Кто там? В Евросоюзе предложили скрыть данные владельцев доменных имен

25 мая в Евросоюзе вступает в силу Общий регламент по защите данных (GDPR). Постановление изменит способ хранения и обработки персональных данных компаниями, работающими на территории ЕС. Однако некоторые его положения до сих пор вызывают у сообщества вопросы.

Так, Корпорация по управлению доменными именами и IP-адресами (ICANN) предлагает исключить информацию о владельцах доменов (имя, адрес и др.) из WHOIS, чтобы привести принципы работы системы в соответствии с GDPR.

Разбираемся, зачем это нужно и кого затронет.

2inlblpbvkig6i4yidu_jkv1ote.png
/ Pixabay / SplitShire / CC

Почему WHOIS «не дружит» с GDPR


GDPR заменит Директиву по защите данных ЕС, которая действует с 1995 года. Главная особенность нового постановления — ужесточение требований к хранению и обработке персональных данных.

Регламент значительно расширяет права физических лиц по контролю за собственной конфиденциальной информацией. Пользователи будут лучше осведомлены, как используются их персональные данные. Они смогут запрещать их обработку и активно пользоваться правом на забвение. GDPR предусматривает серьезные штрафы для компаний за нарушения новых правил — до 20 млн евро или 4% годового оборота организации.

Сетевой протокол WHOIS, который используют для получения регистрационных данных о владельцах доменных имен — имен/названий и контактной информации — «конфликтует» с постановлениями GDPR. В ICANN посчитали, что с точки зрения нового регламента эта информация считается конфиденциальной, соответственно ее публикацию в открытом доступе можно трактовать как нарушение новых правил обработки персональных данных.

g6-fz0s1ab2ddmqmutrm3s6guh8.png


/ Данные WHOIS о wikipedia.org

Что предлагает ICANN


Обязательства по администрированию WHOIS лежат на ICANN. Корпорация заключает соглашения с тысячами регистраторов доменов по всему миру и требует от них предоставлять достоверные данные. Сейчас ICANN принимает участие в подготовке новых положений GDRP и дает свои рекомендации. Одна из них поступила от президента и главного исполнительного директора ICANN Йорана Марба (Göran Marb).

Чтобы привести WHOIS в соответствии с GDPR, он предлагает три модели:

  1. Модель первая — работает только на территории Европейской экономической зоны. Персональные данные владельцев доменов будут скрыты, но к ним смогут обратиться те люди и организации, которые докажут необходимость получения этой информации. Эта модель незначительно отличается от действующей сейчас, однако не описывает критерии оценки правомерности доступа к ПД.
  2. Вторая — многоуровневая система, в которой большая часть данных закрыта, однако определенная группа лиц может получить к ним доступ после прохождения аккредитации.
  3. Третья — большая часть ПД скрыта. Получить к ним доступ можно только по решению суда. Эта модель отвечает основным идеям GDPR.


С точки зрения обычного пользователя, который хочет воспользоваться системой WHOIS, обращение к персональным данным владельцев доменных имен во всех трех случаях будет выглядеть так: вся информация закрыта, но есть анонимный адрес электронной почты. Через него письмо будет перенаправлено на реальный адрес владельца.

Сейчас WHOIS используется для связи с администраторами, разрешения технических вопросов, проведения сделок по продаже доменов, уточнения адреса компании. Этой информацией также пользуются правоохранительные органы. Например, данные владельцев доменов, с которыми связывают кибератаки, позволяют установить личность преступников.

Предполагается, что разработка системы аккредитации ляжет на плечи Правительственного консультативного комитета (GAC). Так, по мнению ICANN получится соблюсти закон и государственные интересы.

Также ICANN объясняет необходимость изменений тем, что WHOIS используется для рассылки спама, фишинга и совершения киберпреступлений. Основной ущерб эта деятельность наносит владельцам доменных имен, которые являются клиентами регистраторов. Поэтому последние заинтересованы в пересмотре действующей системы.

gke61-hsnihqsoq0t2basayekgw.jpeg
/ Flickr / Veni / CC

Недавно ICANN заявили, что больше не будут предъявлять судебные иски регистраторам, которые не публикуют персональные данные в WHOIS. Крупнейший регистратор доменных имен в мире — GoDaddy уже начал скрывать ПД. Вице-президент компании объяснил, что таким образом они защищают клиентов от спама.

Судьба инициативы


На прошлой неделе план ICANN был отвергнут Европейской комиссией. Это было сделано из-за того, что внесенные ICANN предложения базируются на неполной информации GDPR. При этом необходимость таких мер была недостаточно обоснована и не подкреплена статистикой или аналитической информацией.

Также причиной в отказе послужили опасения по поводу анонимных киберпреступлений. Данные WHOIS являются ключевым инструментом в борьбе с киберпреступностью. Модель, в которой правоохранительные органы должны получать разрешение на доступ к информации через суд, препятствует оперативному расследованию таких дел. Такую позицию занял центр киберпреступности Европола.

Анонимность владельцев доменов также скажется на юристах, работающих с вопросами интеллектуального права. Данные WHOIS помогают им находить людей, распространяющих пиратский контент. К базам WHOIS часто обращаются журналисты для проведения расследований. ICANN не разъясняет, смогут ли получить аккредитацию.

Хотя инициативу ICANN и отклонили, члены Европейской комиссии рекомендовали компании продолжить работу над новыми политиками. Поэтому, вероятно, обсуждение этого вопроса будет возобновлено в ближайшее время.

Несколько материалов из нашего корпоративного блога:

  • Spectre и Meltdown: Новогодняя процессорная уязвимость
  • Принципы сетевого нейтралитета: что нужно знать
  • Облачные тенденции 2017 года (Часть 1, Часть 2, Часть 3, Часть 4, Часть 5)
  • RAID-массивы в виртуальной машине: типы и реализация

© Habrahabr.ru