Dagar före implementeringen av en omfattande europeisk integritetslagstiftning, debatten snurrar om huruvida åtgärden kommer att få negativa konsekvenser för cybersäkerhet.

Kontroversen handlar om den så kallade internetadressboken eller WHOIS-katalogen, som hittills har varit en offentlig databas som identifierar ägare till webbplatser och domäner.

Databasen kommer att bli till stor del privat enligt den kommande allmänna dataskyddsförordningen som träder i kraft den 25 maj, eftersom den innehåller skyddad personlig information.

Amerikanska regeringstjänstemän och vissa cybersäkerhetsproffs fruktar att utan möjligheten att enkelt hitta hackare och andra illvilliga aktörer genom WHOIS, de nya reglerna kan leda till en ökning av cyberbrottslighet, spam och bedrägerier.

Kritiker säger att GDPR kan ta bort ett viktigt verktyg som används av brottsbekämpande myndigheter, säkerhetsforskare, journalister och andra.

Låsningen av WHOIS-katalogen kommer efter år av förhandlingar mellan EU:s myndigheter och ICANN, den ideella enheten som administrerar databasen och hanterar onlinedomänsystemet.

ICANN – Internet Corporations for Assigned Names and Numbers – godkände en tillfällig plan förra veckan som tillåter åtkomst för "legitima" ändamål, men överlåter tolkningen till internetregistratorer, de företag som säljer domäner och webbplatser.

Biträdande handelssekreterare David Redl, som leder den amerikanska regeringens avdelning för internetadministration, förra veckan uppmanade EU att skjuta upp tillämpningen av GDPR för WHOIS-katalogen.

"Förlusten av åtkomst till WHOIS-information kommer att negativt påverka brottsbekämpningen av cyberbrott, cybersäkerhet och skydd av immateriella rättigheter globalt, sa Redl.

Rob Joyce, som fungerade som Vita husets cybersäkerhetssamordnare fram till förra månaden, twittrade i april att "GDPR kommer att underskatta ett nyckelverktyg för att identifiera skadliga domäner på internet, " och tillägger att "cyberbrottslingar firar GDPR."

Negativa konsekvenser?

Caleb Barlow, vice president på IBM säkerhet, varnade också för att integritetslagen "kan ha negativa konsekvenser som, ironiskt, strider mot sin ursprungliga avsikt."

Barlow sa i ett blogginlägg tidigare denna månad att "cybersäkerhetsproffs använder (WHOIS) information för att snabbt stoppa cyberhot" och att GDPR-restriktionerna kan försena eller förhindra säkerhetsföretag från att agera på dessa hot.

James Scott, en senior stipendiat vid Washington-baserade Institute for Critical Infrastructure Technology, erkände att GDPR-reglerna "kan hindra säkerhetsforskare och brottsbekämpande myndigheter."

"Informationen skulle sannolikt fortfarande kunna upptäckas med ett beslut eller möjligen på begäran av brottsbekämpande myndigheter, men de tillagda anonymiseringsskikten skulle allvarligt försena" identifieringen av illvilliga aktörer.

Vissa analytiker säger att oron för cyberbrottslighet är överdriven, och att sofistikerade cyberkriminella lätt kan dölja sina spår från WHOIS.

Milton Mueller, en Georgia Tech professor och grundare av Internet Governance Project för oberoende forskare, sade att föreställningen om en ökning av cyberbrottslighet som härrörde från regeln var "helt falsk."

"Det finns inga bevis för att det mesta av världens cyberbrottslighet stoppas eller mildras av WHOIS, " berättade Mueller för AFP.

"Faktum är att en del av cyberbrottsligheten underlättas av WHOIS beror på att skurkarna kan gå efter den informationen också."

Mueller sa att katalogen hade "utnyttjats" i flera år av kommersiella enheter, av vilka några säljer data vidare, och auktoritära regimer för bred övervakning.

"Det är i grunden en fråga om vederbörlig process, " han sa.

"Vi är alla överens om att när brottsbekämpning har en rimlig anledning, de kan få vissa dokument, men WHOIS tillåter obegränsad åtkomst utan någon vederbörlig processkontroll."

Inga förseningar

Akram Atallah, ordförande för ICANN:s globala domänavdelning, berättade för AFP att organisationen utan framgång hade försökt få en försening från EU för att WHOIS-katalogen skulle utarbeta regler för åtkomst.

Den tillfälliga regeln tar bort all personlig information från WHOIS-katalogen men tillåter åtkomst till uppgifterna för "legitima" ändamål, Atallah noterade.

"Du måste få tillstånd för att se resten av data, " han sa.

Det betyder att registrarerna, som inkluderar företag som säljer webbplatser som GoDaddy, kommer att behöva avgöra vem som får tillträde eller får höga böter från EU.

ICANN arbetar med en "ackrediteringsprocess" för att ge tillgång, men kunde inte förutsäga hur lång tid det skulle ta att få en samsyn bland regeringen och privata intressenter i organisationen.

Matthew Kahn, en Brookings Institution forskningsassistent, sade att företagen som håller uppgifterna är mer benägna att neka förfrågningar snarare än att utsättas för EU-påföljder.

"Med demokratier under belägring av valinblandning online och aktiva åtgärder, det här är ingen tid att hämma regeringars och säkerhetsforskares förmåga att identifiera och arrestera cyberhot, " sa Kahn på Lawfare-bloggen.

© 2018 AFP