בכיר ביורופול: חוקי הפרטיות האירופיים פוגעים במלחמה בטרור
מנהל במרכז הסייבר של הארגון טען שחוקי GDPR לא מאפשרים לסוכנויות האכיפה גישה למידע של WHOIS - מאגר פתוח של בעלי מתחמים ואתרים; סוכנויות מודיעין נעזרו במאגר בעבר כדי לסגור פעילות מקוונת של דאעש ולעצור פעילים - האם יש לו אלטרנטיבות?
- שאריות גז עצבים נמצאו בחבילה שנשלחה למשרדי פייסבוק
- משטרת הגבולות הסינית שותלת תוכנת ריגול במכשירי תיירים
- האיחוד האירופי פותח בחקירת פרטיות גולשים שלישית נגד אפל
לפי בלומברג, אחד הגורמים שסייעו להצלחת רשויות האכיפה בארה"ב, קנדה ואירופה במלחמה בפעילות המקוונת של ארגון דאעש היה הגישה החופשית למאגר WHOIS. מדובר במאגר מקוון שמקשר בין אתרים ושמות מתחמים ובין פרטי המשתמשים והארגונים שרשמו אותם או שולטים בהם. המאגר מנוהל בידי ארגון ICANN שמפעיל פלטפורמה פתוחה לכתובות רשת.
השימוש במאגר עזר לחוקרים לזהות קשרים בין מבוקשים ושירותים מקוונים ואף לבצע מעצרים הודות לפרטים ככתובת פיזית, שהופיעה בכמה מקרים. ואולם, עם כניסת חוקי הגנת הפרטיות GDPR לתוקף אשתקד, בחרה ICANN לצנזר ולהגביל את החשיפה של הפרטים האישיים, כדי להגן על בעלי האתרים והמתחמים שכידוע - רובם אינם פושעים או מחבלים כי אם אזרחים מן השורה.
"מאז מאי 2018 ראינו יותר ויותר מקרים של חקירות שפשוט ננטשו או התעכבו משמעותית בגלל שלא היתה לנו גישה למידע המלא של WHOIS", אמר מונייה. "בסך הכל, אפשר לומר שהרשת נהייתה פחות בטוחה בגלל הפרשנות השמרנית שקיבלה חקיקת GDPR אצל ICANN".
במקום לקחת, אפשר לבקש
עמדתו של מונייה ובכירים נוספים במנגנוני ביטחון זוכה להתנגדות, מצד גורמי הגנת פרטיות שטוענים שלסוכנויות האכיפה יש מספיק דרכים להשיג מידע גם בלי גישה ישירה ל-WHOIS. למשל, יכולים מונייה ודומיו לקבל מידע בבקשה ישירה ממפעילי המתחמים, מספקי אינטרנט, מחברות אחסון אתרים ועוד.
הסוכנויות לא מרבות לעשות כן; חברת רישום המתחמים TuCows דיווחה בפברואר שקיבלה מאז מאי אשתקד יותר מ-21,000 בקשות רשמיות למידע בנוגע לבעלי מתחמים, כשיותר מ-90% מהבקשות הגיעו מגורמים מסחריים ורק 2% - מסוכנויות אכיפה. כמו כן, אמרה החברה שאף לא אחת מהן נגעה למלחמה בטרור.
"שירות WHOIS היה 'מזנון אכול כפי יכולתך' בו ניתן להוריד עצמאית את כל המידע", אמר לבלומברג ג'יימס בליידל, סגן נשיא למדיניות עולמית בענקית רישום האתרים GoDaddy. "הגישה הפכה לפורמלית יותר, שקופה ומבוקרת". בשלב זה, לא מתכנן ICANN לשנות את מדיניות הגנת הפרטיות שלו, ולפי שעה עומד החוק לימינו. נראה, אם כן, שיהיה על סוכנויות האכיפה לפעול באפיקים אחרים ולא להסתמך על המאגר הפופולרי.