Il Senato USA vuole leggi più stringenti in materia di cyberdifesa. Una proposta di legge bipartisan appena presentata prevede l’istituzione di standard federali di sicurezza validi per tutte le reti critiche (pubbliche e private), nonché la creazione di un’authority dedicata con ampi poteri. Ma le critiche al progetto non si fanno attendere.
Obiettivo del disegno di legge (disponibile qui in forma riassunta) è allargare e razionalizzare il raggio di azione delle autorità federali in materia di cybersicurezza. Al centro della proposta vi è l’istituzione di una autorità specializzata in materia, guidata da un National Cybersecurity Advisor (NCA) dotato di ampi poteri. Il cyberzar , come è stato ribattezzato dai giornali, risponderà direttamente al presidente, e sarà incaricato della supervisione e del coordinamento sulle attività telematiche di tutti gli uffici federali.
In caso di attacchi, sarà nelle facoltà del NCA disattivare qualsiasi rete di computer presente sul territorio statunitense, comprese quelle private. Inoltre il documento prevede la definizione da parte del governo federale di standard di cybersicurezza unitari, validi sia per le reti pubbliche che per le reti private ritenute “critiche” (come quelle idriche, elettriche, finanziarie).
Attualmente le responsabilità in materia di cybersicurezza sono ripartite tra il Ministero dell’Interno – che fornisce assistenza ai network privati – e le due autorità responsabili per i network militari, il Pentagono e la National Security Agency . Secondo Rockfeller, uno dei sostenitori della legge, la difesa delle reti tuttavia è una questione che non investe solo profili militari e di sicurezza nazionale. “Le persone pensano che questo problema riguardi solo l’esercito o le strutture di intelligence – sostiene il senatore democratico – ma in realtà c’è molto di più. Perché le conseguenze di un attacco possono improvvisamente investire anche il sistema stradale, o ferroviario, o l’acqua e l’elettricità”.
Secondo gli studi esibiti dai proponenti, infatti, un eventuale cyber-attacco su larga scala potrebbe facilmente produrre su altre reti come quelle di trasporto, energetiche o finanziarie.
Oltre all’Authority centrale, la legge prevede anche la creazione di cybersecurity center locali, pensati per supportare le piccole e medie imprese nell’implementazione delle misure di sicurezza telematica, nonché l’aumento dei finanziamenti per la realizzazione di studi e ricerche in materia in seno alla alla National Science Foundation. A definire gli “standard di cybersicurezza”, che dovranno essere “misurabili e verificabili” sarà chiamato il National Institute of Standards and Technology federale.
Nelle sue linee fondamentali il disegno riprende le linee guida contenute nel libro bianco “Securing Cyberspace for the 44th Presidency” (disponibile qui in.PDF), elaborato dal Center for Strategic and International Studies . Ma la proposta di legge presentata da Rockfeller e dal suo collega Snowe solleva anche alcune perplessità. Il presidente del Center for Democracy and Technology Leslie Harris, ad esempio, ha espresso il timore che le nuove regole possano essere interpretate in modo eccessivamente ampio, portando ad un’irreggimentazione anche delle stesse aziende IT.
“I termini impiegati nella proposta sono vaghi – sostiene Harris – Se la norma fosse interpretata in maniera estensiva rispetto alla rete Internet, si potrebbero avere effetti devastanti sia per l’innovazione che per le libertà civili” ha spiegato a Forbes .
Gli estensori della proposta si dicono consci del fatto che il testo possa essere affinato, ma confermano altresì la necessità di migliorare fin da subito la qualità del controllo sulle reti. “È persino riduttivo dire che la cybersicurezza è una delle questioni più importanti oggi: la natura sempre più interconnessa delle nostre vite non fa che amplificare la nostra vulnerabilità agli attacchi telematici. Per cui è necessario agire adesso” dice Rockfeller.
Le preoccupazioni del senatore sembrano trovare riscontro nei dati. Stando ai risultati di un report appena pubblicato dall’ Internet Crime Complaint Centre , un centro di ricerca collegato all’FBI, il numero di denunce per attacchi telematici è triplicato dal 2007 al 2008, raggiungendo nei soli USA il numero di 275.284 casi. I danni economici collegati, documenta lo studio, sarebbero pari a 265 milioni di dollari.
Giovanni Arata