9 Апреля, 2018

Что произойдет с WHOIS после внедрения GDPR?

Panda Security в России и СНГ


Обратный отсчет до момента вступления в силу Общеевропейского регламента по защите данных (General Data Protection Regulation, GDPR) идет уже полным ходом. Хотя последствия нового законодательного регулирования  широко обсуждаются, тем не менее, одному из них уделяется достаточно мало внимания, хотя оно может поставить под угрозу (а не повысить!) безопасность пользователей. Данная ситуация вызвана конфликтом между обязательствами в рамках GDPR и сервисом WHOIS – глобальной системой, управляемой ICANN (Internet Corporation for Assigned Names and Numbers), которая определяет, кому принадлежит домен.

Что такое WHOIS и почему это важно?
WHOIS – это протокол, который позволяет вам найти имена и контактные данные владельцев домена. Он был создан ICANN еще в 1980-х годах. По сути дела, он является одним из старейших Интернет-сервисов для проверки личности.

Система WHOIS является бесценным ресурсом для следователей и служб безопасности: предоставляемые им данные – это первая линия расследования при обнаружении вредоносной активности, учитывая, что эти данные являются публичными. Специалисты используют WHOIS для отслеживания распространения вредоносного ПО или обнаружения того, кто реально стоит за вредоносным доменом . ICANN имеет соглашения со всеми регистраторами доменов, требуя от них публиковать данные (ФИО, адреса электронной почты и номера телефонов) тех лиц, кто регистрирует домены через их сервис.

Несмотря на то, что охвачены все домены, требования системы WHOIS находятся под пристальным вниманием, т.к. уже давно бытует мнение, что система устарела. Даже ее сторонники готовы признать, что можно спокойно предоставлять ложную информацию, и по различным оценкам примерно 40% данных в этой системе могут быть неточными или недостоверными. Также верно, что WHOIS традиционно является источником информации для хакеров и спамеров, которые могут извлекать данные из баз данных WHOIS для запуска спама, контактов с зарегистрированными пользователями или кражи их персональных / регистрационных данных. Это привело к распространению услуг, предлагающих скрыть данные в WHOIS, многие из которых предлагаются теми же компаниями, которые управляют доменами.

Но в чем именно заключается проблема, которая возникает после вступления в силу GDPR? В настоящее время протокол WHOIS публикует ФИО, адреса и номера телефонов тех лиц, которые зарегистрировали в Интернете домен. Но в соответствии с положениями GDPR данная система станет незаконной, т.к. она не запрашивает явного согласия этих людей перед публикацией их персонально идентифицируемых данных. Как уже упоминалось, некоторые компании уже предлагают возможность сокрытия персональных данных за отдельную плату, но и это тоже не соответствует требованиям GDPR.

Лобовое столкновение между GDPR и WHOIS

Данную проблему совсем непросто разрешить. GDPR запрещает компаниям публиковать информацию, которая идентифицирует людей, а это означает, что соглашения между регистраторами доменов и ICANN в части WHOIS будут незаконны. И это также будет препятствовать работе по идентификации кибер-злоумышленников.
В настоящее время трудно интегрировать протокол WHOIS в нормативно-правовую базу GDPR. Нельзя утверждать, что публичный характер базы данных помогает достичь первоначальной цели, ради которой вся эта информация и собиралась (регистрация домена). Это означает, что сегодняшняя публичная система WHOIS не соответствует принципам конфиденциальности данных, заложенному в GDPR .

В ноябре 2017 года ICANN заявила, что не будет возбуждать иски против регистраторов доменов за невыполнение договорных обязательств по управлению данными для регистрации доменов. Другими словами, организация не будет предпринимать каких-либо действий против тех, кто не будет публиковать данные WHOIS до тех пор, пока не будет найдено приемлемое решение, соответствующее требованиям GDPR. Тем не менее, существует риск того, что возрастающий объем персональных данных будет удален из публичной базы данных WHOIS, т.к. для компаний будет проще уничтожить конфиденциальные данные, чем тратить время на выполнение мер, требуемых со стороны GDPR. Фактически, крупнейший в мире регистратор доменных имен GoDaddy в январе объявил, что он откажется от публикации контактных данных WHOIS своих 17 миллионов клиентов. Есть опасения, что и многие другие регистраторы последуют этому примеру после 25 мая.

Несколько лет назад ICANN создала рабочую группу для изучения способов защиты конфиденциальности при сохранении определенных уровней свободы и обеспечении доверия и конкурентоспособности с учетом защиты прав потребителей и общественных интересов. Ее рекомендации указывают на необходимость наличия системы «информирования», которая будет разработана для замены публично доступной информации в WHOIS. Еще в 2012 году ICANN предложила решение, предусматривающее внедрение службы Registration Directory Service (RDS), которая работала бы с автоматически обновляемой базой данных, содержащей регистрационные данные доменов от всех аккредитованных регистраторов. По умолчанию эти данные будут «закрытыми» в отличие от сервиса WHOIS. Однако спустя шесть лет эта организация, как представляется, совершенно не приблизилась к внедрению этого решения.

ICANN находится в трудном положении. С одной стороны, она находится под давлением со стороны экспертов по безопасности, которые используют данные WHOIS для расследования преступлений или смягчения последствий атак. С другой стороны, эта организация также должна адаптироваться к требованиям GDPR для защиты персональных данных Интернет-пользователей. Удастся ли найти жизнеспособный способ сбалансировать потребности правоохранительных органов и служб безопасности с правами пользователей на конфиденциальность?
Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com