Negli Stati Uniti si è accesa una la polemica su quali siano le migliori strategie per proteggere i consumatori dalle vulnerabilità della sicurezza. A dicembre, Google aveva rivelato sul suo blog dell’iniziativa Project Zero una vulnerabilità di Windows 8.1 (qui la notizia) novanta giorni dopo averla scoperta, ma prima che Microsoft rilasciasse un fix. Ora la società di Redmond ha risposto ufficialmente a Google, sottolineando di avere richiesto di non divulgare queste informazioni prima del rilascio degli aggiornamenti. E parlando di sicurezza, va registrata la posizione del presidente degli Stati Uniti, Barack Obama, che secondo quanto riportato dal New York Times, si appresterebbe a chiedere una legge per costringere le aziende a comunicare ai consumatori eventuali violazioni che riguardano i dati personali entro 30 giorni dalla scoperta.
Le due notizie non sono ovviamente correlate, ma rivelano il livello di sensibilità statunitense su questi temi. La risposta di Microsoft a Google è particolarmente elaborata. “E’ venuto il momento che i ricercatori di sicurezza e le aziende di software lavorino insieme,” si legge in un post pubblicato ieri da Chris Betz, senior director del Microsoft Security Response Center (Msrc), “invece di dividersi su importanti strategie di protezione, come la divulgazione delle vulnerabilità e dei loro rimedi”. La strada giusta, secondo Betz, è quella della “divulgazione coordinata delle vulnerabilità”, che dovrebbe essere seguita da tutto il settore e da ogni singolo operatore. “C’è chi ritiene che la divulgazione pubblica e completa spinga i produttori di software a reagire più velocemente e i consumatori a proteggersi meglio”, scrive ancora Betz. “Noi non siamo d’accordo. Rilasciare informazioni decontestualizzate o dettare un percorso specifico per arrivare a una soluzione non fa altro che mettere ulteriore pressione su un ambiente tecnico già complicato”.
Chris Betz, senior director del Microsoft Security Response Center (Msrc)
Poi arriva l’attacco diretto alla società rivale. “Google ha reso pubbliche le informazioni riguardanti la vulnerabilità in un prodotto Microsoft due giorni prima che venisse rilasciato un fix nell’ambito della nostra ben conosciuta e coordinata cadenza del ‘Patch Tuesday’, e questo nonostante gli avessimo chiesto di non farlo. In particolare, avevamo chiesto a Google di collaborare con noi per proteggere i clienti, mantenendo riservata l’informazione fino a martedì 13 gennaio, giorno in cui è previsto il rilascio dell’aggiornamento”. E aggiunge Betz: “Quello che è giusto per Google non lo è sempre anche per i consumatori”. In realtà, Google ha reso nota la vulnerabilità non due giorni prima del 13 gennaio, ma a fine dicembre, segno che la polemica tra le due aziende è molto, molto accesa.
Venendo invece a come trattare i casi di furto dei dati personali su vasta scala, il presidente Obama si appresta a chiedere l’approvazione del “Personal Data Notification and Protection Act”, in base al quale le aziende saranno obbligate a informare i loro clienti di quanto accaduto. L’obiettivo è limitare i danni in casi clamorosi come quelli che lo scorso anno hanno riguardato aziende come Sony, Target o Home Depot. Oggi la materia è regolata da 48 leggi statali differenti, e quindi si sente l’esigenza di riportare tutto sotto un unico ombrello legislativo. I dettagli della nuova legge non sono ancora comunque stati resi noti e le maggiori associazioni di consumatori statunitensi prendono quindi tempo prima di esprimere un giudizio.