайдеров.
Честная версия, четыре года спустя: Индия не стала более враждебной к VPN-пользователям. Она стала юрисдикцией, где репутабельные VPN-провайдеры работают без локальных серверов. Это меньшее изменение, чем подсказывают заголовки списочных обзоров. И это изменение, о котором наиболее затронутые провайдеры в основном избегают говорить — поэтому этот пост и существует.
Попробуй Fexyn бесплатно 7 дней — Tier 4 цена, карта для триала не нужна.