La guerra per la guerra informatica è scoppiata ancora una volta. La scorsa settimana, Washington ha visto non una ma due importanti mosse di sicurezza informatica nella capitale degli Stati Uniti. Martedì, il presidente Obama ha firmato un ordine esecutivo che conferisce alle agenzie federali maggiore autorità di condivisione informazioni sulla “minaccia informatica” nel settore pubblico, una mossa che il presidente ha pubblicizzato nel suo Stato dell’Unione indirizzo. Lo stesso giorno, Reps. Mike Rogers (R-MI) e Dutch Ruppersberger (D-MD) hanno reintrodotto la Cyber Intelligence Sharing e Protection Act (CISPA), un disegno di legge fortemente contestato approvato dalla Camera lo scorso anno, ma morto nel Senato.
Considerata la natura spesso vaga della sicurezza informatica, la densità delle proposte legislative e degli ordini esecutivi, e la passione per questi temi da entrambe le parti, sono necessari alcuni chiarimenti spassionati. Ecco una guida per persone impegnate sulla grande spinta di Washington verso la sicurezza informatica.
Video consigliati
Cosa prevede l’ordine esecutivo del presidente Obama?
L’ordine esecutivo di Obama mira a rafforzare la protezione della sicurezza informatica per le reti delle “infrastrutture critiche” della nazione – reti elettriche, dighe e altre centrali elettriche, società di approvvigionamento idrico, controllo del traffico aereo e istituzioni finanziarie – attraverso una maggiore condivisione di informazione. Nello specifico, autorizza il governo a fornire alle aziende che gestiscono reti di infrastrutture critiche “informazioni sulle minacce informatiche”.
“La politica del governo degli Stati Uniti è quella di aumentare il volume, la tempestività e la qualità delle informazioni sulle minacce informatiche condivise entità del settore privato statunitense in modo che queste entità possano proteggersi e difendersi meglio dalle minacce informatiche", l'ordine esecutivo legge.
L’ordine esecutivo chiede inoltre al governo federale di elaborare raccomandazioni sulle modalità con cui i fornitori di infrastrutture critiche possono proteggersi dagli attacchi informatici. Le aziende, tuttavia, non sarebbero obbligate a rispettare queste raccomandazioni. Chiarirà inoltre quali agenzie governative prenderanno parte agli sforzi di sicurezza informatica.
Leggi l'ordinanza esecutiva completa Qui.
Qualcuno pensa che questo sia un male?
Non proprio. Think tank a favore delle imprese la Fondazione del Patrimonio elogia alcune parti dell’ordinanza, ma dice anche che ha una portata troppo ampia, il che significa che potrebbe coinvolgere attività che non hanno realmente bisogno di essere coinvolte (“come l’agricoltura”). Heritage teme inoltre di non riuscire a svolgere un ottimo lavoro nell’aumentare la condivisione e ritiene che ciò potrebbe portare le agenzie federali ad aumentare la loro portata normativa.
I difensori della privacy, tuttavia, ritengono che l’ordine esecutivo raggiunga il giusto equilibrio tra maggiore sicurezza e protezione libertà personale, poiché consente la condivisione solo in una direzione: dal governo alle imprese – una distinzione fondamentale, come vedremo più avanti.
"Due applausi per i programmi di sicurezza informatica che possono fare altro oltre a spiare gli americani", ha scritto l'ACLU.
La lamentela più grande riguarda l’uso da parte di Obama degli ordini esecutivi in generale, che secondo i critici elude i controlli e gli equilibri del nostro governo. Per quanto possa essere vero, un ordine esecutivo pubblico lo è considerato migliore da alcuni esperti di uno che ha mantenuto il segreto, come molti lo sono stati in passato.
Cosa fa il CISPA?
Come l’ordine sulla sicurezza informatica di Obama, l’obiettivo principale del CISPA è aumentare la condivisione delle informazioni sulle minacce informatiche (o CTI, come la chiamano i ragazzi fighi). A differenza dell’ordine di Obama, tuttavia, il CISPA consente la condivisione di informazioni in entrambe le direzioni: dal governo alle imprese e viceversa. La condivisione non è richiesta dalla legge, ma è consentita.
CISPA fornisce inoltre un’ampia immunità legale alle società che raccolgono e condividono CTI con il governo federale, purché lo facciano quindi “in buona fede” – il che potrebbe significare che le aziende non possono essere citate in giudizio o accusate di crimini per la raccolta e la condivisione di CTI ai sensi della CISPA. Inoltre, il CISPA protegge la CTI condivisa dai meccanismi di trasparenza, come il Freedom of Information Act (FOIA).
Leggi il testo completo del CISPA qui: PDF.
Qualcuno pensa che questo sia un male?
Puoi scommetterci. I difensori della privacy sono particolarmente irritati da questo disegno di legge perché temono che permetterà al governo di mettere le mani sulle nostre comunicazioni private; perché non sapremo quali delle nostre informazioni verranno condivise, dicono; e perché potrebbe toglierci il potere di punire le aziende che raccolgono e condividono le informazioni che hanno su di noi.
"La nostra preoccupazione fin dal primo giorno è stata che queste disposizioni combinate di potere e immunità avrebbero prevalso sulle leggi sulla privacy esistenti come il Wiretap Act e lo Stored Communications Act", ha scritto la Electronic Frontier Foundation (EFF). “Peggio ancora, la legge prevede l’immunità” per le decisioni prese sulla base della “CTI”. Un’azienda canaglia o fuorviata potrebbe facilmente prendere “decisioni” sbagliate che causerebbero molti più danni che benefici, e non dovrebbe essere immunizzata”.
Non appena Annunciato il ritorno del CISPA La scorsa settimana, una serie di gruppi per le libertà civili incentrati su Internet, tra cui Demand Progress, Fight for the Future, EFF, Avaaz, ACLU e Free Press, hanno lanciato petizioni contro CISPA. Giovedì chiediamo progresso e combattiamo per il futuro consegnato più di 300.000 firme alla Commissione Intelligence della Camera per protestare contro il CISPA. E finora più di 1 milione di persone hanno firmato petizioni anti-CISPA.
Co-sponsor CISPA, Reps. Rogers e Ruppersberger stanno facendo tutto il possibile per mitigare le preoccupazioni sulla CISPA, sostenendo che il disegno di legge non si tratta di spiare i cittadini, e che una maggiore condivisione delle CTI tra il settore pubblico e quello privato è un modo semplice per combattere le minacce informatiche.
Dal lato commerciale, Telecomunicazioni statunitensi, un gruppo di lobbisti dei fornitori di servizi Internet; CTIA, il braccio lobbista dell’industria wireless; E AT&T si sono tutti espressi a favore del CISPA, ma dovremmo aspettarci un sostegno molto maggiore da parte del settore privato. L'ultima volta, centinaia di aziende direttamente o indirettamente (attraverso i loro gruppi di lobbying) hanno espresso sostegno al disegno di legge, compresi i giganti della tecnologia come Facebook e IBM.
Perché sta succedendo tutto questo adesso?
Perché i membri del nostro governo sono convinti che gli attacchi informatici siano un problema serio e destinato a peggiorare. Secondo un rapporto di dicembre del Dipartimento per la sicurezza nazionale, attacchi informatici contro oleodotti e fornitori di elettricità è aumentato del 52% rispetto allo scorso anno. E la stima dell’intelligence nazionale recentemente indicato che gli Stati Uniti sono, come dice il Washington Post, “il bersaglio di una massiccia e prolungata campagna di spionaggio informatico che sta minacciando la competitività economica del Paese”.
Tutto questo avviene sullo sfondo di hack prolungati del New York Times, Wall Street Journal, Washington Post e Bloomberg News da parte di hacker cinesi: attacchi di alto profilo che pongono più saldamente nella mente del pubblico le preoccupazioni relative alla sicurezza informatica.
Raccomandazioni degli editori
- Tutte le nuove funzionalità di Safari in iPadOS 13 che devi conoscere
