Dias antes da implementação de uma lei de privacidade europeia abrangente, O debate está girando sobre se a medida terá consequências negativas para a segurança cibernética.

A polêmica é sobre o chamado catálogo de endereços da Internet ou diretório WHOIS, que até agora tem sido um banco de dados público que identifica os proprietários de sites e domínios.

O banco de dados se tornará amplamente privado de acordo com o futuro Regulamento Geral de Proteção de Dados, que entrará em vigor em 25 de maio, uma vez que contém informações pessoais protegidas.

Funcionários do governo dos Estados Unidos e alguns profissionais de segurança cibernética temem que, sem a capacidade de localizar facilmente hackers e outros agentes mal-intencionados por meio do WHOIS, as novas regras podem levar a um aumento do crime cibernético, spam e fraude.

Os críticos dizem que o GDPR pode tirar uma importante ferramenta usada pelas autoridades policiais, pesquisadores de segurança, jornalistas e outros.

O bloqueio do diretório WHOIS ocorre após anos de negociações entre as autoridades da UE e a ICANN, a entidade sem fins lucrativos que administra o banco de dados e gerencia o sistema de domínio online.

ICANN - as Corporações da Internet para Nomes e Números Atribuídos - aprovou um plano temporário na semana passada que permite o acesso para fins "legítimos", mas deixa a interpretação para os registradores da Internet, as empresas que vendem domínios e sites.

Secretário Adjunto de Comércio David Redl, que chefia a divisão do governo dos EUA para administração da Internet, na semana passada, instou a UE a adiar a aplicação do GDPR para o diretório WHOIS.

"A perda de acesso às informações WHOIS afetará negativamente a aplicação da lei de crimes cibernéticos, atividades de proteção de direitos de propriedade intelectual e segurança cibernética em todo o mundo, "Disse Redl.

Rob Joyce, que atuou como coordenador de segurança cibernética na Casa Branca até o mês passado, tweetou em abril que "o GDPR vai minar uma ferramenta fundamental para identificar domínios maliciosos na internet, "acrescentando que" os cibercriminosos estão celebrando o GDPR ".

Consequências negativas?

Caleb Barlow, vice-presidente de segurança da IBM, também alertou que a lei de privacidade "pode ​​muito bem ter consequências negativas que, ironicamente, contrariar sua intenção original. "

Barlow disse em um blog no início deste mês que "os profissionais de segurança cibernética usam informações (WHOIS) para interromper rapidamente as ameaças cibernéticas" e que as restrições do GDPR podem atrasar ou impedir que as empresas de segurança atuem contra essas ameaças.

James Scott, um membro sênior do Institute for Critical Infrastructure Technology, com sede em Washington, reconheceu que as regras do GDPR "podem prejudicar os pesquisadores de segurança e a aplicação da lei".

"A informação provavelmente ainda poderia ser descoberta com um mandado ou, possivelmente, a pedido da aplicação da lei, mas as camadas de anonimato adicionadas atrasariam seriamente "a identificação de agentes mal-intencionados.

Alguns analistas dizem que as preocupações com o crime cibernético são exageradas, e que os cibercriminosos sofisticados podem facilmente ocultar seus rastros do WHOIS.

Milton Mueller, professor da Georgia Tech e fundador do Projeto de Governança da Internet de pesquisadores independentes, disse que a noção de um aumento do crime cibernético decorrente da regra era "totalmente falsa".

"Não há evidências de que a maior parte dos crimes cibernéticos do mundo seja interrompida ou mitigada pelo WHOIS, "Mueller disse à AFP.

"Na verdade, alguns dos crimes cibernéticos são facilitados pelo WHOIS porque os bandidos também podem ir atrás dessas informações."

Mueller disse que o diretório foi "explorado" durante anos por entidades comerciais, alguns dos quais revendem os dados, e regimes autoritários para ampla vigilância.

"É fundamentalmente uma questão de devido processo, " ele disse.

"Todos concordamos que, quando a aplicação da lei tem uma causa razoável, eles podem obter certos documentos, mas o WHOIS permite acesso irrestrito sem qualquer verificação do devido processo. "

Sem atrasos

Akram Atallah, presidente da divisão de domínios globais da ICANN, disse à AFP que a organização havia tentado, sem sucesso, obter um atraso da aplicação da UE para que o diretório WHOIS trabalhasse as regras de acesso.

A regra temporária removerá todas as informações pessoais do diretório WHOIS, mas permitirá o acesso aos dados para fins "legítimos", Atallah observou.

"Você precisará obter permissão para ver o resto dos dados, " ele disse.

Isso significa que os registradores, que incluem empresas que vendem sites como GoDaddy, precisará determinar quem terá acesso ou enfrentará pesadas multas da UE.

ICANN está trabalhando em um processo de "credenciamento" para conceder acesso, mas não foi capaz de prever quanto tempo levaria para obter um consenso entre o governo e as partes interessadas privadas na organização.

Matthew Kahn, um assistente de pesquisa do Brookings Institution, disse que as empresas que mantêm os dados têm mais probabilidade de negar pedidos em vez de enfrentar penalidades da UE.

"Com democracias sob cerco de interferência eleitoral online e campanhas de medidas ativas, não é hora de prejudicar as habilidades de governos e pesquisadores de segurança de identificar e prender ameaças cibernéticas, "Kahn disse no blog Lawfare.

© 2018 AFP