Intrarea în vigoare a regulamentului UE privind protecţia datelor amplifică dezbaterea cu privire la securitatea informatică

Controversa se referă la baza de date numită ‘WHOIS’ (‘Cine este’ în limba engleză), care poate fi consultată de oricine pe site-ul ICANN, organism internaţional care reglementează internetul. Dar accesul la această bază de date va fi restricţionat odată cu intrarea în vigoare a GDPR la 25 mai deoarece conţine date cu caracter personal.

Guvernul american şi oficiali din domeniul securităţii cibernetice sunt îngrijoraţi de faptul că se vor trezi în imposibilitatea de a identifica hackeri şi alţi infractori prin intermediul acestei baze de date şi se tem de o recrudescenţă a actelor de piraterie şi a criminalităţii informatice.

Aceste schimbări în funcţionarea WHOIS survin după ani de negocieri între autorităţile europene şi ICANN, care a aprobat săptămâna trecută un plan de acces la baza de date din motive ‘legitime’, însă a lăsat interpretarea acestei definiţii serviciilor de înregistrare a numelor de domenii de pe internet.

Ministrul adjunct american al Comerţului, David Redl, care conduce serviciul guvernului SUA pentru internet, a cerut săptămâna trecută Uniunii Europene să amâne data de aplicare a dispoziţiilor RGPD la WHOIS.

‘Pierderea accesului la informaţii pe WHOIS va avea un impact negativ asupra luptei împotriva criminalităţii cibernetice, a securităţii cibernetice şi a respectării standardelor proprietăţii intelectuale în lume’, a declarat oficialul american, în cadrul unui forum privind telecomunicaţiile desfăşurat la Washington, săptămâna trecută.

Rob Joyce, care până în prezent a deţinut funcţia de coordonator pentru securitate informatică la Casa Albă, a estimat într-un mesaj difuzat în aprilie pe Twitter că ‘RGPD va submina un instrument esenţial pentru identificarea domeniilor suspecte pe internet’, apreciind că ‘infractorii cibernetici sunt mulţumiţi de RGPD’.

Caleb Barlow, vicepreşedinte pentru securitate la IBM, avertizează că legile privind protecţia datelor ”ar putea avea consecinţe negative care, în mod paradoxal, vor contravine scopului lor iniţial”.

Într-un blog publicat în luna mai, el a spus că ”profesionişti din domeniul securităţii cibernetice folosesc informaţii WHOIS pentru a contracara rapid ameninţările cibernetice şi că restricţiile impuse de RGPD ar putea împiedica sau opri firmele care lucrează în securitatea cibernetică să reacţioneze la aceste ameninţări’.

James Scott, cercetător la Institute for Critical Infrastructure Technology din Washington, a apreciat că noile norme europene ‘ar putea să-i împiedice pe cercetătorii din domeniul securităţii şi autorităţile judiciare să acţioneze rapid în lupta împotriva utilizării în scopuri răufăcătoare a internetului’.

Milton Mueller, profesor la Georgia Tech şi fondator al ”Proiectului de guvernare a internetului al cercetătorilor independenţi” afirmă totuşi că ipoteza potrivit căreia criminalitatea informatică va creşte din cauza cauza reglementării europene este ”complet nefondată”.

‘Nu există nicio dovadă că putem lupta sau reduce criminalitatea informatică globală datorită WHOIS’, a subliniat el. ‘De fapt, anumite activităţi infracţionale sunt facilitate de WHOIS deoarece şi infractorii au acces la această bază de date”, a subliniat sursa citată.

Potrivit acestuia, acest fişier este ‘folosit’ de ani de zile de organizaţii comerciale, dintre care unele revând datele, dar şi de către guverne dictatoriale pentru a-şi monitoriza cetăţenii.

‘Ştim bine că atunci când autorităţile judiciare au un motiv serios, pot obţine anumite informaţii, dar WHOIS permite un acces complet liber fără nicio formă de autorizare’, a menţionat sursa citată.

Akram Atallah, responsabil în cadrul ICANN, a declarat că organizaţia a încercat fără succes să obţină o amânare din partea UE pentru a avea timp să elaboreze noi reguli de acces la baza de date.

Noul regulament va elimina toate informaţiile personale din WHOIS, dar va permite în continuare accesul din motive ‘legitime’. ‘Va fi nevoie de o autorizare pentru a examina datele’, a menţionat el.

Aceasta înseamnă că companiile care înregistrează site-uri web, cum ar fi GoDaddy, vor trebui să decidă cine are dreptul de accesare, cu riscul unor amenzi semnificative din partea UE.

ICANN lucrează în prezent la un proces de acreditare, dar nu este în măsură în prezent să spună cât va dura pentru a se ajunge la un consens între membrii săi, fie că este vorba de guverne sau de actori privaţi şi societatea civilă.

Matthew Kahn, cercetător la Brookings Institution din Washington, consideră că firmele care înregistrează site-uri vor prefera mai degrabă să refuze cererile de acces la informaţii, decât să rişte să fie amendate.

‘În timp ce democraţiile sunt ameninţate de interferenţele de pe Internet şi de campanii ţintite, nu este momentul să împiedicăm capacitatea unor guverne şi responsabili din domeniul securităţii cibernetice de a contracara ameninţările’, a scris Matthew Kahn, într-un blog publicat pe site-ul Lawfare.