A pochi giorni dall'attuazione di un'ampia legge europea sulla privacy, il dibattito è vorticoso sul fatto che la misura avrà conseguenze negative per la sicurezza informatica.

La controversia riguarda la cosiddetta rubrica di indirizzi Internet o directory WHOIS, che fino ad oggi è stata una banca dati pubblica che identifica i proprietari di siti web e domini.

Il database diventerà in gran parte privato ai sensi del prossimo regolamento generale sulla protezione dei dati che entrerà in vigore il 25 maggio, poiché contiene informazioni personali protette.

Funzionari del governo degli Stati Uniti e alcuni professionisti della sicurezza informatica temono che senza la possibilità di trovare facilmente hacker e altri attori malintenzionati attraverso WHOIS, le nuove regole potrebbero portare a un aumento della criminalità informatica, spam e frodi.

I critici affermano che il GDPR potrebbe eliminare un importante strumento utilizzato dalle forze dell'ordine, ricercatori di sicurezza, giornalisti e altri.

Il blocco della directory WHOIS arriva dopo anni di negoziati tra le autorità dell'UE e ICANN, l'entità senza scopo di lucro che amministra il database e gestisce il sistema di dominio online.

L'ICANN, la società Internet per i nomi e i numeri assegnati, ha approvato la scorsa settimana un piano temporaneo che consente l'accesso per scopi "legittimi", ma lascia l'interpretazione ai registrar di Internet, le società che vendono domini e siti web.

Assistente Segretario al Commercio David Redl, che dirige la divisione del governo degli Stati Uniti per l'amministrazione di Internet, la scorsa settimana ha invitato l'UE a ritardare l'applicazione del GDPR per la directory WHOIS.

"La perdita di accesso alle informazioni WHOIS influirà negativamente sull'applicazione della legge sui crimini informatici, attività di protezione dei diritti di proprietà intellettuale e di sicurezza informatica a livello globale, " ha detto Redl.

Rob Joyce, che è stato coordinatore della sicurezza informatica della Casa Bianca fino al mese scorso, ha twittato ad aprile che "il GDPR sta per minare uno strumento chiave per identificare i domini dannosi su Internet, " aggiungendo che "i criminali informatici stanno celebrando il GDPR".

Conseguenze negative?

Caleb Barlow, vicepresidente presso IBM sicurezza, ha anche avvertito che la legge sulla privacy "potrebbe avere conseguenze negative che, ironicamente, andare contro il suo intento originario".

Barlow ha affermato in un post sul blog all'inizio di questo mese che "i professionisti della sicurezza informatica utilizzano le informazioni (WHOIS) per fermare rapidamente le minacce informatiche" e che le restrizioni del GDPR potrebbero ritardare o impedire alle società di sicurezza di agire su queste minacce.

James Scott, un senior fellow presso l'Institute for Critical Infrastructure Technology con sede a Washington, ha riconosciuto che le regole del GDPR "potrebbero ostacolare i ricercatori in materia di sicurezza e le forze dell'ordine".

"Le informazioni sarebbero probabilmente ancora rilevabili con un mandato o eventualmente su richiesta delle forze dell'ordine, ma i livelli di anonimizzazione aggiunti ritarderebbero gravemente" l'identificazione degli attori malintenzionati.

Alcuni analisti affermano che le preoccupazioni sul crimine informatico sono esagerate, e che i criminali informatici sofisticati possono facilmente nascondere le loro tracce a WHOIS.

Milton Mueller, un professore della Georgia Tech e fondatore dell'Internet Governance Project di ricercatori indipendenti, ha affermato che l'idea di un'ondata di criminalità informatica derivante dalla regola era "totalmente falsa".

"Non ci sono prove che la maggior parte del crimine informatico nel mondo sia fermato o mitigato da WHOIS, "Mueller ha detto all'Afp.

"In effetti, parte del crimine informatico è facilitato dal WHOIS perché anche i malintenzionati possono inseguire quelle informazioni".

Mueller ha affermato che la directory è stata "sfruttata" per anni da entità commerciali, alcuni dei quali rivendono i dati, e regimi autoritari per un'ampia sorveglianza.

"È fondamentalmente una questione di giusto processo, " Egli ha detto.

"Siamo tutti d'accordo che quando le forze dell'ordine hanno una causa ragionevole, possono ottenere determinati documenti, ma WHOIS consente l'accesso senza restrizioni senza alcun controllo del giusto processo."

Nessun ritardo

Akram Atallah, presidente della divisione domini globali di ICANN, ha detto all'AFP che l'organizzazione ha tentato senza successo di ottenere un ritardo nell'applicazione dall'UE affinché la directory WHOIS elabori le regole per l'accesso.

La regola temporanea eliminerà qualsiasi informazione personale dalla directory WHOIS ma consentirà l'accesso ai dati per scopi "legittimi", ha notato Atallah.

"Dovrai ottenere il permesso per vedere il resto dei dati, " Egli ha detto.

Ciò significa che i registrar, che includono aziende che vendono siti Web come GoDaddy, dovrà determinare chi ottiene l'accesso o dovrà affrontare pesanti multe dall'UE.

ICANN sta lavorando a un processo di "accreditamento" per concedere l'accesso, ma non era in grado di prevedere quanto tempo ci sarebbe voluto per ottenere un consenso tra il governo e le parti interessate private nell'organizzazione.

Matteo Kahn, un assistente di ricerca della Brookings Institution, ha affermato che le aziende che conservano i dati hanno maggiori probabilità di negare le richieste piuttosto che affrontare sanzioni UE.

"Con le democrazie sotto assedio da interferenze elettorali online e campagne di misure attive, non è il momento di ostacolare le capacità dei governi e dei ricercatori di sicurezza di identificare e arrestare le minacce informatiche, " ha detto Kahn sul blog Lawfare.

© 2018 AFP