GDPR-huvudvärk. “En relevant fråga är om Whois faktiskt fortfarande behövs, det finns många andra sätt att spåra nätkriminalitet”

Vid det här laget har vi väl alla hört alldeles tillräckligt om EU:s allmänna dataskyddsförordning, GDPR, men det har varit en alldeles speciell huvudvärk för ICANN (Internet Corporation for Assigned Names and Numbers) som ansvarar för regler för och administration av domännamn och IP-adresser.

Nätpionjären Johan ”Julf” Helsingius har verkat som IT-entreprenör sedan 1980-talet.

Whois. I nätets unga ålder var allt mycket mer oskyldigt än i dag. De flesta datorerna på nätet tillhörde universitet, ICT-företag eller nätoperatörer, och nätet fungerade tack vare att alla samarbetade och löste problemen tillsammans. I början kände de flesta nätverksadministratörerna varandra, om inte personligen så i varje fall genom e-postdiskussioner. Med tiden blev nätet så stort att man inte alltid visste vem man skulle ta kontakt med om det uppstod ett problem med en del av nätet.

Lösningen var ”Whois”, en service för att svara på frågan ”vem tillhör den här adressen eller domänen?”, och svaret innehöll också e-postadressen för en ansvarig kontaktperson.

Öppet personregister. Whois visade sig vara en nyttig tjänst, inte bara för att nätverksingenjörer skulle kunna få tag på varandra, utan också för att spåra upp de nya, mindre positiva fenomenen som dök upp på nätet: spam, falska webbutiker, pirater och olika former av nätbrottslighet.

Allt detta var bra så länge adresser och domäner bara ägdes av företag och institutioner, men då nätet spred sig började även privatpersoner registrera domäner och adresser. Det är ett obehagligt faktum att Whois utgör ett personregister – som är totalt öppet och tillgängligt för alla. Också till exempel för regeringar som vill tysta ner oppositionsaktivister och journalister, eller för ideologiska grupper som förföljer sina motståndare.

Inte en överraskning. I åratal har många av oss, speciellt från Europa, varnat ICANN om problemen med Whois som ett personregister, men amerikanerna, som fortfarande är en dominerande faktor i ICANN, har inte velat höra varningarna – ofta med kommentaren ”inte kan man ju låta sådan där idealism gå i vägen för affärsverksamhet”. Till och med när det var klart att EU-kommissionen inte bara jobbade med lagstiftning i saken, utan också planerade betydande sanktioner, var det många som avfärdade det hela med: ”inte går något så där tokigt någonsin igenom, det där är bara retorik för att skrämma oss”.

Till följd av denna attityd var ICANN inte redo när GDPR verkligen trädde i kraft 25 maj.  Problemet är att ICANN:s kontrakt med domänregisterorganisationer och återförsäljare (registrerare), kräver att organisationerna samlar persondata på domänägarna. Kontraktet som baserar sig på flerpartssamtal och kompromisser (mer eller mindre) har tagit många år att komma överens om – och förändras inte över en natt. Därför har ICANN nu tvingats att ta fram en temporär nödlösning, medan ICANN:s PGP (Policy Development Process) varvar upp för att producera nya regler.

Transparens kontra polisstat. Det regionala adressregistret RIPE, som koordinerar IP-adresser i Europa, tog i god tid kontakt med både Europeiska kommissionen och dataombudsmännen och förklarade varför Whois behövdes – och fick det godkänt.

ICANN har däremot valt en mycket amerikansk väg – juridiskt motstånd. Senaste skottet är att ICANN drog domänregistreraren EPAG inför rätten för kontraktsbrott (efter att EPAG meddelat att insamlandet av Whois-informationen var i strid med tysk och europeisk lagstiftning) för att få ett prejudikat – men den tyska domstolen tog inte ställning till kärnfrågan, så spelet fortsätter. Det nästa ICANN-mötet (i Panama i slutet av juni) kommer att bli intressant …

En relevant fråga är om Whois faktiskt fortfarande behövs. Det finns många andra sätt att spåra nätkriminalitet, de innebär bara litet mer besvär – men som nätexpert Geoff Huston har uttryckt det: ”Om man gör det alltför lätt att övervaka lag och ordning, så kallas det polisstat”.