Europa
Molti, ancora troppi, sono gli incidenti non segnalati occorsi in questi anni alle infrastrutture informatiche europee, che espongono i dati dei cittadini e possono avere un impatto significativo sulla fiducia che gli utenti ripongono nelle reti digitali.
E’ quanto denuncia ENISA, l’agenzia europea per sicurezza delle reti e delle informazioni, nell’ambito di un bilancio appena pubblicato relativo alle misure di sicurezza e alle segnalazioni sugli incidenti, che possono essere causati da criminali informatici o da eventi meteorologici particolarmente violenti. Molti e importanti i progressi raggiunti, spiega ENISA, ma ancora troppe le lacune e le inosservanze delle leggi europee a livello nazionale.
L’agenzia cita 5 esempi: nel 2012, il furto di 6,5 milioni di password dal sito LinkedIn (Leggi articolo Key4biz); nel 2011 la distruzione di milioni di connessioni in Scandinavia a causa della tempesta Dagmar. E ancora, nel 2011, il pirataggio di un organismo di certificazione che ha esposto le comunicazioni di milioni di utenti o, nel 2010, il dirottamento del traffico internet mondiale per 20 minuti a opera di un ISP cinese.
Ognuno di questi episodi ha coinvolto milioni di cittadini e imprese. Eppure, la maggior parte di questi incidenti non viene neanche segnalato, denunciano Marnix Dekker e M. Chris Karsberg, co-autori del rapporto “Cyber Incident Reporting in the EU“.
“Gli incidenti informatici sono sempre più spesso tenuti segreti, lasciando utenti e responsabili politici all’oscuro riguardo la frequenza, l’impatto e le cause”, affermano.
Il rapporto offre una panoramica della legislazione esistente e sulle disposizioni di segnalazione obbligatoria degli incidenti contenute nell’articolo 13 bis del ‘Pacchetto Telecom’ e nell’articolo 4 della direttiva sulla privacy online, nonché nell’articolo 15 del progetto di regolamento sull’identità elettronica e negli articoli 30, 31, 32 della bozza di riforma della regolamentazione sulla protezione dei dati.
Per il direttore esecutivo di ENISA, Udo Helmbrecht, “La segnalazione degli incidenti è essenziale per ottenere un quadro reale e concreto della sicurezza informatica. La strategia europea è un passo importante e uno dei suoi obiettivi è quello di estendere il concetto di segnalazione obbligatoria, come indicato all’articolo 13 bis, al di là del settore delle telecomunicazioni”.
