Lexipedia

23.1051 · Interrogazione · 2023-09-28

Parlamento

Liquidato

Wortlaut

Lo scorso giugno, un’autorità federale statunitense anonima ha rilevato degli accessi illegali ai propri account nel cloud Azure di Microsoft. Dall’accertamento è emerso che alcuni hacker cinesi hanno rubato una Master key di Microsoft al fine di utilizzarla per i propri scopi. In seguito Microsoft ha dovuto riconoscere che questa Master key non solo consente l’accesso a tutti gli account e-mail con autentificazione personale come Sharepoint, ma anche ad altri strumenti come il software per conferenze Teams, il servizio cloud OneDrive, le applicazioni per clienti con login Microsoft ecc. Dal punto di vista della sicurezza, non si può escludere che alcune parti dell’infrastruttura cloud siano ancora compromesse.

Di recente, il Parlamento ha migrato i servizi di e-mail e la burotica dei parlamentari e dei Servizi del Parlamento rispettivamente su Office365 e su Microsoft Cloud.

  1. Come valutano i Servizi del Parlamento la portata dell’incidente per il lavoro di Palazzo federale?

  2. I Servizi del Parlamento possiedono diritti in materia di verifica presso il fornitore?

  3. I file di log aggiuntivi messi a disposizione da Microsoft sono stati esaminati? Se sì, cosa è stato trovato?

  4. Quali misure hanno adottato i Servizi del Parlamento per rilevare eventuali applicazioni Microsoft compromesse?

Stellungnahme des Bundesrates

Dal 2021 gli account e-mail dei parlamentari, ma non quelli dei collaboratori dei Servizi del Parlamento, si trovano nel Cloud di Microsoft, fermo restando che la tenuta dei dati in Svizzera è garantita contrattualmente. Nell’ambito dei gruppi di prodotti di Microsoft 365 sono a disposizione dei parlamentari anche altre applicazioni come Teams e prodotti di burotica di Office 365.

Con i principi emanati il 1° settembre 2023 sul trattamento dei dati nel Cloud la Delegazione amministrativa ha confermato l’ammissibilità di questo trattamento di dati nel Cloud, sempre che non siano informazioni classificate confidenziali o segrete o dati personali degni di particolare protezione. Sono anche ammesse in particolare l’utilizzazione di Microsoft 365 e lo svolgimento di sedute di commissione in linea mediante Teams in applicazione dell’articolo 45b LParl, entrato in vigore il 4 dicembre 2023.

Riguardo all’attacco menzionato, la cui causa è già stata eliminata da Microsoft, una cosiddetta Master key interna di Microsoft è arrivata nelle mani di un gruppo di hacker cinesi, i quali hanno potuto accedere in modo illecito ad account e-mail di Outlook, ma limitatamente ad utenti del Nordamerica. In luglio 2023 Microsoft ha informato dell’accaduto e in settembre 2023 sono stati pubblicati i risultati dell’indagine riguardante questo attacco, noto con il nome di «Storm-0558 Key Acquisition».

I Servizi del Parlamento non sono stati colpiti da questo attacco, ma ne sono stati informati da Microsoft. Non sono stati attaccati né gli account e-mail dei deputati né quelli dei collaboratori dei Servizi del Parlamento.

I Servizi del Parlamento sorvegliano in collaborazione con Swisscom sia il PARL-Tenant di Microsoft 365 sia i sistemi di server interni 24 ore al giorno, 7 giorni su 7. Swisscom è incaricata e autorizzata a verificare tutti i file Log raccolti per individuare anomalie e irregolarità ed eventualmente intervenire direttamente. Un audit interno svolto in ottobre 2023 sul PARL-Tenant non ha rivelato irregolarità e nelle ultime settimane anche il gruppo di sorveglianza di Swisscom non ha segnalato attività sospette.

Microsoft è sottoposta ad audit regolari di ditte esterne e i relativi rapporti sono pubblicati. I Servizi del Parlamento non godono del diritto di svolgere direttamente audit.