Le autorità europee intendono reprimere le autorità di certificazione, chiedendo alle organizzazioni di firma della sicurezza di parlare apertamente se colpite da hacker.
Le autorità di certificazione, private o sostenute dal governo, emettono certificati digitali che verificano le pagine Web e il codice e sono una componente chiave del Web che funziona in modo fluido e sicuro.
Ma come ha evidenziato la debacle di DigiNotar dello scorso anno, c’è poca regolamentazione in quest’area critica e, se una CA viene violata, le conseguenze possono essere gravi.
“Non esiste un quadro transfrontaliero e intersettoriale dell’UE che garantisca sicurezza, affidabilità e facilità d’uso transazioni elettroniche che comprendono l’identificazione, l’autenticazione e le firme elettroniche”, hanno avvertito i funzionari in un documento di proposta di regolamento dell'arena.
Quando DigiNotar è stato violato, i funzionari olandesi hanno ritardato la rimozione dei certificati dalla circolazione, provocando critiche diffuse da parte delle società web e dei funzionari di sicurezza.
L’hacking di DigiNotar nell’estate del 2011 ha dimostrato chiaramente che il governo olandese non era preparato a una violazione della sua sicurezza digitale
In risposta, l’UE vuole rafforzare i controlli, affermando che costringerà le autorità competenti a segnalare le violazioni entro 24 ore.
“I prestatori di servizi fiduciari, senza indebito ritardo e ove possibile entro 24 ore dal momento in cui ne sono venuti a conoscenza, notificano all’autorità competente l'organismo di vigilanza, l'organismo nazionale competente per la sicurezza delle informazioni e altri soggetti terzi interessati, come le autorità di protezione dei dati, in caso di violazione di sicurezza o perdita di integrità che abbia un impatto significativo sul servizio fiduciario fornito e sui dati personali ivi conservati”, la proposta disse.
Le proposte richiedono inoltre che i database utilizzati per verificare la validità dei certificati vengano aggiornati entro dieci minuti se uno viene estratto per motivi di sicurezza.
Lezione di olandese
L'importanza di un sistema CA che funzioni correttamente è stata sottolineata la settimana scorsa dagli investigatori olandesi ha pubblicato un rapporto severo sull’incapacità delle autorità locali di affrontare le conseguenze degli attacchi hacker Diginotar.
"L'hacking di DigiNotar nell'estate del 2011 ha reso chiaro che il governo olandese non era preparato per una violazione della sua sicurezza digitale", ha affermato il Dutch Safety Board nel suo rapporto.
“La violazione della sicurezza ha fatto sì che i dati di privati e aziende potessero essere intercettati ed eventualmente utilizzati in modo improprio. Con sorpresa di molti, si è rivelato impossibile effettuare un rapido passaggio a un altro fornitore senza mettere seriamente in pericolo la continuità dei vari flussi di dati essenziali con e all'interno del governo."
