Cybersecurity e diritti umani

Un attacco informatico ha il potere di paralizzare le comunicazioni cellulari; alterare o cancellare informazioni in sistemi computerizzati; impedire l’accesso ai server dei computer; e danneggiare direttamente l’economia e la sicurezza di un paese attaccando le sue reti elettriche o il sistema bancario.

La necessità è chiara per qualsiasi paese, ma soprattutto per Israele con le sue considerazioni di sicurezza uniche, per mantenere un sistema di difesa informatica. La creazione della Unified Israel National Cyber ​​Directorate (INCD), che include l’Israel Cyber ​​Event Readiness Team (CERT-IL), affianco ad altre agenzie di sicurezza come l’israeliana NSA e il Mossad presso l’uff  del Primo Ministro, risponde a questa esigenza . Questa è un’istituzione importante, e quindi deve avere poteri legislativi chiaramente definiti, obiettivi e strutture organizzative.

Ciò che è interessante, tuttavia, è che sebbene Israele sia Startup Nation quando si tratta di innovazione e sviluppo, è gravemente indietro nella legislazione che affronta i crescenti dilemmi riguardanti l’intersezione tra tecnologia, diritti umani e valori democratici. La maggior parte delle innovazioni tecnologiche nei sistemi di sicurezza e di tracciamento utilizzati nei social network sono sviluppate fuori dagli occhi del pubblico. L’INCD unificato è stato istituito prima della messa in atto della legislazione per regolare le sue attività.

A tal fine, la recente pubblicazione della prima bozza di una legge cibernetica per Israele, concepita per fornire un quadro legale per le attività del sistema di difesa informatica di Israele, è benvenuta. Tuttavia, il contenuto del progetto mostra che lo Stato sta cercando di assumere poteri molto più ampi di quelli necessari per proteggere la popolazione  dagli attacchi informatici. Parte della ragione di ciò è che al momento è difficile valutare quali potrebbero essere gli attacchi informatici in futuro, ma un’altra parte è quella che sembra essere una politica alquanto nascosta del governo che usa la tecnologia per aumentare il controllo sull’ attività dei cittadini.

Secondo la prima bozza, l’INCD, una divisione all’interno dell’Ufficio del Primo Ministro, potrà raccogliere regolarmente dati da Internet e fornitori di telefonia mobile, ministeri del governo, autorità locali e corporazioni governative al fine di identificare e contrastare gli attacchi informatici in tempo reale. Tuttavia, la definizione di “dati rilevanti per la sicurezza” rimane ambigua ed è certamente molto più ampia delle definizioni stabilite da IOC (Cyber ​​Threat Indicator) nell’American Cybersecurity Information Sharing Act (CISA) approvata nel 2015.

La domanda è se c’è davvero bisogno di tutte queste informazioni – una registrazione di tutte le attività online e dei dettagli personali che abbiamo condiviso con le agenzie governative – per essere raccolte in questo modo, e se si tratta di informazioni che potrebbero essere utilizzate per creare profili comportamentali che potrebbero essere utilizzati contro i cittadini. Qual è, in effetti, la differenza tra la raccolta di questi dati e l’intercettazione su larga scala e senza restrizioni? Perché lo Stato abbia accesso a informazioni di così ampia portata costituisce una vera minaccia alla privacy e ai diritti umani dei cittadini su più vasta scala.

Inoltre, nel caso in cui la proposta di legge venga approvata, INCD avrà accesso ai computer e all’autorità per raccogliere ed elaborare le informazioni, tutto nel nome dell’identificazione degli infiltrati della sicurezza informatica. Questo potrebbe includere quasi tutte le informazioni possedute da privati ​​cittadini o aziende. Mentre la legge menziona la necessità di rispettare il diritto alla privacy, consente anche attività che non violano questo diritto “più del necessario” – una limitazione spaventosamente vaga. Inoltre, non sembrano esserci limiti sufficienti all’uso delle informazioni raccolte. Quanto può essere conservato? Può essere trasmesso da INCD alla polizia o ad altre agenzie?

Non saremmo leader globali nel cyber e nella tecnologia senza proteggere contemporaneamente i diritti umani fondamentali.

Questo disegno di legge dota l’INCD di poteri regolamentari supremi che sostituiscono quelli della polizia, delle autorità per la protezione della privacy e altri. L’INCD ha persino la capacità di ritirare le licenze concesse alle istituzioni commerciali. Un risultato ovvio di questo è che porterà ad una mancanza di cooperazione tra le diverse autorità. La domanda da un milione di dollari è, naturalmente, quando entrano in gioco questi poteri? E la risposta, ancora una volta, è preoccupante: “Ogni volta che è necessario per difendere un ‘interesse vitale'”.

Questo potrebbe significare proteggere la sicurezza del paese o salvare la vita umana, ma secondo la bozza, include anche “il corretto funzionamento delle organizzazioni che forniscono servizi su scala significativa”. Ciò significa anche un attacco informatico su una grande catena di abbigliamento? E se è così, è giustificato?

La classica sicurezza informatica, come la conosciamo, riguarda principalmente potenziali danni alle infrastrutture tangibili. Tuttavia, la proposta di legge consente al primo ministro di aggiungere altre minacce informatiche a questa lista a suo piacimento. Il che pone la domanda: che cosa accadrà quando un primo ministro aggiungerà qualcosa sulla falsariga di “danneggiare la coscienza pubblica presentando argomenti sui social network”? o “diffondere notizie false”? Vogliamo davvero che l’INCD sia abilitato a trattare tali casi oltre alla NSA israeliana?

Inoltre, la bozza quasi non menziona gli organismi di supervisione per regolare l’uso di tali poteri e concede al capo dell’IND il potere di mantenere un velo di segretezza quando vengono scoperti gli attacchi. Ha certamente senso non rendere pubblico l’esistenza di un attacco informatico finché non è sotto controllo – al fine di prevenire ulteriori danni – ma supporre di essere un paziente in un ospedale in cui un attacco informatico ha creato confusione nella somministrazione di farmaci. Quanto vorresti che fosse tenuto segreto? E i titolari di conti bancari o le persone che si sono registrate per un sito di appuntamenti, i cui dettagli sono stati compromessi?

La proposta di legge conferisce all’INCD un potere incontrollato, soprattutto se confrontato con altre democrazie. L’abuso di tale potere e l’esposizione di PRSM (il programma di sorveglianza intrusiva della NSA) di Edward Snowden dovrebbero servire da monito per tutti, specialmente qui in Israele. Oggi, il diritto alla privacy non può più essere visto come il diritto di controllare i dati personali come previsto dal Regolamento generale sulla protezione dei dati (GDPR). Piuttosto, il diritto alla privacy è inteso come una condizione preliminare per altri diritti umani. Mentre il disegno di legge è importante, non si può fare a meno di pensare che potrebbe essere il primo stadio di uno scenario senza precedenti “fratello maggiore”.

I legislatori devono prendersi il tempo per studiare i problemi informatici e le minacce e le opportunità che rappresentano. È fondamentale che coloro che decidono se approvare o meno il disegno di legge acquisiscano una profonda comprensione del significato del diritto alla privacy in un mondo digitale. Questa conoscenza consentirà loro di creare una legislazione più equilibrata e di proteggere a loro volta i diritti dei cittadini israeliani.

La legge afferma che uno dei suoi obiettivi principali è “far avanzare Israele come leader globale nel campo della sicurezza informatica”. Tuttavia, non dimentichiamo che in un piccolo paese come Israele, guidato dalla creatività, dall’indipendenza e dal pensiero fuori dal the-box, non saremmo leader globali nel cyber e nella tecnologia senza proteggere contemporaneamente i diritti umani fondamentali.

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *