— Di Ryan Polk, Direttore dell’Internet Policy presso la Internet Society
Mentre alcune reti degli Stati Uniti sono leader mondiali nella sicurezza del routing, alcuni operatori di rete negli Stati Uniti sono indietro rispetto al resto del mondo in questo ambito.
Le reti gestite dal governo federale degli Stati Uniti sono ancora più indietro. Nel 2024, due agenzie governative statunitensi – l’Office of the National Cyber Director e la Federal Communications Commission (FCC) – hanno tentato di migliorare la sicurezza del routing negli Stati Uniti.
I loro approcci diversi ci forniscono alcuni spunti su come i governi possano supportare la sicurezza del routing.
I governi hanno un ruolo importante nel promuovere l’uso delle best practices di sicurezza del routing, ma non devono minare la natura decentralizzata e libera del sistema di routing globale.
Quando si tratta di migliorare la sicurezza del routing, i governi dovrebbero:
- Dare il buon esempio e implementare le best practices sulle proprie reti,
- Usare il loro potere di spesa per influenzare il mercato,
- Rimuovere le barriere legali che rendono difficile implementare le best practices, e
- Collaborare con l’industria per migliorare la comunicazione e favorire l’adozione delle best practices.
Allo stesso tempo, i governi non dovrebbero adottare un approccio top-down, regolatorio.
Facendo così, rischiano di:
- Creare sfide regolatorie e legali che rallentano l’implementazione,
- Creare nuove barriere all’accesso per gli operatori di rete più piccoli o con meno risorse, e
- Generare requisiti legali e regolatori conflittuali che frammentano l’Internet globale.
La Resource Public Key Infrastructure (RPKI) è uno strumento importante che può migliorare la sicurezza del routing. Sforzi a livello industriale come le Mutually Agreed Norms for Routing Security (MANRS) hanno contribuito ad aumentare la diffusione globale di RPKI a quasi il 50% nel 2023. In quel periodo, meno dell’1% delle rotte annunciate dal governo federale degli Stati Uniti poteva essere verificato utilizzando RPKI.
Nell’ottobre 2024, l’Office of the National Cyber Director (ONCD) degli Stati Uniti ha pubblicato una roadmap per migliorare la sicurezza del routing nel Paese. Nel corso di circa un anno, l’ONCD ha sviluppato la “Roadmap” con input dall’industria, dalla società civile e da altri esperti. La roadmap adotta un approccio efficace per migliorare la sicurezza del routing negli Stati Uniti e raccomanda che il governo prenda azioni significative in tal senso, evitando però un approccio regolatorio dall’alto verso il basso.
Due importanti raccomandazioni nella Roadmap per il governo federale sono:
- Utilizzare le best practices di sicurezza del routing sulle proprie reti. Per rendere ciò possibile, l’ONCD e altre entità governative hanno lavorato per affrontare una specifica barriera legale che rendeva difficile l’uso di RPKI per le reti governative. Diverse agenzie governative hanno già implementato RPKI grazie a questo cambiamento. Le rotte annunciate dalle reti federali che utilizzano RPKI sono raddoppiate rispetto all’anno precedente.
- Rendere la sicurezza del routing un requisito per fornire servizi al governo e per ricevere sovvenzioni federali. Utilizzando il potere d’acquisto del governo degli Stati Uniti, è possibile influenzare il settore privato. Apportando modifiche ai requisiti di acquisto governativi, il governo federale può aiutare a orientare il mercato verso una migliore sicurezza del routing. Molti operatori di rete cercano di fornire servizi al governo federale, e i requisiti di procurement sono un forte incentivo ad adottare le best practices.
Con il piano di implementazione pubblicato, l’ONCD si sta muovendo rapidamente per trasformare le raccomandazioni in realtà. La risposta ricevuta da altri stakeholder negli Stati Uniti è stata generalmente positiva.
Mentre l’ONCD sviluppava la sua roadmap, la Federal Communications Commission (FCC) ha avviato il proprio processo normativo sulla sicurezza del routing. Inizialmente, ci sono state notevoli preoccupazioni che le regole che la FCC avrebbe sviluppato sarebbero state di natura più regolatoria e di tipo top-down. Dall’annuncio, la FCC ha condotto un processo formale di regolamentazione, raccogliendo input da altri stakeholder. La maggior parte dei feedback mette in guardia contro azioni regolatorie eccessivamente prescrittive sulla sicurezza del routing.
Finora, la FCC sembra ascoltare queste preoccupazioni. Il testo dei documenti nelle fasi successive del processo regolatorio è meno problematico di quanto inizialmente temuto. Non è chiaro quando la FCC completerà il lavoro su nuove regole, ma l’Internet Society spera che eviterà qualsiasi regolamentazione dall’alto verso il basso.
