Введение в странах ЕС новых правил обработки персональных данных (GDPR) вынуждает компании-регистраторы доменов и ICANN искать различные способы защиты информации о лицах, зарегистрировавших доменное имя.
В мае 2018 года в Европейском Союзе вступит в силу «Общий регламент по защите данных» (General Data Protection Regulation, GDPR). Он направлен на защиту частной жизни граждан стран-членов ЕС, персональные данные которых хранятся и обрабатываются крупными транснациональными корпорациями. Однако его имплементация несет в себе некоторые сторонние эффекты, влияние которых может распространиться далеко за пределы ЕС, а их последствия по иронии судьбы и вовсе могут подорвать безопасность пользователей интернета.
Речь идет о судьбе WHOIS – протокола для поиска имен и контактной информации лиц, зарегистрировавших доменное имя. Существует целый ряд бесплатных инструментов поиска, основанных на технологии WHOIS, так что даже если владелец сайта решит скрыть информацию о себе, каждый пользователь сможет найти имя, почтовый адрес, адрес электронной почты и телефона лица, зарегистрировавшего данный сайт. Некоторые платные инструменты обладают еще более впечатляющим функционалом.
Этот протокол, с одной стороны, является ценным источником информации для исследователей кибербезопасности, журналистов и сотрудников правоохранительных органов, которые могут использовать его для отслеживания распространения определенных данных или вредоносного ПО в интернете. С другой стороны, он также может быть весьма полезен для спамеров и хакеров. Это привело к широкому распространению решений по сокрытию данных WHOIS, которые часто за небольшую плату предоставляются самими регистраторами доменов.
Здесь возникает важный вопрос: является ли WHOIS пережитком ранних этапов развития инфраструктуры интернета, или же он до сих пор играет ключевую роль в обеспечении безопасности пользователей? Эта дискуссия уже более десятилетия ведется в рамках Корпорации по управлению доменными именами и IP-адресами (ICANN) – неправительственной организации, ответственной за судьбу данных WHOIS. Скорое вступление в силу GDPR и вовсе выдвинуло этот вопрос на первый план в повестке организации.
В ноябре прошлого года ICANN заявила, что не будет предпринимать никаких действий против регистраторов доменов в случае “несоблюдения контрактных обязательств, связанных с обработкой регистрационных данных”. Другими словами, хотя обычно ICANN и подает в суд на регистраторов, которые не публикуют данные WHOIS, теперь организация будет воздерживаться от такой практики до тех пор, пока не будет создано новое соглашение о данных WHOIS, учитывающее положения GDPR.
Чтобы претендовать на такую отсрочку регистраторы доменов должны были предложить свои собственные модели для соблюдения правил WHOIS. 12 января 2018 года ICANN опубликовала документ, в котором намечаются три возможных промежуточных решения для регистраторов доменов, позволяющие им соблюсти как правила ICANN, так и положения GDPR.
Суть проблемы состоит в том, что ICANN заключает соглашения с тысячами регистраторов доменов по всему миру, которые обязывают компании публиковать данные WHOIS для каждого обслуживаемого ими домена. При этом GDPR запретит компаниям публиковать информацию, по которой можно идентифицировать пользователей интернета. Фактически это означает, что с момента вступления регламента в силу соглашения ICANN с регистраторами доменов по данным WHOIS автоматически окажутся вне закона в пределах Европейского Союза.
В тот же день, когда были опубликованы промежуточные решения для компаний-регистраторов от ICANN, GoDaddy – крупнейший регистратор доменов в мире – объявил, что с 25 января он отказывается от массового поиска данных WHOIS для 17 миллионов своих клиентов.
Хотя в компании и не стали прямо связывать такое решение со скорым вступлением в силу GDPR, многие исследователи кибербезопасности убеждены, что компания решила извлечь выгоды из неопределенности по поводу новых правил, которые в среднесрочной перспективе должна ввести ICANN.
.
“GoDaddy в одностороннем порядке решил скрыть адреса электронной почты, имена и номера телефонов из всех данных WHOIS, которые он публикует. Это радикально отличается от политики регистраторов доменов, которой они придерживались на протяжении многих лет. Весьма вероятно, что и другие представители отрасли в скором времени последуют примеру GoDaddy. Причина этого проста: они просто не хотят, чтобы данных их клиентов были легкодоступны. Регистраторы доменов в принципе не хотят, чтобы данные WHOIS существовали. Они с радостью воспользуются сложившейся ситуацией, чтобы изменить положение вещей”.
Тим Чен, гендиректор компании DomainTools, специализирующейся на анализе данных WHOIS
.
Эти решения могут иметь далеко идущие последствия. Они могут серьезно сказаться на исследователях кибербезопасности и аналитиках данных, которые сильно зависят от данных WHOIS. Журналисты, в свою очередь, часто используют их для поиска контактной информации. Также данные WHOIS могут использоваться для архивирования сайтов, которые давно не обновляются и находятся под угрозой удаления.
ICANN оказалась в очень неудобном положении. С одной стороны, на организацию оказывают давление сотрудники правоохранительных органов и исследователи кибербезопасности, которые используют данные WHOIS для борьбы с преступностью. А с другой стороны, организация должна реагировать на имплементацию GDPR, призванного пресечь ненадлежащее обращение с персональными данными пользователей стран-членов ЕС со стороны технологических гигантов.
Еще в 2014 году ICANN опубликовала отчет, в котором обсуждалась возможность полной замены WHOIS.
.
.
Вместо этого протокола в организации предлагали создать Службу каталогов регистрационных данных (Registration Directory Service, RDS), предполагающую работу автоматически обновляемой базы данных по регистрациям доменных адресов, заполняемой всеми аккредитованными компаниями-регистраторами. По этой схеме большая часть данных будет изначально скрыта, в отличие от общедоступных регистрационных данных WHOIS. Лицо, запрашивающее такие данные, должно будет идентифицировать себя и указать свои цели, что позволит значительно сократить злоупотребления ими. Это решение удовлетворяет требованиям по защите персональных данных, закрывает лазейки для спамеров и позволяет исследователям кибербезопасности выполнять свою работу.
Однако к настоящему моменту ICANN не спешит с воплощением этих планов в жизнь. Организация ограничивается полумерами, реагируя на скорую имплементацию GDPR. Полноценный переход к технологии RDS может занять достаточно продолжительное время. И хоть пока и не ясно, когда ICANN разработает окончательный протокол для версии WHOIS нового поколения, очевидно, что пересмотр этой технологии уже давно назрел.
.
По материалам Motherboard
Перевод: Максим Волков, специально для РосКомСвободы
Читайте также:
.
Технология blockchain делает «право на забвение» бессмысленным
?
Британия приравняет к личным данным IP, cookies и заставит соцсети удалять информацию о пользователях
?
В ЕС организовали рабочую группу по борьбе с «фейковыми новостями»
?
В ООН изучат проблему соблюдения прав человека в цифровую эпоху
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.