Rispettare quanto previsto dal Telecommunications Security Act (Tsa) oppure rischiare multe fino al 10% del fatturato o 100.000 sterline al giorno. Per gli operatori di banda larga mobili e fissi britannici gli obblighi di sicurezza informatica si fanno sempre più rigorosi: effetto dell’approvazione del Tsa, diventato legge nel novembre 2021, il quale ha definitivamente posto le basi per l’imposizione da parte del governo del Regno Unito di severe prescrizioni in materia.
Fino ad ora, gli operatori di telecomunicazioni sono stati ampiamente lasciati responsabili della propria sicurezza di rete, ma i risultati della Telecoms supply chain review del governo, pubblicata nel 2019, hanno affermato che “i fornitori spesso hanno pochi incentivi ad adottare le migliori pratiche di sicurezza”. Di conseguenza, il governo ha iniziato a sviluppare la Tsa, un quadro nazionale di politiche di sicurezza informatica.
“Sappiamo quanto possono essere dannosi gli attacchi informatici alle infrastrutture critiche e le nostre reti mobili e a banda larga sono fondamentali per il nostro stile di vita”, ha affermato il ministro delle Infrastrutture digitali Matt Warman. “Stiamo aumentando le protezioni per queste reti vitali introducendo uno dei regimi di sicurezza delle telecomunicazioni più rigidi al mondo che protegge le nostre comunicazioni dalle minacce attuali e future”.
Nuovi obblighi per operatori mobili e Isp
Le normative, sviluppate dal National cyber security center e Ofcom, obbligheranno gli operatori mobili e gli Isp a svolgere una serie di procedure: proteggere i dati elaborati dalle loro reti e servizi e proteggi le funzioni critiche che ne consentono il funzionamento e la gestione; proteggere software e apparecchiature che monitorano e analizzano le proprie reti e servizi; avere una profonda comprensione dei loro rischi per la sicurezza e la capacità di identificare quando si verificano attività anomale con rapporti regolari ai consigli interni; prendere in considerazione i rischi della catena di approvvigionamento e comprendere e controllare chi ha la capacità di accedere e apportare modifiche al funzionamento delle proprie reti e servizi per migliorare la sicurezza.
Attenuate alcune prescrizioni, ma l’attuazione resterà difficile
Il governo si è consultato sull’attuazione della Tsa da marzo 2022, con modifiche successive alle consultazioni. La maggior parte delle modifiche apportate sembra concentrarsi sull’attenuazione dell’impatto immediato della fattura per le società di telecomunicazioni, ad esempio concedendo agli operatori di livello 1 una tempistica più lunga per implementare alcune modifiche e non richiedendo più di fornire, senza alcun costo per i consumatori, apparecchiature sostitutive presso la sede del cliente che non ricevevano più supporto di terze parti.
Tuttavia, l’attuazione degli obblighi Tsa sarà sicuramente un grosso problema per gli operatori, data la complessità intrinseca delle moderne reti di telecomunicazioni e delle loro contorte catene di approvvigionamento. Le nuove regole entrano in vigore nel mese di ottobre, con i fornitori di servizi che hanno tempo fino a marzo 2024 per dimostrare il rispetto della prima fase degli obblighi.