Barack Obama fa della cyber-sicurezza la sua priorità. I recenti attacchi hacker alla Sony Pictures, a JPMorgan Chase, alle catene retail Home Depot e Target e all’account Twitter del Centcomm, struttura centrale delle Forze Armate Usa, rendono più che mai urgente per il presidente degli Stati Uniti affrontare e risolvere il problema delle minacce informatiche, che rischiano di prendere di mira anche infrastrutture sensibili (come quelle delle utiiity) connesse a Internet. “Dobbiamo stare un passo avanti a chi vuole colpirci”, ha detto Obama. “Il problema è che il governo e il settore privato non sempre collaborano da vicino come dovrebbero”.
I NODI DELLA LEGGE
In realtà da anni il Congresso americano cerca di approvare una legge che esiga dalle aziende la condivisione con le altre aziende e con gli enti governativi dei dati sugli attacchi informatici che subiscono, perché la conoscenza del pericolo è la prima arma per difendersi. Ma la legge non è andata avanti sia perché le aziende, temendo una mole di cause legali, cercano di nascondere se subiscono attacchi hacker, sia perché i gruppi in difesa dei consumatori temono rischi per la privacy derivanti dalla condivisione dei dati.
LA PROPOSTA DI OBAMA
La legge sulla cyber-sicurezza che propone il presidente Obama (e che verrà portata al Congresso martedì prossimo) cerca di raggiungere un equilibrio tra le diverse posizioni. Le aziende ottengono protezione dalla responsabilità legale; tuttavia dovranno informare “in tempo reale” il governo degli attacchi subiti: ovvero entro 30 giorni dal rilevamento dell’attacco. Inoltre, a tutela della privacy dei cittadini, le informazioni consegnate dovranno essere “mondate” di tutti i dati personali, quelli che identificano cioè con esattezza singole persone. La Casa Bianca non suggerisce invece alle aziende di contrattaccare quando sono vittime di hacker, per non fomentare la cyber-guerra.
Lo scopo di Obama è creare un unico standard nazionale di comportamento per le aziende che subiscono violazioni dei loro sistemi di sicurezza; il presidente ritiene che l’attuale legislazione, spezzettata tra le varie norme statali, non garantisca la protezione degli americani e rappresenti un peso per le aziende attive su scala nazionale.
Soprattutto, Obama insiste sulla collaborazione e condivisione delle informazioni sulle minacce. “Non è la panacea, ma una maggiore condivisione delle aziende tra loro e delle aziende col governo è un elemento chiave per migliorare la nostra cyber-security”, indica la Casa Bianca.
QUANTA CONDIVISIONE
L’idea della Casa Bianca è che le aziende vittime di hacker o malware mettano subito a disposizione le informazioni sull’attacco e i dati rubati comunicandole al National Cybersecurity and Communications Integration Center del dipartimento di Homeland Security; quest’ultimo a sua volta le condividerà in tempo reale con altre agenzie federali ed enti privati noti come Information Sharing and Analysis Organizations (ISAO), organizzazioni che gli Usa stanno creando per il monitoraggio e il contrasto degli attacchi. Questa condivisione dei dati preoccupa però le associazioni che difendono la privacy: quanti e quali dati dei cittadini finirebbero a Homeland security, Nsa, Fbi e servizi segreti?
La Casa Bianca replica: i dati condivisi sarebbero informazioni sull’attacco ai computer e la natura dei dati esposti, non il dettaglio dei dati personali violati. “Non dobbiamo permettere che il disaccordo sulla riforma dell’Nsa influisca sulle riforme per la cyber-security”, ha ammonito il portavoce della Casa Bianca Josh Earnest.
Inoltre, Obama ha chiarito nella sua proposta che gli enti governativi dovranno collaborare con la Privacy and Civil Liberties Oversight Board e altri organismi di vigilanza sulla privacy per capire in che modo raccogliere, conservare, usare ed eventualmente rendere pubblici i dati.
STRETTA SUI CYBER-CRIMINI
Obama propone anche di dare alle forze di polizia più poteri di indagini sul cyber-crime e allarga i reati connessi sia col cyber-crimine che con il furto di dati personali, nella speranza di arginare il fenomeno della vendita di spyware e del furto di dati. Per esempio, nella proposta del presidente Usa, diventa reato vendere all’estero i dati di carte di credito rubate e si possono perseguire penalmente i botnet, le reti di computer infettate da malware.
In più, Obama chiede un aggiornamento della legge sul crimine organizzato (Racketeering Influenced and Corrupt Organizations Act o RICO), in modo che si applichi ai cyber-crimini, e un allineamento delle sanzioni per i crimini informatici a crimini simili del mondo offline.
L’INCOGNITA DEL CONGRESSO
Le manovre di Obama sono parte di un’intensificata attenzione della Casa Bianca verso i temi della privacy e della cyber-sicurezza, che probabilmente avranno un posto di rilievo anche nel discorso sullo Stato dell’Unione della prossima settimana.
“Uno dei temi centrali sarà la cyber-sicurezza”, ha anticipato Obama. “Dopo gli attacchi alla Sony e all’account Twitter del Comando centrale degli Stati Uniti è chiaro che dobbiamo impegnarci su questo fronte e che settore pubblico e privato devono rafforzarsi”. “Le cyber-minacce sono un pericolo urgente e crescente”, ha continuato il presidente.
Obama ha messo la cyber-security in cima alla sua agenda 2015 e la considera un’area in cui è possibile cooperare col Congresso, nonostante ora questo sia guidato dai Repubblicani. Obama ha già discusso le sue proposte con il presidente della Camera John Boehner e il Leader della maggioranza al Senato Mitch McConnell e riferito che entrambi sono d’accordo sul fatto che gli Stati Uniti si debbano occupare della cyber-security.
Tuttavia è la prima volta che Obama si trova di fronte a un Congresso controllato dai Repubblicani: l’iter della legislazione che proporrà potrebbe non essere spedito come desidera. Resta anche da vedere quanto decisa sarà l’opposizione dei paladini della privacy: pur se contenti della proposta di “mondare” dai riferimenti personali i dati che le aziende consegnano, temono sia la condivisione con Nsa e servizi segreti sia che lo standard unico federale possa essere più debole delle robuste leggi statali approvate negli ultimi anni.
Per altri, invece, è proprio il patchwork delle 46 leggi statali vigenti, spesso in conflitto fra loro, a impedire la protezione dei dati personali e l’efficace contrasto del cyber-crimine: Jon Leibowitz (Partito Democratico), partner dello studio legale Davis Polk ed ex chairman della Federal trade commission sempre durante l’amministrazione Obama, ha dichiarato che una legislazione federale come quella che propone la Casa Bianca, e una maggiore collaborazione pubblico-privato, potranno difendere meglio la privacy e la sicurezza nazionale.