Chris Anderson: We had Edward Snowden here a couple days ago, and this is response time. And several of you have written to me with questions to ask our guest here from the NSA. So Richard Ledgett is the 15th deputy director of the National Security Agency, and he's a senior civilian officer there, acts as its chief operating officer, guiding strategies, setting internal policies, and serving as the principal advisor to the director. And all being well, welcome, Rick Ledgett, to TED. (Applause)
Chris Anderson: Abbiamo avuto qui Edward Snowden un paio di giorni fa, e ora è il momento della replica. Molti di voi mi hanno scritto domande da fare al nostro ospite della NSA. Quindi Richard Ledgett è il 15° vice-direttore della National Security Agency, ed è un impiegato civile esperto, agisce come direttore operativo, definisce le strategie, le politiche interne, e serve da principale consulente del direttore. Se tutto va bene, Rick Ledgett, benvenuto a TED. (Applausi)
Richard Ledgett: I'm really thankful for the opportunity to talk to folks here. I look forward to the conversation, so thanks for arranging for that.
Richard Ledgett: Sono molto grato dell'opportunità di parlare a voi ragazzi. Non vedo l'ora di fare una chiacchierata, quindi grazie di avere organizzato tutto.
CA: Thank you, Rick. We appreciate you joining us. It's certainly quite a strong statement that the NSA is willing to reach out and show a more open face here. You saw, I think, the talk and interview that Edward Snowden gave here a couple days ago. What did you make of it? RL: So I think it was interesting. We didn't realize that he was going to show up there, so kudos to you guys for arranging a nice surprise like that. I think that, like a lot of the things that have come out since Mr. Snowden started disclosing classified information, there were some kernels of truth in there, but a lot of extrapolations and half-truths in there, and I'm interested in helping to address those. I think this is a really important conversation that we're having in the United States and internationally, and I think it is important and of import, and so given that, we need to have that be a fact-based conversation, and we want to help make that happen.
CA: Grazie, Rick. Siamo felici della tua presenza. È certamente una dichiarazione forte la disponibilità della NSA a aprire un dialogo e mostrarsi più aperta. Ha visto, credo, l'intervento e l'intervista che Edward Snowden ha fatto un paio di giorni fa. Cosa ne ha fatto? RL: Credo che fosse interessante. Non ci siamo resi conto che sarebbe apparso lì, quindi complimenti per aver organizzato questa bella sorpresa. Credo che, come molte cose, che sono state pubblicate da quando il Sig. Snowden ha cominciato a rivelare informazioni riservate, c'è stato un briciolo di verità, ma anche molte estrapolazioni e mezze verità, e mi interessa aiutare a sistemarle. Credo che questa sia una conversazione molto importante quella che avviene negli Stati Uniti e a livello internazionale, e credo che sia importante quindi è necessario che sia una conversazione basata sui fatti, e vogliamo aiutare in questo senso.
CA: So the question that a lot of people have here is, what do you make of Snowden's motivations for doing what he did, and did he have an alternative way that he could have gone?
CA: La domanda che molti fanno qui: cosa avete fatto per spingere Snowden a fare ciò che ha fatto, e aveva un'alternativa?
RL: He absolutely did have alternative ways that he could have gone, and I actually think that characterizing him as a whistleblower actually hurts legitimate whistleblowing activities. So what if somebody who works in the NSA -- and there are over 35,000 people who do. They're all great citizens. They're just like your husbands, fathers, sisters, brothers, neighbors, nephews, friends and relatives, all of whom are interested in doing the right thing for their country and for our allies internationally, and so there are a variety of venues to address if folks have a concern. First off, there's their supervisor, and up through the supervisory chain within their organization. If folks aren't comfortable with that, there are a number of inspectors general. In the case of Mr. Snowden, he had the option of the NSA inspector general, the Navy inspector general, the Pacific Command inspector general, the Department of Defense inspector general, and the intelligence community inspector general, any of whom would have both kept his concerns in classified channels and been happy to address them. (CA and RL speaking at once) He had the option to go to congressional committees, and there are mechanisms to do that that are in place, and so he didn't do any of those things.
RL: Assolutamente sì, aveva alternative da considerare, e credo che definirlo una talpa ferisce le legittime attività delle talpe. Se qualcuno che lavora alla NSA -- e sono 35 000 persone. Sono tutti grandi cittadini. Sono come i nostri mariti, padri, sorelle, fratelli, vicini, nipoti, amici e parenti, tutti interessati a fare la cosa giusta per il loro paese e per i nostri alleati internazionali, ci sono quindi diverse alternative a cui rivolgersi se la gente ha preoccupazioni. Primo, c'è il supervisore, e tutta la scala gerarchica interna all'organizzazione. Se la gente si sente a disagio, c'è una serie di ispettori generali. In questo caso, il Sig. Snowden aveva l'opzione dell'ispettore generale della NSA, l'ispettore generale della Marina, l'ispettore generale del Pacific Command, l'ispettore generale del Dipartimento della Difesa, e l'ispettore generale della comunità di intelligence, chiunque di loro avrebbe mantenuto le sue preoccupazioni su canali riservati e sarebbe stato felice di risolverli. (CA e RL parlano insieme) Aveva l'opzione di andare da comitati del congresso, e sono previsti meccanismi per fare questo, e non ha fatto nessuna di queste cose.
CA: Now, you had said that Ed Snowden had other avenues for raising his concerns. The comeback on that is a couple of things: one, that he certainly believes that as a contractor, the avenues that would have been available to him as an employee weren't available, two, there's a track record of other whistleblowers, like [Thomas Andrews Drake] being treated pretty harshly, by some views, and thirdly, what he was taking on was not one specific flaw that he'd discovered, but programs that had been approved by all three branches of government. I mean, in that circumstance, couldn't you argue that what he did was reasonable?
CA: Dice che Ed Snowden aveva altre strade per sollevare le sue preoccupazioni. La replica a questo sono un paio di cose: primo, certamente lui crede che in quanto contraente, le strade disponibili non lo erano per lui in quanto impiegato, secondo, ci sono prove dell'esistenza di altre talpe, come Andrew Drake a cui è stato riservato un trattamento piuttosto rigido, secondo alcuni, e terzo, quello che lui stava portando alla luce non era uno specifico difetto che aveva scoperto, ma programmi che erano stati approvati da tutte e tre i rami del governo. Voglio dire, in quella circostanza, non sarebbe d'accordo che quello che ha fatto è stato ragionevole?
RL: No, I don't agree with that. I think that the — sorry, I'm getting feedback through the microphone there — the actions that he took were inappropriate because of the fact that he put people's lives at risk, basically, in the long run, and I know there's been a lot of talk in public by Mr. Snowden and some of the journalists that say that the things that have been disclosed have not put national security and people at risk, and that is categorically not true. They actually do. I think there's also an amazing arrogance to the idea that he knows better than the framers of the Constitution in how the government should be designed and work for separation of powers and the fact that the executive and the legislative branch have to work together and they have checks and balances on each other, and then the judicial branch, which oversees the entire process. I think that's extremely arrogant on his part.
RL: No, non sono d'accordo. Credo che -- mi dispiace, sento un'eco attraverso il microfono -- le azioni che ha intrapreso erano inappropriate per il fatto che alla lunga, in sostanza, a messo a rischio la vita delle persone e so che si è parlato molto in pubblico con il Sig. Snowden e alcuni giornalisti che dicono che le cose che sono state rivelate non hanno messo a rischio la sicurezza nazionale e le persone, e questo non è assolutamente vero. La mettono a rischio. Credo che ci sia anche una straordinaria arroganza nell'idea che lui sappia di più di chi ha formulato la costituzione su come dovrebbe essere progettato e funzionare il governo per la separazione dei poteri e il fatto che il ramo esecutivo e legislativo devono lavorare insieme con controlli e bilanci reciproci, e poi il ramo giudiziario, che sovrintende l'intero processo. Credo che sia estremamente arrogante da parte sua.
CA: Can you give a specific example of how he put people's lives at risk?
CA: Mi può dare un esempio specifico di come mette in pericolo la vita della gente?
RL: Yeah, sure. So the things that he's disclosed, the capabilities, and the NSA is a capabilities-based organization, so when we have foreign intelligence targets, legitimate things of interest -- like, terrorists is the iconic example, but it includes things like human traffickers, drug traffickers, people who are trying to build advanced weaponry, nuclear weapons, and build delivery systems for those, and nation-states who might be executing aggression against their immediate neighbors, which you may have some visibility into some of that that's going on right now, the capabilities are applied in very discrete and measured and controlled ways. So the unconstrained disclosure of those capabilities means that as adversaries see them and recognize, "Hey, I might be vulnerable to this," they move away from that, and we have seen targets in terrorism, in the nation-state area, in smugglers of various types, and other folks who have, because of the disclosures, moved away from our ability to have insight into what they're doing. The net effect of that is that our people who are overseas in dangerous places, whether they're diplomats or military, and our allies who are in similar situations, are at greater risk because we don't see the threats that are coming their way.
RL: Certo. Le cose che ha rivelato, le capacità, e la NSA è un'organizzazione basata sulle capacità, quindi abbiamo obiettivi di intelligence stranieri, interessi legittimi -- i terroristi sono un esempio tipico, ma include cose come il traffico di esseri umani, i trafficanti di droga, gente che cerca di costruire armi avanzate, armi nucleari, e ne costruisce sistemi di consegna, una nazione che potrebbe portare avanti aggressioni contro stati confinanti, su cui si potrebbe avere una certa visibilità e alcune di queste cose si stanno verificando, vengono applicate competenze in modi molto discreti, misurati e controllati. Quindi la rivelazione senza restrizioni di queste capacità significa che non appena gli avversari lo vedono e lo riconoscono, "Hey, potrei essere vulnerabile a questo," se ne allontanano, e abbiamo visto obiettivi terroristici, in stati nazioni, in trafficanti di vario tipo, e altra gente che, grazie alle rivelazioni, si sono allontanati dalle nostre capacità di raccogliere indizi su quello che stanno facendo. L'effetto netto è che la nostra gente all'estero in posti pericolosi, che siano diplomatici o militari, e i nostri alleati in situazioni simili, sono più a rischio perché non vediamo le minacce arrivare.
CA: So that's a general response saying that because of his revelations, access that you had to certain types of information has been shut down, has been closed down. But the concern is that the nature of that access was not necessarily legitimate in the first place. I mean, describe to us this Bullrun program where it's alleged that the NSA specifically weakened security in order to get the type of access that you've spoken of.
CA: Questa è una risposta generale che ci dice che a causa delle rivelazioni, l'accesso che avevate a certi tipi di informazioni è stato chiuso. Ma il problema è che la natura di quell'accesso non era necessariamente legittimo fin dall'inizio. Voglio dire, ci descriva il programma Bullrun in cui si sostiene che la NSA abbia indebolito volontariamente la sicurezza per avere quel tipo di accesso di cui ci ha parlato.
RL: So there are, when our legitimate foreign intelligence targets of the type that I described before, use the global telecommunications system as their communications methodology, and they do, because it's a great system, it's the most complex system ever devised by man, and it is a wonder, and lots of folks in the room there are responsible for the creation and enhancement of that, and it's just a wonderful thing. But it's also used by people who are working against us and our allies. And so if I'm going to pursue them, I need to have the capability to go after them, and again, the controls are in how I apply that capability, not that I have the capability itself. Otherwise, if we could make it so that all the bad guys used one corner of the Internet, we could have a domain, badguy.com. That would be awesome, and we could just concentrate all our efforts there. That's not how it works. They're trying to hide from the government's ability to isolate and interdict their actions, and so we have to swim in that same space. But I will tell you this. So NSA has two missions. One is the Signals Intelligence mission that we've unfortunately read so much about in the press. The other one is the Information Assurance mission, which is to protect the national security systems of the United States, and by that, that's things like the communications that the president uses, the communications that control our nuclear weapons, the communications that our military uses around the world, and the communications that we use with our allies, and that some of our allies themselves use. And so we make recommendations on standards to use, and we use those same standards, and so we are invested in making sure that those communications are secure for their intended purposes.
RL: Quando gli obiettivi del tipo che dicevo prima della nostra intelligence legittima, usa il sistema di telecomunicazione globale come metodo di comunicazione, e lo fanno, perché è un sistema fantastico, è il sistema più complesso mai concepito dall'uomo, ed è una meraviglia, e molta gente in questa sala è responsabile della creazione e del suo miglioramento, ed è una cosa meravigliosa. Ma viene anche usato da persone che lavorano contro di noi e i nostri alleati. Quindi se devo perseguirli, devo avere la capacità di inseguirli, e di nuovo, il controllo sta nell'applicare quelle capacità, non l'avere le capacità stesse. Altrimenti, se potessimo fare in modo che tutti i cattivi usassero un solo angolo di Internet, potremmo avere un dominio, cattivi.com. Sarebbe meraviglioso, e potremmo concentrare tutti i nostri sforzi lì. Non funziona così. Stanno cercando di nascondersi dalla capacità del governo di isolare e impedire le loro azioni, quindi dobbiamo muoverci in quello stesso spazio. Ma vi dirò una cosa. La NSA ha due missioni: una è la missione Signals Intelligence di cui abbiamo sfortunatamente sentito parlare molto nella stampa, l'altra è la missione Information Assurance, che protegge i sistema di sicurezza nazionale degli Stati Uniti. Sono cose come le comunicazioni che usa il presidente, le comunicazioni che controllano le nostre armi nucleari, le comunicazioni che i nostri militari usano nel mondo, e le comunicazioni che usiamo con i nostri alleati, e che alcuni dei nostri alleati usano a loro volta. Facciamo raccomandazioni sugli standard da usare, e usiamo quegli stessi standard, quindi puntiamo ad assicurarci che quelle comunicazioni siano sicure per gli scopi voluti.
CA: But it sounds like what you're saying is that when it comes to the Internet at large, any strategy is fair game if it improves America's safety. And I think this is partly where there is such a divide of opinion, that there's a lot of people in this room and around the world who think very differently about the Internet. They think of it as a momentous invention of humanity, kind of on a par with the Gutenberg press, for example. It's the bringer of knowledge to all. It's the connector of all. And it's viewed in those sort of idealistic terms. And from that lens, what the NSA has done is equivalent to the authorities back in Germany inserting some device into every printing press that would reveal which books people bought and what they read. Can you understand that from that viewpoint, it feels outrageous?
CA: Ma sembra che quello che dice è che quando si tratta di Internet in generale, qualunque strategia è valida se migliora la sicurezza degli Americani. E credo che stia in parte qui la differenza di opinioni, ci sono un sacco di persone in questa sala e nel mondo che la pensano in modo diverso su Internet. Credono che sia un'importantissima invenzione dell'umanità, alla pari con la stampa di Gutenberg per esempio. È portatore di conoscenza per tutti. Ci collega tutti. E viene visto in questo modo idealistico. Da quella prospettiva quello che la NSA ha fatto equivale alle autorità tedesche che inseriscono apparecchi nella carta stampata che rivela che libri ha comprato la gente e cosa ha letto. Lo capisce da questo punto di vista, sembra vergognoso?
RL: I do understand that, and I actually share the view of the utility of the Internet, and I would argue it's bigger than the Internet. It is a global telecommunications system. The Internet is a big chunk of that, but there is a lot more. And I think that people have legitimate concerns about the balance between transparency and secrecy. That's sort of been couched as a balance between privacy and national security. I don't think that's the right framing. I think it really is transparency and secrecy. And so that's the national and international conversation that we're having, and we want to participate in that, and want people to participate in it in an informed way. So there are things, let me talk there a little bit more, there are things that we need to be transparent about: our authorities, our processes, our oversight, who we are. We, NSA, have not done a good job of that, and I think that's part of the reason that this has been so revelational and so sensational in the media. Nobody knew who we were. We were the No Such Agency, the Never Say Anything. There's takeoffs of our logo of an eagle with headphones on around it. And so that's the public characterization. And so we need to be more transparent about those things. What we don't need to be transparent about, because it's bad for the U.S., it's bad for all those other countries that we work with and that we help provide information that helps them secure themselves and their people, it's bad to expose operations and capabilities in a way that allows the people that we're all working against, the generally recognized bad guys, to counter those.
RL: Lo capisco, e condivido la visione dell'utilità di Internet, e credo che vada oltre Internet. È un sistema di comunicazione globale. Internet è una grossa fetta, ma c'è molto di più. E credo che le preoccupazioni della gente sull'equilibrio tra trasparenza e segretezza siano legittime. È stato espresso come equilibrio tra privacy e sicurezza nazionale. Non credo che sia la cornice giusta. Credo che sia veramente trasparenza e segretezza. Questa è la conversazione nazionale e internazionale in corso, e vogliamo partecipare, vogliamo che la gente partecipi in maniera informata. Ci sono cose, approfondisco un po', ci sono cose su cui dobbiamo essere trasparenti: le nostre autorità, i nostri processi, la nostra supervisione, chi siamo. Noi, la NSA, non abbiamo fatto un buon lavoro in questo senso, e credo che il motivo stia in parte nelle tante rivelazioni e nel sensazionalismo dei media. Nessuno sa chi siamo. Eravamo la No Such Agency, la Never Say Anything. Ci sono parodie del nostro logo di un'aquila con gli auricolari. Questa è la descrizione pubblica. Dobbiamo essere più trasparenti su queste cose. Quello su cui non dobbiamo essere trasparenti, perché non va bene per gli Stati Uniti, non va bene per tutti gli altri paesi con cui lavoriamo e che aiutiamo a reperire informazioni che li aiuta a proteggere se stessi e la loro gente, non va bene esibire operazioni e capacità in modo da permettere alle persone che contrastiamo quelle che generalmente consideriamo cattive, di contrastarle.
CA: But isn't it also bad to deal a kind of body blow to the American companies that have essentially given the world most of the Internet services that matter? RL: It is. It's really the companies are in a tough position, as are we, because the companies, we compel them to provide information, just like every other nation in the world does. Every industrialized nation in the world has a lawful intercept program where they are requiring companies to provide them with information that they need for their security, and the companies that are involved have complied with those programs in the same way that they have to do when they're operating in Russia or the U.K. or China or India or France, any country that you choose to name. And so the fact that these revelations have been broadly characterized as "you can't trust company A because your privacy is suspect with them" is actually only accurate in the sense that it's accurate with every other company in the world that deals with any of those countries in the world. And so it's being picked up by people as a marketing advantage, and it's being marketed that way by several countries, including some of our allied countries, where they are saying, "Hey, you can't trust the U.S., but you can trust our telecom company, because we're safe." And they're actually using that to counter the very large technological edge that U.S. companies have in areas like the cloud and Internet-based technologies.
CA: Ma non è anche un brutto colpo per le imprese americane che hanno dato al mondo la maggior parte dei servizi Internet che contano? RL: Lo è. Le aziende sono in una posizione difficile, come noi, perché le aziende, le obblighiamo a fornire informazioni, così come fanno tutte le altre nazioni del mondo. Qualunque nazione industrializzata nel mondo ha un programma di intercettazioni legale in cui viene richiesto alle aziende di fornire informazioni necessarie alla sicurezza, e le aziende coinvolte si sono adattate a questi programmi allo stesso modo di quando operano con la Russia e con il Regno Unito, o la Cina, l'India o la Francia, qualunque paese scegliate. Il fatto che queste rivelazioni siano state ampiamente caratterizzate come "non puoi fidarti dell'azienda A perché la tua privacy è sospetta con loro" è di fatto accurata solo nel senso che vale per qualunque altra azienda del mondo che ha a che fare con uno qualunque di questi paesi. Quindi viene scelta come vantaggio competitivo, e viene venduta in questo modo da diversi paesi, compresi alcuni dei nostri alleati, in cui dicono, "Ehi, non puoi fidarti degli Stati Uniti, ma puoi fidarti della tua società di telecomunicazioni, perché siamo sicuri." E usano questo per contrastare il limite tecnologico molto ampio che le aziende americane hanno in aree come il cloud e le tecnologie basate su Internet.
CA: You're sitting there with the American flag, and the American Constitution guarantees freedom from unreasonable search and seizure. How do you characterize the American citizen's right to privacy? Is there such a right?
CA: Lei è lì seduto con la bandiera americana, e la Costituzione Americana garantisce libertà da perquisizioni e sequestri irragionevoli. Come descriverebbe il diritto dei cittadini americani alla privacy? Esiste un tale diritto?
RL: Yeah, of course there is. And we devote an inordinate amount of time and pressure, inordinate and appropriate, actually I should say, amount of time and effort in order to ensure that we protect that privacy. and beyond that, the privacy of citizens around the world, it's not just Americans. Several things come into play here. First, we're all in the same network. My communications, I'm a user of a particular Internet email service that is the number one email service of choice by terrorists around the world, number one. So I'm there right beside them in email space in the Internet. And so we need to be able to pick that apart and find the information that's relevant. In doing so, we're going to necessarily encounter Americans and innocent foreign citizens who are just going about their business, and so we have procedures in place that shreds that out, that says, when you find that, not if you find it, when you find it, because you're certain to find it, here's how you protect that. These are called minimization procedures. They're approved by the attorney general and constitutionally based. And so we protect those. And then, for people, citizens of the world who are going about their lawful business on a day-to-day basis, the president on his January 17 speech, laid out some additional protections that we are providing to them. So I think absolutely, folks do have a right to privacy, and that we work very hard to make sure that that right to privacy is protected.
RL: Certo che esiste. Dedichiamo un'enorme quantità di tempo e pressione, enorme e appropriata dovrei dire, quantità di tempo per assicurare la protezione di quella privacy. E oltre a questo, la privacy dei cittadini di tutto il mondo, non solo quella degli Americani. Diverse cose entrano in gioco. Primo, siamo tutti sulla stessa rete. Le mie comunicazioni, sono utente di un particolare servizio di email che rappresenta il principale servizio di email scelto da terroristi di tutto il mondo, il numero uno. Quindi sono lì dietro di loro nello spazio email su Internet. Quindi dobbiamo essere in grado di distinguerli e trovare le informazioni rilevanti. Nel fare questo, ci imbatteremo necessariamente in Americani e cittadini stranieri innocenti che si stanno facendo i fatti loro, e quindi abbiamo procedure che li scartano, ossia, quando si trovano, non se si trovano, quando si trovano, perché certamente si trovano, in questo modo li proteggiamo. Vengono denominate procedure di minimizzazione. Sono approvate dal procuratore generale e definite a livello costituzionale. E quindi questi li proteggiamo. E poi, per le persone, i cittadini del mondo che si fanno cose del tutto legali quotidianamente, il presidente, nel suo discorso del 17 gennaio, ha disposto protezioni aggiuntive che stiamo fornendo. Credo quindi che la gente abbia assolutamente bisogno di privacy, e che lavoriamo duro per assicurarci che quel diritto venga protetto.
CA: What about foreigners using American companies' Internet services? Do they have any privacy rights?
CA: E per quanto riguarda gli stranieri che usano servizi Internet di aziende americane? Hanno diritto alla privacy?
RL: They do. They do, in the sense of, the only way that we are able to compel one of those companies to provide us information is when it falls into one of three categories: We can identify that this particular person, identified by a selector of some kind, is associated with counterterrorist or proliferation or other foreign intelligence target.
RL: Ce l'hanno. Ce l'hanno del senso che l'unico modo che abbiamo per costringere una di queste aziende a fornirci informazioni è quando si ricade in una di tre categorie: se possiamo identificare quella particolare persona, identificata da un selezionatore di qualche tipo, come associata all'antiterrorismo o alla proliferazione o altri obiettivi di intelligence straniera.
CA: Much has been made of the fact that a lot of the information that you've obtained through these programs is essentially metadata. It's not necessarily the actual words that someone has written in an email or given on a phone call. It's who they wrote to and when, and so forth. But it's been argued, and someone here in the audience has talked to a former NSA analyst who said metadata is actually much more invasive than the core data, because in the core data you present yourself as you want to be presented. With metadata, who knows what the conclusions are that are drawn? Is there anything to that?
CA: Si è discusso molto del fatto che molte informazioni che avete ottenuto attraverso questi programmi sono sostanzialmente metadati. Non sono necessariamente le vere parole che qualcuno ha scritto in una mail o pronunciato al telefono. Parliamo della persona a chi hanno scritto e quando, e così via. Ma si è discusso, e qualcuno qui tra il pubblico ha parlato a un ex-analista della NSA che ha detto che i metadati sono in realtà molto più invasivi dei dati stessi, perché nei dati ci si presenta come si vuole essere presentati. Con i metadati, chi sa quali sono le conclusioni che vengono tratte? Si fa niente per questo?
RL: I don't really understand that argument. I think that metadata's important for a couple of reasons. Metadata is the information that lets you find connections that people are trying to hide. So when a terrorist is corresponding with somebody else who's not known to us but is engaged in doing or supporting terrorist activity, or someone who's violating international sanctions by providing nuclear weapons-related material to a country like Iran or North Korea, is trying to hide that activity because it's illicit activity. What metadata lets you do is connect that. The alternative to that is one that's much less efficient and much more invasive of privacy, which is gigantic amounts of content collection. So metadata, in that sense, actually is privacy-enhancing. And we don't, contrary to some of the stuff that's been printed, we don't sit there and grind out metadata profiles of average people. If you're not connected to one of those valid intelligence targets, you are not of interest to us.
RL: Non capisco bene la discussione. Credo che i metadati siano importanti per un paio di ragioni. I metadati sono l'informazione che ci permette di trovare connessioni che la gente cerca di nascondere. Quando un terrorista scrive a qualcuno che non conosciamo ma che è coinvolto o sostiene un'attività terroristica, o qualcuno che viola le sanzioni internazionali fornendo materiali collegati alle armi nucleari a paesi come Iran e Corea del Nord, sta cercando di nascondere quell'attività perché è un'attività illecita. I metadati ci permettono di fare il collegamento. L'alternativa è una cosa molto meno efficiente e molto più invasiva della privacy, ossia la raccolta di un'enorme quantità di contenuti. Quindi i metadati, in questo senso, migliorano la privacy. E contrariamente ad alcune cose che vengono scritte, non ce ne stiamo lì a spulciare metadati di persone comuni. Se non sei collegato a uno di questi obiettivi dell'intelligence, non sei di nostro interesse.
CA: So in terms of the threats that face America overall, where would you place terrorism?
CA: Quindi in termini di minacce che l'America affronta complessivamente, dove posizionerebbe il terrorismo?
RL: I think terrorism is still number one. I think that we have never been in a time where there are more places where things are going badly and forming the petri dish in which terrorists take advantage of the lack of governance. An old boss of mine, Tom Fargo, Admiral Fargo, used to describe it as arcs of instability. And so you have a lot of those arcs of instability in the world right now, in places like Syria, where there's a civil war going on and you have massive numbers, thousands and thousands of foreign fighters who are coming into Syria to learn how to be terrorists and practice that activity, and lots of those people are Westerners who hold passports to European countries or in some cases the United States, and so they are basically learning how to do jihad and have expressed intent to go out and do that later on in their home countries. You've got places like Iraq, which is suffering from a high level of sectarian violence, again a breeding ground for terrorism. And you have the activity in the Horn of Africa and the Sahel area of Africa. Again, lots of weak governance which forms a breeding ground for terrorist activity. So I think it's very serious. I think it's number one. I think number two is cyber threat. I think cyber is a threat in three ways: One way, and probably the most common way that people have heard about it, is due to the theft of intellectual property, so basically, foreign countries going in, stealing companies' secrets, and then providing that information to state-owned enterprises or companies connected to the government to help them leapfrog technology or to gain business intelligence that's then used to win contracts overseas. That is a hugely costly set of activities that's going on right now. Several nation-states are doing it. Second is the denial-of-service attacks. You're probably aware that there have been a spate of those directed against the U.S. financial sector since 2012. Again, that's a nation-state who is executing those attacks, and they're doing that as a semi-anonymous way of reprisal. And the last one is destructive attacks, and those are the ones that concern me the most. Those are on the rise. You have the attack against Saudi Aramco in 2012, August of 2012. It took down about 35,000 of their computers with a Wiper-style virus. You had a follow-on a week later to a Qatari company. You had March of 2013, you had a South Korean attack that was attributed in the press to North Korea that took out thousands of computers. Those are on the rise, and we see people expressing interest in those capabilities and a desire to employ them.
RL: Credo che il terrorismo sia sempre il numero uno. Credo non abbiamo mai vissuto in un periodo in cui ci sono più luoghi in cui le cose vanno male e formano il nido in cui i terroristi si avvantaggiano della mancanza di autorità. Un mio vecchio capo, Tom Fargo, l'Ammiraglio Fargo, lo descriveva come archi di instabilità. Ci sono molti di questi archi di instabilità oggi nel mondo, in posti come la Siria, dove c'è la guerra civile e un numero enorme, migliaia e migliaia di combattenti stranieri che arrivano in Siria per imparare a fare i terroristi e fare pratica di questa attività, e molte di queste persone sono occidentali con passaporto europeo o in alcuni casi americano. Sostanzialmente imparano come fare jihad con il deliberato proposito di farlo poi nel proprio paese. Ci sono posti come l'Iraq, che affronta un alto livello di violenza settaria, di nuovo, terreno fertile per il terrorismo. Ci sono attività nel Corno d'Africa e nell'area del Sahel in Africa. Di nuovo, assenza di autorità che forma terreno fertile per attività terroristiche. Credo che sia una cosa seria. Credo che sia la più importante. Credo che la seconda siano le minacce informatiche. Credo che il terrorismo informatico sia una minaccia su tre piani: il primo, e probabilmente il più comune di cui la gente ha sentito parlare, è dovuto al furto della proprietà intellettuale, quindi in sostanza, paesi stranieri che rubano segreti aziendali, e forniscono poi quelle informazioni a aziende di stato o aziende collegate a governi per aiutarle ad avanzare tecnologicamente o usare la business intelligence per vincere appalti stranieri. Sono una serie di attività molto costose che si stanno verificando. Lo stanno facendo molte nazioni. In secondo luogo, gli attacchi DNS. Probabilmente sapete che c'è stata un'ondata di questi attacchi contro il settore finanziario americano dal 2012. Di nuovo, è stata una nazione a fare quell'attacco e lo fanno come rappresaglia semi-anonima. E l'ultimo sono gli attacchi distruttivi, e questi sono quelli che mi preoccupano di più. Stanno crescendo. C'è stato l'attacco contro Saudi Aramco nel 2012, agosto 2012. Ha disabilitato 35 000 dei loro computer con un virus in stile Wiper. È stato seguito da un altro una settimana dopo nei confronti di un'azienda del Qatar. C'è stato marzo 2013, un attacco sudcoreano attribuito dalla stampa alla Corea del Nord che ha disabilitato migliaia di computer. Stanno crescendo, e vediamo persone che esprimono interesse in queste capacità e un desiderio di impiegare queste persone.
CA: Okay, so a couple of things here, because this is really the core of this, almost. I mean, first of all, a lot of people who look at risk and look at the numbers don't understand this belief that terrorism is still the number one threat. Apart from September 11, I think the numbers are that in the last 30 or 40 years about 500 Americans have died from terrorism, mostly from homegrown terrorists. The chance in the last few years of being killed by terrorism is far less than the chance of being killed by lightning. I guess you would say that a single nuclear incident or bioterrorism act or something like that would change those numbers. Would that be the point of view?
CA: Ok, un paio di cose, perché questo è veramente il punto, quasi. Voglio dire, prima di tutto, molta gente che vede il rischio e guarda i numeri non capisce questa convinzione che il terrorismo sia ancora la minaccia numero uno. Escludendo l'11 settembre, credo che secondo i numeri degli ultimi 30 o 40 anni dicano che di terrorismo sono morti 500 Americani, perlopiù da terroristi interni. La possibilità negli ultimi anni di essere uccisi dal terrorismo è molto inferiore alla possibilità di essere uccisi da un fulmine. Credo che possa dire che un singolo incidente nucleare o atto bioterroristico o qualcosa del genere cambierebbe questi numeri. Sarebbe questo il punto di vista?
RL: Well, I'd say two things. One is, the reason that there hasn't been a major attack in the United States since 9/11, that is not an accident. That's a lot of hard work that we have done, that other folks in the intelligence community have done, that the military has done, and that our allies around the globe have done. You've heard the numbers about the tip of the iceberg in terms of numbers of terrorist attacks that NSA programs contributed to stopping was 54, 25 of those in Europe, and of those 25, 18 of them occurred in three countries, some of which are our allies, and some of which are beating the heck out of us over the NSA programs, by the way. So that's not an accident that those things happen. That's hard work. That's us finding intelligence on terrorist activities and interdicting them through one way or another, through law enforcement, through cooperative activities with other countries and sometimes through military action. The other thing I would say is that your idea of nuclear or chem-bio-threat is not at all far-fetched and in fact there are a number of groups who have for several years expressed interest and desire in obtaining those capabilities and work towards that.
RL: Direi due cose. La prima è che la ragione per cui non ci sono stati importanti attacchi agli Stati Uniti dall'11 settembre, non è un caso. Si trata di tanto duro lavoro, che altra gente nella comunità dell'intelligence ha fatto, che hanno fatto i militari, e che i nostri alleati nel mondo hanno fatto. Ha sentito i numeri che sono la punta dell'iceberg in termini di numero di attacchi terroristici a cui i programmi della NSA hanno contribuito a fermare ossia 54, 25 di questi sono in Europa, e di questi 25, 18 si sono verificati in tre paesi, alcuni dei quali sono nostri alleati, e tra l'altro, alcuni di loro ci hanno massacrato sui programmi NSA. Quindi non è un caso che queste cose accadano. È un duro lavoro. Troviamo l'intelligence delle attività terroristiche e le interdiciamo in un modo o nell'altro, attraverso le forze dell'ordine, collaborando con altri paesi e talvolta attraverso azioni militari. L'altra cosa che vorrei dire è che la sua idea di una minaccia nucleare biochimica non è improbabile e di fatto c'è un certo numero di gruppi che per diversi anni ha espresso interesse e desiderio di acquisire quelle capacità per lavorare in quel senso.
CA: It's also been said that, of those 54 alleged incidents, that as few as zero of them were actually anything to do with these controversial programs that Mr. Snowden revealed, that it was basically through other forms of intelligence, that you're looking for a needle in a haystack, and the effects of these programs, these controversial programs, is just to add hay to the stack, not to really find the needle. The needle was found by other methods. Isn't there something to that?
CA: Si è anche detto che, di quei presunti 54 incidenti, nessuno di loro aveva a che fare con questi programmi controversi rivelati dal Sig. Snowden, che in sostanza sono passati da altre forme di intelligence, che state cercando un ago in un pagliaio e gli effetti di questi programmi, questi programmi controversi aggiungono solo paglia al pagliaio, non proprio per trovare l'ago. L'ago è stato trovato con altri metodi. C'è qualcosa su questo argomento?
RL: No, there's actually two programs that are typically implicated in that discussion. One is the section 215 program, the U.S. telephony metadata program, and the other one is popularly called the PRISM program, and it's actually section 702 of the FISA Amendment Act. But the 215 program is only relevant to threats that are directed against the United States, and there have been a dozen threats where that was implicated. Now what you'll see people say publicly is there is no "but for" case, and so there is no case where, but for that, the threat would have happened. But that actually indicates a lack of understanding of how terrorist investigations actually work. You think about on television, you watch a murder mystery. What do you start with? You start with a body, and then they work their way from there to solve the crime. We're actually starting well before that, hopefully before there are any bodies, and we're trying to build the case for who the people are, what they're trying to do, and that involves massive amounts of information. Think of it is as mosaic, and it's hard to say that any one piece of a mosaic was necessary to building the mosaic, but to build the complete picture, you need to have all the pieces of information. On the other, the non-U.S.-related threats out of those 54, the other 42 of them, the PRISM program was hugely relevant to that, and in fact was material in contributing to stopping those attacks.
RL: In realtà ci sono due programmi tipicamente implicati in questa discussione. Uno è la sezione 215, il programma americano dei metadati telefonici, e l'altro è comunemente chiamato programma PRISM, ed è la sezione 702 dell'emendamento FISA. Ma il programma 215 è pertinente solo alle minacce dirette contro gli Stati Uniti, e ci sono state dozzine di minacce in cui è stato coinvolto. Ora la gente dice pubblicamente è che non c'è un caso "ma per", quindi non ci sono casi in cui, ma per questo, la minaccia si sarebbe verificata. Questo indica una mancanza di comprensione di come funzionano le ricerche dei terroristi. Pensate alla televisione, quando guardate un giallo. Da dove si comincia? Si comincia dal corpo, e poi da lì si lavora per risolvere il caso. Noi cominciamo molto prima, possibilmente prima che ci siano corpi, e cerchiamo di costruire il caso: chi è questa gente, cosa sta cercando di fare, e questo coinvolge un'enorme quantità di informazioni. Vedetelo come un mosaico, ed è difficile dire che un qualunque pezzo di un mosaico sia stato necessario a costruire il mosaico, ma per realizzare l'immagine completa, ci vogliono tutte le informazioni. Dall'altra, nelle minacce non legate agli Stati Uniti di quelle 54, le altre 42, il programma PRISM è stato assolutamente rilevante, ed è stato essenziale nel contribuire a fermare quegli attacchi.
CA: Snowden said two days ago that terrorism has always been what is called in the intelligence world "a cover for action," that it's something that, because it invokes such a powerful emotional response in people, it allows the initiation of these programs to achieve powers that an organization like yours couldn't otherwise have. Is there any internal debate about that?
CA: Snowden ha detto due giorni fa che il terrorismo è sempre stato quello che nel mondo dell'intelligence viene chiamato "una copertura all'azione", che è una cosa che, evocando una reazione così emotiva nelle persone, autorizza l'accettazione dei questi programmi per conferire poteri che un'organizzazione come la sua altrimenti non avrebbe. Esiste un dibatto interno a questo proposito?
RL: Yeah. I mean, we debate these things all the time, and there is discussion that goes on in the executive branch and within NSA itself and the intelligence community about what's right, what's proportionate, what's the correct thing to do. And it's important to note that the programs that we're talking about were all authorized by two different presidents, two different political parties, by Congress twice, and by federal judges 16 different times, and so this is not NSA running off and doing its own thing. This is a legitimate activity of the United States foreign government that was agreed to by all the branches of the United States government, and President Madison would have been proud.
RL: Sì. Voglio dire, discutiamo di queste cose continuamente, e la discussione va avanti nel ramo esecutivo e all'interno della stessa NSA e nella comunità dell'intelligence su cosa sia giusto, proporzionato, quale sia la cosa corretta da fare. Ed è importante notare che i programmi di cui parliamo sono stati tutti autorizzati da due diversi presidenti, due diversi partiti politici, due volte dal Congresso, e da giudici federali 16 volte, quindi non si tratta della NSA che parte alla deriva e fa quello che vuole. È un'attività legittima del governo estero degli Stati Uniti concordata da tutti i rami del governo degli Stati Uniti, e il Presidente Madison ne sarebbe stato orgoglioso.
CA: And yet, when congressmen discovered what was actually being done with that authorization, many of them were completely shocked. Or do you think that is not a legitimate reaction, that it's only because it's now come out publicly, that they really knew exactly what you were doing with the powers they had granted you?
CA: Eppure, quando i membri del Congresso hanno scoperto cosa si faceva con quella autorizzazione, molti di loro sono rimasti scioccati. O pensa che non sia una reazione legittima, che è solo perché non sono stati rivelati pubblicamente, che sapevano esattamente cosa steste facendo con i poteri a voi concessi?
RL: Congress is a big body. There's 535 of them, and they change out frequently, in the case of the House, every two years, and I think that the NSA provided all the relevant information to our oversight committees, and then the dissemination of that information by the oversight committees throughout Congress is something that they manage. I think I would say that Congress members had the opportunity to make themselves aware, and in fact a significant number of them, the ones who are assigned oversight responsibility, did have the ability to do that. And you've actually had the chairs of those committees say that in public. CA: Now, you mentioned the threat of cyberattacks, and I don't think anyone in this room would disagree that that is a huge concern, but do you accept that there's a tradeoff between offensive and defensive strategies, and that it's possible that the very measures taken to, "weaken encryption," and allow yourself to find the bad guys, might also open the door to forms of cyberattack?
RL: Il Congresso è molto grande. Ci sono 535 membri, e cambiano spesso, nel caso della Camera dei Rappresentanti, ogni due anni, e credo che la NSA abbia fornito tutte le informazioni rilevanti ai comitati di supervisione, e poi la diffusione di queste informazioni da parte dei comitati di supervisione attraverso il Congresso è una cosa che gestiscono loro. Direi che i membri del Congresso hanno avuto l'opportunità di essere a conoscenza, e di fatto un numero significativo di loro, quelli a cui sono state assegnate responsabilità di supervisione, avevano la capacità di farlo. E quei comitati erano nella posizione di dirlo pubblicamente. CA: Lei ha menzionato la minaccia degli attacchi informatici, e non credo che nessuno in questa sala non sia d'accordo che è un grosso problema, ma accettate che ci sia un compromesso tra strategie offensive e difensive, e che sia possibile che le stesse misure prese per "indebolire la cifratura," e vi permette di trovare i cattivi, può anche aprire una porta alla formazione di attacchi informatici?
RL: So I think two things. One is, you said weaken encryption. I didn't. And the other one is that the NSA has both of those missions, and we are heavily biased towards defense, and, actually, the vulnerabilities that we find in the overwhelming majority of cases, we disclose to the people who are responsible for manufacturing or developing those products. We have a great track record of that, and we're actually working on a proposal right now to be transparent and to publish transparency reports in the same way that the Internet companies are being allowed to publish transparency reports for them. We want to be more transparent about that. So again, we eat our own dog food. We use the standards, we use the products that we recommend, and so it's in our interest to keep our communications protected in the same way that other people's need to be.
RL: Credo due cose. Primo, lei dice indebolire la cifratura, non l'ho detto io. E l'altra è che la NSA ha entrambe le missioni, siamo molto orientati alla difesa, e le vulnerabilità che troviamo nella gran maggioranza dei casi, ci riveliamo alle persone responsabili della produzione e dello sviluppo di quei prodotti. Abbiamo molti precedenti, e stiamo lavorando proprio ora su una proposta per essere trasparenti e per pubblicare rapporti di trasparenza così come le aziende Internet sono autorizzate a pubblicare rapporti di trasparenza. Vogliamo essere più trasparenti. Di nuovo, usiamo i nostri stessi prodotti. Usiamo gli standard, usiamo i prodotti che raccomandiamo, quindi è nel nostro interesse mantenere le nostre comunicazioni al sicuro quanto tutti gli altri.
CA: Edward Snowden, when, after his talk, was wandering the halls here in the bot, and I heard him say to a couple of people, they asked him about what he thought of the NSA overall, and he was very complimentary about the people who work with you, said that it's a really impassioned group of employees who are seeking to do the right thing, and that the problems have come from just some badly conceived policies. He came over certainly very reasonably and calmly. He didn't come over like a crazy man. Would you accept that at least, even if you disagree with how he did it, that he has opened a debate that matters?
CA: Edward Snowden, girava qui nella sala, dopo il discorso, nel bot, l'ho sentito dire a un paio di persone, gli hanno chiesto cosa pensava della NSA complessivamente, ed è stato molto lusinghiero nei confronti delle persone che lavorano con lei, ha detto che è un gruppo di persone molto appassionate che sta cercando di fare la cosa giusta, e che i problemi vengono da politiche mal concepite. Ha cambiato posizione in modo molto ragionevole e calmo. Non lo ha fatto come un folle. Accetterebbe che almeno, anche se non è d'accordo sul modo in cui l'ha fatto, che ha aperto un dibattito importante?
RL: So I think that the discussion is an important one to have. I do not like the way that he did it. I think there were a number of other ways that he could have done that that would have not endangered our people and the people of other nations through losing visibility into what our adversaries are doing. But I do think it's an important conversation.
RL: Credo che questa discussione sia importante. Non mi piace il modo in cui l'ha fatto. Credo che ci fossero molti altri modi di farlo che non avrebbero messo in pericolo la nostra gente e la gente di altre nazioni perdendo visibilità su quello che stanno facendo i nostri avversari. Ma credo che sia una conversazione importante.
CA: It's been reported that there's almost a difference of opinion with you and your colleagues over any scenario in which he might be offered an amnesty deal. I think your boss, General Keith Alexander, has said that that would be a terrible example for others; you can't negotiate with someone who's broken the law in that way. But you've been quoted as saying that, if Snowden could prove that he was surrendering all undisclosed documents, that a deal maybe should be considered. Do you still think that?
CA: È stato riportato che c'è almeno una differenza di opinione tra lei e i suoi colleghi su qualunque scenario in cui gli potrebbe essere offerto un accordo di amnistia. Credo che il suo responsabile, il Generale Keith Alexander, abbia detto che sarebbe un esempio terribile per altri; non si può negoziare con qualcuno che ha infranto la legge in quel modo. Ma lei è stato citato con la frase, "Se Snowden dimostrasse di consegnare tutti i documenti riservati forse un accordo dovrebbe essere preso in considerazione. Lo pensa ancora?
RL: Yeah, so actually, this is my favorite thing about that "60 Minutes" interview was all the misquotes that came from that. What I actually said, in response to a question about, would you entertain any discussions of mitigating action against Snowden, I said, yeah, it's worth a conversation. This is something that the attorney general of the United States and the president also actually have both talked about this, and I defer to the attorney general, because this is his lane. But there is a strong tradition in American jurisprudence of having discussions with people who have been charged with crimes in order to, if it benefits the government, to get something out of that, that there's always room for that kind of discussion. So I'm not presupposing any outcome, but there is always room for discussion.
RL: Sì, in realtà, la mia parte preferita dell'intervista a "60 Minutes" sono tutte le citazioni sbagliate che ne sono venute fuori. Quello che ho detto, in risposta a una domanda, "Intavoleresti una discussione per attenuare i provvedimenti contro Snowden", ho risposto, sì, vale la pensa discuterne. È una cosa di cui il procuratore generale degli Stati Uniti e anche il presidente hanno parlato, e lo lascio al procuratore generale, perché è di sua competenza. Ma c'è una forte tradizione nella giurisprudenza americana di discutere con le persone accusate di crimini, per poterne trarre qualcosa se a vantaggio del governo, c'è sempre spazio per la discussione. Quindi non ipotizzo nessun risultato ma c'è sempre spazio per la discussione.
CA: To a lay person it seems like he has certain things to offer the U.S., the government, you, others, in terms of putting things right and helping figure out a smarter policy, a smarter way forward for the future. Do you see, has that kind of possibility been entertained at all? RL: So that's out of my lane. That's not an NSA thing. That would be a Department of Justice sort of discussion. I'll defer to them.
CA: Agli occhi di un profano sembra che abbia qualcosa da offrire agli Stati Uniti, il governo, lei, altri, per poter raddrizzare le cose e aiutare a trovare una politica più intelligente, una via più intelligente per il futuro. Questa possibilità è stata mai presa in considerazione? RL: Non è di mia competenza. Non è di competenza della NSA. Sarebbe compito una discussione di competenza del Dipartimento di Giustizia. Lascio a loro.
CA: Rick, when Ed Snowden ended his talk, I offered him the chance to share an idea worth spreading. What would be your idea worth spreading for this group?
CA: Rick, quando Ed Snowden ha finito il suo intervento, gli ho offerto la possibilità di condividere un'idea che merita di essere diffusa. Quale sarebbe la sua idea per queste persone?
RL: So I think, learn the facts. This is a really important conversation, and it impacts, it's not just NSA, it's not just the government, it's you, it's the Internet companies. The issue of privacy and personal data is much bigger than just the government, and so learn the facts. Don't rely on headlines, don't rely on sound bites, don't rely on one-sided conversations. So that's the idea, I think, worth spreading. We have a sign, a badge tab, we wear badges at work with lanyards, and if I could make a plug, my badge lanyard at work says, "Dallas Cowboys." Go Dallas. I've just alienated half the audience, I know. So the lanyard that our people who work in the organization that does our crypto-analytic work have a tab that says, "Look at the data." So that's the idea worth spreading. Look at the data.
RL: Credo, imparare i fatti. È un dibattito molto importante, e influisce non solo sulla NSA, non solo sul governo, ma su di noi, sulle aziende Internet. Il problema della privacy e dei dati personali è molto più ampio del solo governo, quindi impariamo i fatti. Non affidiamoci ai titoloni, non affidiamoci alle frasi ad effetto, non affidiamoci alle conversazioni di parte. Questa è l'idea che credo meriti di essere diffusa. Abbiamo una targhetta, un badge, indossiamo badge al lavoro con un cordino, e se potessi promuovere una causa, il mio badge al lavoro direbbe, "Dallas Cowboys". Vai Dallas. Ho allontanato il pubblico, lo so. Allora il cordino che la nostra gente che lavora in un'organizzazione che fa il nostro lavoro di cripto-analisi ha una targhetta che dice, "Guarda i dati". Questa è l'idea che merita di essere diffusa. Guarda i dati.
CA: Rick, it took a certain amount of courage, I think, actually, to come and speak openly to this group. It's not something the NSA has done a lot of in the past, and plus the technology has been challenging. We truly appreciate you doing that and sharing in this very important conversation. Thank you so much.
CA: Rick, ci voleva un certo coraggio, per venire qui a parlare apertamente a questo gruppo. Non è una cosa che la NSA ha fatto molto in passato, e la tecnologia ci ha messo alla prova. Apprezziamo veramente che lo abbia fatto in questa importante conversazione. Grazie mille.
RL: Thanks, Chris.
RL: Grazie, Chris.
(Applause)
(Applausi)