I piani del governo per l’identità digitale sono sotto esame a causa delle preoccupazioni sulla sicurezza dei dati personali all’interno del sistema proposto.
Sebbene l’identità digitale sarà disponibile per tutti i cittadini britannici e i residenti legali, il suo utilizzo sarà obbligatorio solo per l’impiego, secondo le proposte del governo.
Specifiche operative dettagliate sono ancora in arrivo, ma il Primo Ministro Sir Keir Starmer ha affermato che la sicurezza è “al suo centro”.
L’iniziativa si basa su due piattaforme sviluppate dal governo: Gov.uk One Login e Gov.uk Wallet.
One Login, un account unificato per accedere ai servizi pubblici online, haRegistrato oltre 12 milioni di iscrizioni, secondo i dati del governo.
Le proiezioni stimano che questo numero potrebbe raggiungere i 20 milioni entro il prossimo anno, poiché gli amministratori delle società dovranno verificare la propria identità tramite One Login a partire dal 18 novembre.
Gov.UK Wallet, non ancora lanciato, mira a consentire ai cittadini di archiviare informazioni sull’identità digitale—inclusi nome, data di nascita, nazionalità, status di residenza e una fotografia—sui propri smartphone.
L’accesso al wallet richiederà un Gov.UK One Login.
Il governo ha recentemente introdotto una carta d’identità digitale per i veterani militari come programma pilota.
Per mitigare i rischi per la sicurezza, il governo intende mantenere i dati personali accessibili tramite One Login all’interno dei singoli dipartimenti, evitando un database centralizzato.
Tuttavia, David Davis, un veterano attivista per le libertà civili e membro conservatore del Parlamento, ha espresso preoccupazioni su potenziali difetti di progettazione e implementazione in One Login, che potrebbero esporlo e lo schema di identità digitale a attacchi informatici.
Durante un dibattito a Westminster Hall all’inizio di questo mese, ha dichiarato: “Una volta che questo sistema sarà implementato, i dati dell’intera popolazione saranno vulnerabili ad attori dannosi—nazioni straniere, criminali di ransomware, hacker malevoli e persino avversari personali o politici.”
“Di conseguenza, questo sarà peggiore dello scandalo Horizon [Post Office].”
Davis ha richiesto al National Audit Office un’indagine “urgente” sui costi di One Login, che a suo avviso supereranno i 305 milioni di sterline stanziati.
Nella sua lettera, il membro del Parlamento ha fatto riferimento a un incidente del 2022 in cui One Login sarebbe stato sviluppato su workstation non protette in Romania da appaltatori privi della necessaria autorizzazione di sicurezza.
Davis ha anche notato che One Login non soddisfa i criteri del governo per un fornitore di identità sicuro e affidabile.
Il governo ha attribuito il mancato superamento della sua Digital Identity and Attributes Trust Framework all’inizio di quest’anno a un fornitore e ha affermato che il ripristino è imminente.
Separatamente, il portavoce per la tecnologia dei Liberal Democratici Lord Clement-Jones ha messo in dubbio la conformità di One Login agli standard del National Cyber Security Centre.
Il pari ha menzionato conversazioni con un informatore che afferma che il governo ha mancato la scadenza del 2025 fissata nella sua strategia nazionale di sicurezza informatica per proteggere i sistemi “critici” dagli attacchi informatici.
Mentre i ministri lo negano, Lord Clement-Jones ha affermato che un funzionario lo ha informato che One Login non supererà i test di sicurezza richiesti fino a marzo 2026.
L’informatore ha anche evidenziato un incidente di marzo in cui un “red team” che simulava un vero attacco informatico avrebbe ottenuto l’accesso privilegiato ai sistemi One Login.
Il Department for Science, Innovation and Technology (DSIT) ha citato motivi di sicurezza per non divulgare i dettagli dell’esercitazione del red team, ma ha confutato le affermazioni di una penetrazione non rilevata del sistema.
I funzionari del DSIT hanno anche assicurato a Lord Clement-Jones che i subappaltatori in Romania erano “una manciata di persone” senza accesso alla produzione e che “tutto il codice è stato controllato.”
Il dipartimento ha dichiarato che tutti i membri del team One Login utilizzano dispositivi “gestiti a livello aziendale” monitorati da un team di sicurezza per attività dannose.
Lord Clement-Jones ha detto alla BBC di essere rimasto poco convinto dalle rassicurazioni del dipartimento.
Ha sostenuto che la storia dei successivi governi nella gestione di One Login e altri sistemi “non dovrebbe darci alcuna fiducia che la nuova identità digitale obbligatoria, che si baserà su di essi, garantirà che i nostri dati personali siano al sicuro e soddisfino i più alti standard di sicurezza informatica.”
La scorsa settimana, il Primo Ministro Starmer ha delegato il controllo generale dello schema di identità digitale al Cabinet Office, guidato dal ministro senior Darren Jones, sottolineando la sua importanza per il governo.
Tuttavia, il Government Digital Service, parte del DSIT, continuerà a supervisionare la progettazione del progetto.
Un portavoce del DSIT ha dichiarato: “Gov.UK One Login continua a fornire servizi ai cittadini in tutto il Regno Unito.”
“One Login ora supporta oltre 100 servizi ed è stato utilizzato da oltre 12 milioni di persone, rappresentando quasi un sesto della popolazione del Regno Unito.”
“One Login aderisce ai più alti standard di sicurezza utilizzati in tutto il governo e nel settore privato ed è pienamente conforme alle leggi britanniche sulla protezione dei dati e sulla privacy.”
“Il sistema è sottoposto a regolari revisioni e test di sicurezza, anche da parte di terzi indipendenti, per garantire che la sicurezza rimanga forte e aggiornata.”
Un controllo gratuito sulla salute informatica mira a combattere il crimine informatico per le imprese a Jersey.
Migliaia di e-mail, alcune delle quali riservate, vengono rubate dal Medical Specialist Group.
Il gigante dell’outsourcing ha accettato la responsabilità, dopo che l’autorità di controllo dei dati ha affermato che non sono riusciti a proteggere i dati dei clienti.
Preparatevi a passare a sistemi offline in caso di attacco informatico, si consiglia alle aziende.
I principali attacchi di quest’anno sono l'”effetto cumulativo di una sorta di inazione sulla sicurezza informatica” da parte del governo e delle grandi imprese?