Il governo tedesco ha proposto una riforma significativa della sua legge sull'intelligence, che include disposizioni che richiedono all'Ufficio federale per la sicurezza delle informazioni (BSI) di condividere informazioni sulle vulnerabilità note di zero-day con l'agenzia di intelligence straniera, il Servizio federale di intelligence (BND).
Secondo il progetto di legge, le autorità pubbliche sarebbero autorizzate a fornire al BND informazioni, compresi i dati personali, non appena vi sia un'indicazione concreta che tali dati potrebbero essere rilevanti per le operazioni di intelligence estera. Il BSI, che è legalmente incaricato di agire come autorità centrale per la sicurezza delle informazioni a livello nazionale, sarebbe espressamente tenuto a cooperare con il BND. Questa mossa rappresenta un cambiamento fondamentale nell'approccio della Germania alla politica di sicurezza digitale, passando da un modello basato sulla fiducia reciproca a uno caratterizzato da un crescente sospetto e da un intervento proattivo.
Il progetto di legge delinea una trasformazione completa dell'architettura della sicurezza digitale della Germania, sottolineando misure attive per affrontare le minacce nel cyberspazio. Consente alle agenzie di intelligence di operare più liberamente in aree precedentemente considerate protette ai sensi dei diritti costituzionali. Inoltre, il disegno di legge suggerisce che le terze parti possono essere sempre più coinvolte nelle azioni investigative digitali svolte dallo stato. L'inclusione di un obbligo di cooperazione tra BSI e BND si allinea perfettamente con questo nuovo quadro, sollevando preoccupazioni sul potenziale abuso delle vulnerabilità delle infrastrutture critiche.
Le modifiche proposte mirano a utilizzare il periodo tra la scoperta di una vulnerabilità, la notifica ai fornitori di software e l'eventuale correzione della falla per scopi di intelligence. Questo lasso di tempo, attualmente destinato alla rapida risoluzione dei problemi di sicurezza, sarebbe invece utilizzato per sfruttare queste debolezze per un vantaggio strategico. Il progetto si riferisce a questa pratica come "valore aggiunto" alla situazione, evidenziando la tensione tra la mitigazione delle minacce immediate e gli interessi strategici a lungo termine. I critici avvertono che questo cambiamento potrebbe avere gravi conseguenze per la postura complessiva della sicurezza digitale della Germania.
Se il BSI viene percepito come una priorità per le operazioni di intelligence rispetto alla rapida correzione delle vulnerabilità, potrebbe scoraggiare le organizzazioni e i ricercatori dal segnalare le vulnerabilità appena scoperte. Ciò potrebbe portare ad un aumento delle vulnerabilità non corrette all'interno delle infrastrutture critiche, specialmente in un momento in cui le tensioni geopolitiche e le minacce ibride sono in aumento. La perdita di fiducia tra il BSI e la comunità della sicurezza IT potrebbe comportare una riduzione della collaborazione, indebolendo infine le difese del paese contro gli attacchi informatici. Il progetto introduce anche ampie modifiche legali senza prove chiare dei corrispondenti benefici per la sicurezza.
Mentre il ministero cita l'aumento delle minacce come giustificazione per l'espansione dei poteri di sorveglianza, gli oppositori sostengono che tali misure rischiano di erodere ulteriormente le libertà digitali.
Ad esempio, se un servizio di intelligence scopre malware all'interno dell'infrastruttura di un utente malintenzionato prima che le forze dell'ordine possano rispondere, gli sarebbe consentito di adottare contromisure immediate piuttosto che attendere i processi legali tradizionali.
Le entità pubbliche sarebbero tenute a trasmettere informazioni relative alla sicurezza al BND nelle fasi iniziali di un attacco, a volte anche automaticamente. La logica alla base di questo è che il BND, a causa delle sue attività di monitoraggio delle comunicazioni strategiche, può meglio contestualizzare gli incidenti isolati all'interno di un quadro globale più ampio, consentendo un rilevamento anticipato delle minacce. La gestione delle vulnerabilità IT è particolarmente controversa. Il progetto stabilisce che il BSI deve immediatamente e preferibilmente trasmettere automaticamente alla BND le conoscenze sul funzionamento tecnico delle falle di sicurezza scoperte.
Per quanto riguarda gli exploit zero-day - vulnerabilità senza patch disponibili - l'BMI sostiene che questo lasso di tempo può essere utilizzato per il lavoro cruciale da parte della BND. I ritardi nella risoluzione di questi problemi ridurrebbero significativamente la loro applicabilità. Ciò metterebbe la BSI in una posizione difficile, in quanto sarebbe necessario dare la priorità alle operazioni di intelligence sulla rapida chiusura delle lacune di sicurezza, contrariamente all'intento originale del governo di coalizione. Finanziariamente, l'iniziativa segna una notevole espansione delle capacità informatiche, indicando un impegno a migliorare la portata operativa della BND.
Tuttavia, la portata dei meccanismi di sorveglianza rimane limitata, con le responsabilità di controllo consolidate sotto il Consiglio di controllo indipendente (UKRat), che potrebbe esercitare una sorveglianza preliminare simile a quella di un tribunale, ma con un ambito di applicazione limitato.
2 servizi
heise onlineIndipendenteProgressista3 gg fa Commento: il BSI non può diventare il fornitore zero-day del BNDL'articolo discute di una proposta di riforma della legge sui servizi di intelligence della Germania, specificamente rivolta all'Ufficio federale per la sicurezza delle informazioni (BSI). Il progetto di legge, pubblicato dal Ministero federale degli Interni (BMI), richiederebbe al BSI di segnalare le vulnerabilità di giorno zero conosciute al Servizio federale di intelligence (BND) prima che sia disponibile qualsiasi patch. Questa mossa è criticata come minaccia la fiducia tra lo stato e la comunità della sicurezza informatica e contraddice la missione principale del BSI di proteggere la sicurezza delle informazioni. L'autore sostiene che questo cambiamento rappresenta un cambiamento fondamentale nell'approccio della Germania alla sicurezza nazionale digitale, spostandosi verso una maggiore sorveglianza e riducendo le protezioni della privacy.
Lettura del bias (Progressista): L'articolo descrive i cambiamenti proposti come una pericolosa espansione del potere statale e una minaccia alle libertà civili, usando un linguaggio forte come "preisgeben" (tradimento) e "ad absurdum" (all'assurdo).
heise onlineIndipendenteCentro4 gg fa Zero-days: il BND e la guardia della Costituzione diventeranno 'super-servizi segreti'Il Ministero federale degli Interni tedesco (BMI) ha proposto una riforma importante delle leggi tedesche sull'intelligence, con l'obiettivo di ristrutturare i poteri legali dell'Ufficio federale per la protezione della Costituzione (BfV) e del Servizio federale di intelligence (BND), nonché le loro interrelazioni. La riforma, delineata in un progetto di 648 pagine, garantirebbe ad entrambe le agenzie capacità di hacking estese nel cyberspazio, consentendo loro di agire in modo indipendente nelle operazioni informatiche. Ciò include l'abilitazione degli agenti a intervenire durante gli attacchi informatici in corso in determinate condizioni, come quando altre autorità come la polizia non possono rispondere abbastanza rapidamente. I critici sostengono che questo rappresenti un passaggio verso poteri di sorveglianza più estesi, giustificati da affermazioni di minacce alla sicurezza aumentate, sollevando al contempo preoccupazioni per la potenziale erosione delle libertà digitali. Inoltre, la riforma cerca di ridefinire il rapporto tra l'Ufficio federale per la sicurezza dell'informazione (BSI) e il BND, richiedendo al BSI di condividere informazioni pertinenti sulla sicurezza con il BND nelle fasi precedenti degli attacchi, comprese le vulnerabilità zero-day.
Lettura del bias (Centro): L'articolo presenta le riforme proposte in modo neutrale, delineando sia la giustificazione del governo per l'espansione delle capacità informatiche che le critiche riguardanti l'aumento della sorveglianza e dei rischi per i diritti digitali.
★
Manteniamo le notizie oneste.
ObjectiveNews è finanziato dai lettori e senza pubblicità: ti mostriamo il bias invece di nasconderlo. Sostieni il giornalismo indipendente per 5 €/mese.
Diventa sostenitore