Możliwość tworzenia na tej podstawie profili osób oraz brak regulacji okresu ich przechowywania rodzi poważne ryzyko dla danych w sieci. Jak twierdzi organ – fakt wzrostu świadomości dotyczącej prywatności w Internecie nie wpływa jednak na zainteresowanie problematyką DNS.
Co kryje się pod skrótem DNS? Domain Name System (system nazw domen) to usługa ułatwiająca przeglądanie stron internetowych. Usługa ta umożliwia posługiwanie się przyjaznymi dla człowieka nazwami adresów stron internetowych – „tłumaczy” nazwy domen na adresy IP konkretnych stron. W trakcie tego procesu, bazując na naszej aktywności w sieci, zbiera się liczne dane dotyczące użytkownika. Zapytania DNS zawierają adres IP osoby korzystającej z Internetu, zachowując przy tym informacje dotyczące preferencji wyszukiwania, oraz odwiedzane strony internetowe. Zakres zebranych w ten sposób informacji pozwala na profilowanie użytkowników. Na podstawie analizy zebranych danych możliwe jest pozyskanie informacji na temat użytkownika jak np. informacji o problemach zdrowotnych na bazie informacji o odwiedzanych stronach tematycznych.
Dużym zagrożeniem dla prywatności jest fakt, że zapytania te, zawierające szerokie spektrum informacji, są przesyłane w sieci, nie będąc przy tym w żaden sposób chronione. Co więcej, serwery DNS mogą zostać skonfigurowane w taki sposób, by wysyłane zapytania były ewidencjonowane i wykorzystywane do celów wykraczających poza zadania systemu. Problematyczne jest również to, że istnieje wiele sposobów modyfikowania odpowiedzi systemu na zapytania użytkownika co w konsekwencji rodzi ryzyko, że dana odpowiedź może zostać zmodyfikowana przez osobę trzecią, a co za tym idzie, istnieje ryzyko przekierowania na np. fałszywe strony internetowe Wiąże się to z całą paletą ryzyk dla prywatności osób.
DNS, z uwagi na swój praktyczny charakter, od lat stanowi jeden z fundamentalnych elementów umożliwiających funkcjonowanie sieci oraz korzystanie z Internetu. Jednakże, został zaprojektowany bez uwzględnienia mechanizmów zapewniających bezpieczeństwo świadczonej usługi. Dlatego też powstały rozszerzenia systemu DNS mające na celu zwiększenie bezpieczeństwa usługi. Należy do nich m.in. DNSSEC, który przy użyciu kryptografii klucza publicznego może zapewnić integralność oraz autentyczność odpowiedzi DNS. Jednakże, jak podkreśla hiszpański urząd ochrony danych, DNSSEC nie może zapewnić mechanizmów szyfrujących, które zagwarantują poufność komunikacji DNS.
W celu rozwiązania tego problemu zaprojektowane zostały dwie alternatywy. DNS over TLS (DoT) oraz DNS over HTTPS (DoH) to protokoły bezpieczeństwa, których zadaniem jest uniemożliwienie podsłuchiwania komunikatów DNS oraz manipulowania nimi poprzez ataki typu man-in-the-middle. Można je aktywować na niektórych przeglądarkach internetowych oraz oznaczyć je jako ustawienie domyślne. Jednakże, z uwagi na fakt, że jest to ustawienie dotyczące przeglądarki, będą one skuteczne jedynie dla zapytań DNS inicjowanych przez tę przeglądarkę, pozostając przy tym bez wpływu na inne aplikacje mające dostęp do sieci.
Organ wskazał również pewne ograniczenia technologiczne, których zniesienie pozwoliłoby w znaczącym stopniu wpłynąć na prywatność komunikacji, w szczególności gdy mowa o mniej wiarygodnych sieciach. Zaliczyć można do nich m.in.:
- używanie protokołu DoH jedynie przez przeglądarki internetowe (z pominięciem innych aplikacji mających połączenie z siecią), czego efektem jest brak kompleksowego szyfrowania zapytań;
- używanie DoH w trybie awaryjnym może powodować przesyłanie żądań z użyciem standardowego protokołu DNS, co uniemożliwi weryfikację, które z żądań zostało zaszyfrowane;
- ustanowienie serwera DoH może wiązać się z wyborem dostawcy posiadającym serwery poza Europejskim Obszarem Gospodarczym wykorzystującym zebrane dane do celów innych, niż zapewnienie usług DNS;
- zwiększenie podatności na złośliwe oprogramowanie (malware) w związku z umożliwieniem przesyłu zapytań do serwerów DNS niezdefiniowanych wcześniej przez system operacyjny oraz tunelowanych przez HTTPS.
W celu podniesienia poziomu ochrony prywatności hiszpański organ w swoim tekście przygotował listę zaleceń. Są nimi m.in.: promowanie oraz wspieranie implementacji DNSSEC i jego aktywacja na wszystkich DNS, szyfrowanie zapytań DNS przy pomocy wybranej metody na poziomie systemu, upewnienie się, że dostawcy usług DNS spełniają wymogi stawiane przez RODO, w tym realizują kompleksowo obowiązek informacyjny wobec podmiotów danych.
Zdaniem organu, implementacja wskazanych rozwiązań może w znaczącym stopniu wpłynąć na prywatność komunikacji, w szczególności, gdy mowa o mniej wiarygodnych sieciach. Warto zaznaczyć, że dane przetwarzane przez serwer DNS gromadzone są w konkretnym celu. Jest nim wykonywanie usługi identyfikacji nazw domen. Każdy inny cel, jak na przykład profilowanie osób, wpływa w znaczący sposób na prywatność. W takiej sytuacji koniecznym jest identyfikacja procesu, określenie jego podstawy prawnej oraz realizacja praw osób, których dane dotyczą.
Źródła: portal gdpr.pl