Da EU's privatlivslovgivning truer, debat hvirvler om cybersikkerhedseffekt

Dage før implementeringen af ​​en omfattende europæisk privatlivslov, debat svirrer om, hvorvidt foranstaltningen vil have negative konsekvenser for cybersikkerhed.

Striden handler om den såkaldte internetadressebog eller WHOIS-mappe, som hidtil har været en offentlig database, der identificerer ejerne af hjemmesider og domæner.

Databasen bliver stort set privat i henhold til den kommende generelle databeskyttelsesforordning, der skal træde i kraft den 25. da den indeholder beskyttede personlige oplysninger.

Amerikanske embedsmænd og nogle cybersikkerhedsprofessionelle frygter, at uden muligheden for nemt at finde hackere og andre ondsindede aktører gennem WHOIS, de nye regler kan føre til en stigning i cyberkriminalitet, spam og svindel.

Kritikere siger, at GDPR kan fjerne et vigtigt værktøj, der bruges af retshåndhævelse, sikkerhedsforskere, journalister og andre.

Låsningen af ​​WHOIS-kataloget kommer efter flere års forhandlinger mellem EU-myndighederne og ICANN, den nonprofitorganisation, der administrerer databasen og administrerer online domænesystemet.

ICANN – Internet Corporations for Assigned Names and Numbers – godkendte i sidste uge en midlertidig plan, der giver adgang til "legitime" formål, men overlader fortolkningen til internetregistratorer, de virksomheder, der sælger domæner og hjemmesider.

Assisterende handelssekretær David Redl, som leder den amerikanske regerings afdeling for internetadministration, i sidste uge opfordrede EU til at udsætte håndhævelsen af ​​GDPR for WHOIS-kataloget.

"Tab af adgang til WHOIS-oplysninger vil negativt påvirke retshåndhævelsen af ​​cyberkriminalitet, cybersikkerhed og beskyttelse af intellektuelle ejendomsrettigheder globalt, " sagde Redl.

Rob Joyce, som fungerede som koordinator for cybersikkerhed i Det Hvide Hus indtil sidste måned, tweeted i april, at "GDPR vil underbyde et nøgleværktøj til at identificere ondsindede domæner på internettet, "tilføjer, at" cyberkriminelle fejrer GDPR. "

Negative konsekvenser?

Caleb Barlow, vicepræsident hos IBM security, advarede også om, at privatlivsloven "vel kan have negative konsekvenser, ironisk, løbe i strid med dens oprindelige hensigt."

Barlow sagde i et blogindlæg tidligere på måneden, at "cybersikkerhedspersonale bruger (WHOIS) oplysninger til hurtigt at stoppe cybertrusler", og at GDPR -restriktionerne kan forsinke eller forhindre sikkerhedsfirmaer i at handle på disse trusler.

James Scott, en senior fellow ved det Washington-baserede Institute for Critical Infrastructure Technology, anerkendte, at GDPR-reglerne "kunne hindre sikkerhedsforskere og retshåndhævelse."

"Oplysningerne vil sandsynligvis stadig kunne findes med en kendelse eller muligvis efter anmodning fra lovhåndhævelse, men de tilføjede anonymiseringslag ville forsinke" identifikationen af ​​ondsindede aktører alvorligt.

Nogle analytikere siger, at bekymringerne om cyberkriminalitet er overdrevne, og at sofistikerede cyberkriminelle nemt kan skjule deres spor fra WHOIS.

Milton Mueller, en Georgia Tech professor og grundlægger af Internet Governance Project af uafhængige forskere, sagde, at ideen om en stigning i cyberkriminalitet, der stammer fra reglen, var "fuldstændig falsk."

"Der er ingen beviser for, at det meste af verdens cyberkriminalitet stoppes eller afbødes af WHOIS, " sagde Mueller til AFP.

"Faktisk letter noget af cyberkriminaliteten af ​​WHOIS, fordi de onde også kan gå efter disse oplysninger."

Mueller sagde, at biblioteket havde været "udnyttet" i årevis af kommercielle enheder, hvoraf nogle videresælger dataene, og autoritære regimer for bred overvågning.

"Det er grundlæggende et spørgsmål om retfærdig proces, " han sagde.

"Vi er alle enige om, at når retshåndhævelse har en rimelig grund, de kan få visse dokumenter, men WHOIS tillader uhindret adgang uden nogen form for behørig proceskontrol."

Ingen forsinkelser

Akram Atallah, formand for ICANN's globale domænedivision, fortalte AFP, at organisationen uden held havde forsøgt at få en håndhævelsesforsinkelse fra EU, så WHOIS-kataloget kunne udarbejde regler for adgang.

Den midlertidige regel fjerner alle personlige oplysninger fra WHOIS -biblioteket, men giver adgang til dataene til "legitime" formål, Atallah bemærkede.

"Du skal have tilladelse til at se resten af ​​dataene, " han sagde.

Det betyder, at registratorerne, som omfatter virksomheder, der sælger websteder som GoDaddy, bliver nødt til at afgøre, hvem der får adgang eller står over for store bøder fra EU.

ICANN arbejder på en "akkrediteringsproces" for at give adgang, men var ude af stand til at forudsige, hvor lang tid det ville tage at opnå konsensus blandt regeringen og private interessenter i organisationen.

Matthew Kahn, en Brookings Institution forskningsassistent, sagde, at de firmaer, der opbevarer dataene, er mere tilbøjelige til at afvise anmodninger i stedet for at stå over for EU-straffe.

"Med demokratier under belejring af online valgindblanding og aktive foranstaltninger kampagner, dette er ikke tid til at hæmme regeringers og sikkerhedsforskeres evner til at identificere og arrestere cybertrusler, "Sagde Kahn på Lawfare -bloggen.

© 2018 AFP