Dato il rapido ritmo degli sviluppi nel settore tecnologico, nonché le crescenti minacce poste dalla criminalità online, da tempo è all’orizzonte una nuova legislazione sulle telecomunicazioni. Seguendo il Revisione della futura infrastruttura delle telecomunicazioni e il Revisione della catena di approvvigionamento delle telecomunicazioni nel Regno Unito, il governo ha individuato tre aree chiave che dovevano essere migliorate:
- Nuovi requisiti di sicurezza.
- Gestire il rischio per la sicurezza posto dai fornitori.
- Quadro legislativo rafforzato per la sicurezza nelle telecomunicazioni.
A novembre 2020, il Progetto di legge sulle telecomunicazioni (sicurezza) è stato presentato alla Camera dei Comuni da Matt Warman MP, sottosegretario parlamentare per il Dipartimento per il digitale, la cultura, i media e lo sport (DCMS). Il disegno di legge mira a conferire al governo nuovi poteri per aumentare gli standard di sicurezza delle reti di telecomunicazioni del Regno Unito e rimuovere la minaccia rappresentata dai fornitori identificati dal governo come ad alto rischio. Ciò si ottiene con il disegno di legge che amplia i poteri legislativi dell’attuale Legge sulle comunicazioni 2003.
Warman spiega: “Il prossimo passo è la consultazione su un codice di condotta che stabilirà come Ofcom e i fornitori lavoreranno insieme per soddisfare i dettagli precisi di tali responsabilità, in modo che le cose siano proporzionate, sensate e soddisfino il giusto equilibrio tra sicurezza per consumatori e imprese, ma anche chiarezza e prevedibilità per i fornitori”.
Il disegno di legge si concentra sui fornitori di reti e servizi di comunicazione elettronica (PECN/PECS), il che significa qualsiasi azienda che è coinvolta in tutto o in parte nel settore delle telecomunicazioni. Gli obiettivi del disegno di legge possono essere suddivisi in quattro elementi chiave:
- Fornire nuovi obblighi di sicurezza legale per PECN/PECS per garantire un’adeguata sicurezza delle reti.
- Espandere i compiti di Ofcom per promuovere la sicurezza e la resilienza a PECN/PECS.
- Fornire un potere delegato per fare legislazione secondaria, stabilendo sotto-doveri e requisiti di sicurezza dettagliati per definire ulteriormente le azioni prioritarie che devono essere intraprese da PECN/PECS.
- Fornire al Segretario di Stato del DCMS i poteri per definire nuovi codici di condotta di sicurezza per assistere Ofcom e il relativo PECN/PECS nell’adempimento di questi nuovi compiti aggiuntivi.
Sebbene tutti i dispositivi connessi a Internet, dai sistemi TVCC ai contatori intelligenti, comunichino efficacemente tra loro, la legge sulle telecomunicazioni (sicurezza) copre solo i servizi di comunicazione vocale e di testo. “Questo disegno di legge è focalizzato molto strettamente sulla rete di telecomunicazioni”, afferma Warman.
Sicurezza dei dispositivi IoT
Tuttavia, viene presa in considerazione anche la sicurezza dei dispositivi Internet of Things (IoT). “Nel discorso della regina, abbiamo annunciato la legge sulla sicurezza dei prodotti e sulle infrastrutture di telecomunicazione, una parte della quale riguarda i dispositivi intelligenti”, aggiunge Warman. “È ancora troppo facile acquistare un dispositivo intelligente che ha la password come ‘password’ o, peggio ancora, non è possibile modificare affatto la password.”
Fondamentale per il disegno di legge sulle telecomunicazioni (sicurezza) è l’obbligo per il PECN/PECS di adottare misure di sicurezza per proteggere le proprie reti e servizi. Ciò è trattato nella Sezione 105A, dove si afferma: “Il fornitore di una rete pubblica di comunicazione elettronica o di un servizio pubblico di comunicazione elettronica deve adottare le misure appropriate e proporzionate ai fini di:
- Identificazione dei rischi di compromissione della sicurezza.
- Ridurre i rischi di compromissione della sicurezza.
- Prepararsi al verificarsi di compromissioni della sicurezza”.
Un “compromesso di sicurezza” può essere ampiamente definito come tutto ciò che interferisce con le prestazioni e la funzionalità di una rete di telecomunicazioni. La definizione completa, che comprende sette definizioni distinte di compromesso di sicurezza, è fornita nel Paragrafo 2 della Sezione 105A. Anche se questo può sembrare prolisso, il disegno di legge sta tentando di comprendere tutte le forme di vulnerabilità, rendendosi così a prova di futuro.
“Questo rappresenta un cambiamento significativo nel modo in cui il governo sovrintende alla sicurezza, e con il NS&I Bill mostra che viene presa una posizione più proattiva, che potrebbe cambiare il modo in cui un provider gestisce la sua rete”, afferma Andrew Kernahan, capo degli affari pubblici per ISPA. “Riteniamo che qualsiasi misura che vada al di là delle normali pratiche commerciali debba essere considerata con attenzione, con l’adozione di misure di salvaguardia”.
Inoltre, ci si aspetta che PECN/PECS adotti determinate misure in risposta a una compromissione della sicurezza. Il paragrafo 2 della Sezione 105C afferma: “Il fornitore della rete o del servizio deve adottare le misure appropriate e proporzionate allo scopo di prevenire effetti negativi (sulla rete o sul servizio o altro) derivanti dalla compromissione della sicurezza”.
Vulnerabilità di sicurezza
Come parte della loro risposta, il PECN/PECS dovrà informare entrambi Ofcom e i loro utenti di eventuali vulnerabilità di sicurezza. Il paragrafo 2 della sezione 105J afferma: “Il fornitore della rete o del servizio deve adottare misure ragionevoli e proporzionate allo scopo di portare le informazioni pertinenti, espresse in un linguaggio chiaro e semplice, all’attenzione delle persone che utilizzano la rete o servizio e può essere influenzato negativamente dalla compromissione della sicurezza”.
Questo oltre a informare il Ufficio del Commissario per le informazioni (ICO) in caso di violazione dei dati.
Sebbene il disegno di legge prenda provvedimenti per incorporare tutte le forme di vulnerabilità della sicurezza, avverte che la legislazione sulla sicurezza non è inclusa. La sezione 105A stabilisce: “Ma in questo capitolo, ‘compromissione della sicurezza’ non include tutto ciò che si verifica a seguito di una condotta richiesta o autorizzata da o ai sensi di una legge menzionata nella sottosezione (4).”
Gli atti citati nella sottosezione 4 includono quanto segue:
Questo per garantire che non vi sia sovrapposizione legislativa. Warman spiega: “Mantenere tale segmentazione è importante, perché consente alle forze dell’ordine di continuare a lavorare con i fornitori di telecomunicazioni nel modo in cui lo fanno attualmente, senza iniziare a spostare gli obiettivi. Non vorrai creare accidentalmente un conflitto di doveri attraverso tre diverse legislazioni”.
Dopo la decisione del governo di bandire Tecnologia Huawei dall’infrastruttura di telecomunicazioni del Regno Unito, la Sezione 105Z1 del disegno di legge include poteri per le indicazioni del fornitore designato. Ciò consente al segretario di Stato di ordinare alle aziende di limitare o vietare gli acquisti da determinati fornitori nell’interesse della sicurezza nazionale.
Oltre a queste disposizioni di sicurezza, le organizzazioni dovranno seguire specifiche misure di sicurezza (Sezione 105B) e codici di condotta (Sezione 105E), che possono essere emessi e ritirati dal Segretario di Stato.
Alla base di ciò c’è la Sezione 105Z25, che conferisce al Segretario di Stato il potere di applicare misure di sicurezza aggiuntive a determinate informazioni. “Il disegno di legge richiede ai fornitori di comunicazioni, come gli ISP, di non divulgare il contenuto delle indicazioni o delle notifiche dei fornitori senza il permesso del Segretario di Stato”, afferma Kernahan. “Ciò significherebbe che gli ISP non saranno in grado di discutere la situazione – e quindi chiedere consiglio – con i loro colleghi”.
Alla domanda su questo, Warman dice: “L’unico motivo per cui quelle clausole di non divulgazione sono potenzialmente lì è dove riteniamo che potrebbe compromettere la sicurezza nazionale rendere pubbliche quel genere di cose”.
Più poteri per Ofcom
Gli articoli del disegno di legge saranno applicati da Ofcom, che acquisirà quindi maggiori poteri. Questi poteri includono la capacità di Ofcom di valutare la conformità del PECN/PECS al disegno di legge e di emettere sanzioni pecuniarie per il mancato rispetto. Queste sanzioni includono fino a £ 100.000 al giorno per il mancato rispetto di un obbligo di sicurezza e una sanzione massima di £ 10 milioni per il mancato rispetto di un codice di condotta.
I costi per ottemperare al nuovo disegno di legge sono ancora da definire, anche a causa della pandemia di Covid-19. È stato notato a pagina 3 del of Valutazione di impatto che i maggiori operatori “potrebbero sostenere costi potenzialmente significativi”. Gli operatori di livello 1 potrebbero sostenere costi di familiarizzazione fino a £ 200.000, mentre gli operatori non di livello 1 potrebbero affrontare costi di familiarizzazione fino a £ 2 milioni.
Warman aggiunge: “Se guardi a cosa sta facendo questo disegno di legge, insieme alla strategia di diversificazione, sta lavorando verso un panorama delle telecomunicazioni più diversificato, supportato da un investimento iniziale di 250 milioni di sterline. Uno dei problemi che abbiamo nel panorama delle reti di telecomunicazioni è la dipendenza da un piccolo numero di provider. Siamo desiderosi di utilizzare il pacchetto di misure che abbiamo presentato per promuovere l’innovazione in un’area che, per certi versi, non ne ha avuto abbastanza”.
Il disegno di legge sulle telecomunicazioni (sicurezza) è un segno delle cose a venire. Le aziende tecnologiche che desiderano continuare a operare nel Regno Unito devono essere consapevoli che in futuro saranno loro richiesti ulteriori requisiti di sicurezza.
“Il disegno di legge sta affrontando le carenze della legislazione esistente sulla sicurezza delle telecomunicazioni, ma poi il disegno di legge sulla sicurezza dei prodotti e sulle infrastrutture di telecomunicazione sta andando in altre aree”, afferma Warman. “Ci sono tutta una serie di prodotti. Non hai mai dovuto preoccuparti della sicurezza del tuo frigorifero, a parte forse da animali domestici e bambini. Mentre ora, dobbiamo assolutamente preoccuparci se i prodotti in vendita in questo Paese che sono connessi a Internet offrano quello standard minimo di sicurezza che tutti possono ragionevolmente aspettarsi”.
Il disegno di legge sulle telecomunicazioni (Security) è in definitiva progettato per rafforzare l’infrastruttura di telecomunicazioni del Regno Unito, ma l’onere viene posto sui fornitori di servizi di telecomunicazioni. Sebbene sia positivo che il governo stia legiferando sulla necessità di una maggiore sicurezza, gli elementi di costo e di non divulgazione possono ancora essere visti come aree di preoccupazione.
More Stories
Risultati salutari sull’allentamento del Covid
Ukrtelecom e Iskratel lanciano l’espansione della rete in fibra da 12 milioni di euro in Ucraina
L’acquisizione di tecnologia per le forze dell’ordine richiede un esame più approfondito