Dagen voor de implementatie van een ingrijpende Europese privacywet, Er woedt een discussie over de vraag of de maatregel negatieve gevolgen zal hebben voor cybersecurity.

De controverse gaat over het zogenaamde internetadresboek of WHOIS-directory, die tot nu toe een openbare database was die de eigenaren van websites en domeinen identificeerde.

De database zal grotendeels privé worden onder de aanstaande Algemene Verordening Gegevensbescherming die op 25 mei van kracht wordt. omdat het beschermde persoonlijke informatie bevat.

Amerikaanse overheidsfunctionarissen en sommige cyberbeveiligingsprofessionals vrezen dat zonder de mogelijkheid om hackers en andere kwaadwillende actoren gemakkelijk te vinden via WHOIS, de nieuwe regels kunnen leiden tot een toename van cybercriminaliteit, spam en fraude.

Critici zeggen dat de AVG een belangrijk instrument kan wegnemen dat wordt gebruikt door wetshandhaving, beveiligingsonderzoekers, journalisten en anderen.

De afsluiting van de WHOIS-directory komt na jaren van onderhandelingen tussen de EU-autoriteiten en de ICANN, de non-profitorganisatie die de database beheert en het online domeinsysteem beheert.

ICANN - de Internet Corporations for Assigned Names and Numbers - keurde vorige week een tijdelijk plan goed dat toegang voor "legitieme" doeleinden mogelijk maakt, maar laat de interpretatie over aan internetregistrars, de bedrijven die domeinen en websites verkopen.

Adjunct-secretaris van Handel David Redl, die aan het hoofd staat van de Amerikaanse regeringsafdeling voor internetbeheer, riep de EU vorige week op om de handhaving van de AVG voor de WHOIS-directory uit te stellen.

"Het verlies van toegang tot WHOIS-informatie zal een negatieve invloed hebben op de rechtshandhaving van cybercriminaliteit, activiteiten op het gebied van cyberbeveiliging en bescherming van intellectuele eigendomsrechten wereldwijd, ' zei Redl.

Rob Joyce, die tot vorige maand als cyberbeveiligingscoördinator van het Witte Huis diende, tweette in april dat "GDPR een belangrijk hulpmiddel voor het identificeren van kwaadaardige domeinen op internet gaat ondermijnen, " eraan toevoegend dat "cybercriminelen de AVG vieren".

Negatieve gevolgen?

Caleb Barlow, vice-president bij IBM-beveiliging, waarschuwde ook dat de privacywet "wellicht negatieve gevolgen kan hebben dat, ironisch, in strijd zijn met de oorspronkelijke bedoeling."

Barlow zei eerder deze maand in een blogpost dat "professionals op het gebied van cyberbeveiliging (WHOIS) informatie gebruiken om cyberdreigingen snel te stoppen" en dat de AVG-beperkingen beveiligingsbedrijven kunnen vertragen of verhinderen om op deze bedreigingen in te spelen.

James Scott, een senior fellow bij het in Washington gevestigde Institute for Critical Infrastructure Technology, erkende dat de AVG-regels "beveiligingsonderzoekers en wetshandhavers zouden kunnen hinderen".

"De informatie zou waarschijnlijk nog steeds vindbaar zijn met een bevelschrift of mogelijk op verzoek van wetshandhavers, maar de toegevoegde anonimiseringslagen zouden de identificatie van kwaadwillende actoren ernstig vertragen.

Sommige analisten zeggen dat de zorgen over cybercriminaliteit overdreven zijn, en dat geavanceerde cybercriminelen hun sporen gemakkelijk kunnen verbergen voor WHOIS.

Milton Müller, een Georgia Tech professor en oprichter van het Internet Governance Project van onafhankelijke onderzoekers, zei dat het idee van een toename van cybercriminaliteit als gevolg van de regel "volstrekt nep" was.

"Er is geen bewijs dat de meeste cybercriminaliteit in de wereld wordt gestopt of beperkt door WHOIS, " vertelde Mueller aan AFP.

"In feite wordt een deel van de cybercriminaliteit mogelijk gemaakt door WHOIS, omdat de slechteriken ook achter die informatie aan kunnen gaan."

Mueller zei dat de directory jarenlang "uitgebuit" was door commerciële entiteiten. waarvan sommige de gegevens doorverkopen, en autoritaire regimes voor breed toezicht.

"Het is in wezen een kwestie van een eerlijk proces, " hij zei.

"We zijn het er allemaal over eens dat wanneer wetshandhaving een redelijke reden heeft, ze kunnen bepaalde documenten verkrijgen, maar WHOIS staat onbelemmerde toegang toe zonder enige procescontrole."

Geen vertragingen

Akram Atallah, voorzitter van de wereldwijde domeinendivisie van ICANN, vertelde AFP dat de organisatie tevergeefs had geprobeerd om een ​​handhavingsvertraging van de EU te krijgen voor de WHOIS-directory om regels voor toegang uit te werken.

De tijdelijke regel verwijdert alle persoonlijke informatie uit de WHOIS-directory, maar geeft toegang tot de gegevens voor "legitieme" doeleinden, merkte Atallah op.

"Je moet toestemming krijgen om de rest van de gegevens te zien, " hij zei.

Dat betekent dat de registrars, waaronder bedrijven die websites zoals GoDaddy verkopen, zal moeten bepalen wie toegang krijgt of hoge boetes krijgt van de EU.

ICANN werkt aan een proces van "accreditatie" om toegang te verlenen, maar kon niet voorspellen hoe lang het zou duren om een ​​consensus te bereiken tussen de overheid en private belanghebbenden in de organisatie.

Matthew Kahn, een onderzoeksassistent van het Brookings Instituut, zei dat de bedrijven die de gegevens bewaren eerder geneigd zijn verzoeken af ​​te wijzen dan EU-sancties te ondergaan.

"Met democratieën die worden belegerd door online verkiezingsinmenging en campagnes voor actieve maatregelen, dit is geen tijd om het vermogen van regeringen en veiligheidsonderzoekers om cyberdreigingen te identificeren en te stoppen, te belemmeren, " zei Kahn op de Lawfare-blog.

© 2018 AFP