La Federal Trade Commission (FTC) ha inviato una lunga serie di segnalazioni verso scuole, aziende ed istituzioni per segnalare come alcuni dati personali relativi ad utenza correlata all’ente indicato sarebbero comparsi sui canali P2P più noti e diffusi. Trattasi di una vera e propria vulnerabilità ai danni della privacy dei cittadini, qualcosa per il quale la responsabilità va presumibilmente identificata nel comportamento dei dipendenti nelle proprie postazioni di lavoro.
Secondo quanto notificato in queste ore sarebbero almeno 100 le segnalazioni inviate dalla FTC. I dati scoperti online fanno riferimento ad un non meglio precisato quantitativo di utenti i cui dati sarebbero sui canali P2P, ivi compresi dati finanziari, dati relativi alle condizioni di salute, oltre a numeri di patente di guida o altro ancora. Il problema, secondo la FTC, è identificabile nell’uso di software per il peer-to-peer sui luoghi di lavoro. E questo per due motivi. Innanzitutto il materiale scaricato potrebbe non essere sicuro, mettendo così a rischio l’integrità dei sistemi su cui si opera; in secondo luogo è molto semplice che, in fase di installazione del software, si ponga inavvertitamente in condivisione una qualche cartella che non andrebbe invece in alcun modo portata su BitTorrent o simili. Senza dolo e senza schemi criminali, la colpa può essere comunque identificata nella superficialità e nella mancanza di disciplina.
Dalla FTC parte tutta una serie di indicazioni volte a risolvere in qualche modo il problema: gli enti segnalati dovranno accuratamente controllare la sicurezza dei propri sistemi e l’uso non autorizzato di software P2P; gli utenti i cui dati sono stati trovati online andranno informati del problema, affinché possano eventualmente agire a tutela della propria sicurezza; i produttori di software P2P dovranno assicurarsi che nessun utente possa inavvertitamente condividere materiale che si intende invece mantenere protetto.
Bozza delle lettere inviate dalla FTC
Agli enti destinatari della lettera si ricorda inoltre come vi siano precise responsabilità a cui dover far fronte nella protezione dei dati archiviati. La tutela del database, la sicurezza dell’accesso ed il controllo delle eventuali vulnerabilità nelle proprie infrastrutture hardware/software sono qualcosa di cui ogni azienda o istituzione deve rispondere di fronte agli utenti che affidano i propri dati in custodia ed in gestione. La lettera, al tempo stesso, non implica necessariamente una violazione, ma invita comunque all’azione al fine di identificare il problema per risolvere quanto prima il tutto.
In un momento in cui è altissima la tensione nei confronti della Cina per quel che riguarda la fuga di dati personali e proprietà intellettuale a seguito dell’attacco registrato da Google ed altre aziende USA, gli Stati Uniti non possono certo accettare una vulnerabilità tanto marcata nella propria sicurezza interna. I dati riscontrati sui canali P2P sono pertanto una macchia che il Governo USA intende cancellare immediatamente e con effetto permanente, facendo in modo che ogni entità possa rendersi consapevole dell’importanza delle misure di sicurezza adottate. Allo scopo la FTC ha messo a disposizione tre documenti mirati:
- Peer-to-Peer File Sharing: A Guide For Business
- P2P File Sharing: Evaluate the Risks
- Protecting Personal Information: A Guide For Business
Curiosamente la Motion Picture Association of America (MPAA) non ha fatto cadere invano l’appello e ne ha invece subito cavalcata l’onda. Con apposita comunicazione ufficiale (pdf) l’ente rappresentate i maggiori produttori cinematografici USA ha ribadito l’importanza di porre fine alla piaga del P2P rimarcando come, oltre al danno per chi produce e distribuisce contenuti, emerge ora anche un vero e proprio problema di sicurezza nazionale. Appello strumentale, quindi, ma che coglie nel segno giungendo puntuale in coda all’allarme della FTC.