Lexipedia

01.3708 · Interpellanza · 2001-12-04

Dipartimento delle Finanze

Liquidato

Stellungnahme des Bundesrates

1. Non sempre è possibile fare un paragone diretto di singoli rischi. Tuttavia il tipo di compiti e anche i dati elaborati nelle amministrazioni sono in generale simili. Di principio l'industria e le imprese di servizi non hanno un diverso modo di classificare il loro bisogno di protezione e i loro rischi. Anche se non si possono scambiare direttamente informazioni su singoli rischi e danni, in linea di massima esistono possibilità di paragone. I paragoni si basano

* su rapporti riguardanti questioni nell'ambito della sicurezza informatica di altre amministrazioni (ad es. Cantoni),

* sui contatti nell'ambito della fondazione InfoSurance, che viene finanziata congiuntamente dalla Confederazione e dall'economia,

* sui contatti diretti con organizzazioni amministrative estere, come il Bundesamt für Sicherheit in der Informationstechnik in Germania (BSI), l'ASIT in Austria, il Critical Infrastructure Protection Office negli Stati Uniti e altre organizzazioni statali. Queste organizzazioni hanno confermato in diversi colloqui di avere gli stessi o simili problemi nell'ambito della sicurezza informatica e di conseguenza hanno introdotto le corrispondenti misure di sicurezza secondo le loro procedure,

* su paragoni eseguiti in congressi internazionali.

2. Per la gestione dei rischi sono responsabili più servizi che ricoprono diversi ruoli:

* I detentori dei dati valutano quanto sia necessario proteggere i propri dati. Il rilevamento e l'esame degli oggetti da proteggere sono compiti correnti delle unità amministrative competenti.

* Il Consiglio informatico della Confederazione (CIC) espone le istruzioni del Consiglio federale sull'informatica e sulla telecomunicazione in modo dettagliato. Su mandato del CIC, l'Organo strategia informatica della Confederazione (OSIC) elabora, in collaborazione con il Comitato per la sicurezza informatica (C-SI) - nel quale sono rappresentati tutti i dipartimenti e la Cancelleria federale - le istruzioni riguardanti la sicurezza informatica. Sulla base del bisogno di protezione determinato con le unità organizzative, l'OSIC ordina le misure di sicurezza concrete da adottare.

* I fornitori di prestazioni informatiche dei Dipartimenti attuano le misure.

Una sicurezza ottimale viene garantita solo grazie al concorso dei servizi beneficiari di prestazioni che conoscono l'attività (cioè i dati degni di protezione, i processi aziendali e i partecipanti), di quelli che possono valutare in modo esaustivo i pericoli necessari e possibili nonché le misure di sicurezza (specialisti in materia di sicurezza nell'OSIC e nei dipartimenti) e, infine, di quelli che possono attuare in modo operativo le misure concrete (fornitori di prestazioni).

3. L'OSIC mette a disposizione una banca dati di mezzi informatici degni di particolare protezione e di dati (oggetti da proteggere) nonché di persone che sono responsabili del continuo controllo per il mantenimento e l'efficacia delle misure di sicurezza. In questo modo esiste una visione d'insieme per i sistemi e le reti dichiarati dei dipartimenti e delle unità amministrative. Un inventario esaustivo delle lacune nel sistema di sicurezza o di potenziali rischi non viene pubblicato per evidenti motivi, visto che i punti deboli pubblicati sono molto più pericolosi di quelli non pubblicati.

Finora i tigerteam sono stati impiegati solamente in modo puntuale e su mandato dei corrispondenti gestori. Il ruolo dei tigerteam e il signficato dei risultati raggiunti con essi non è tuttora fuori discussione. Dal punto di vista della protezione dei dati gli interventi dei tigerteam sono problematici dato che durante un intervento possono essere visti dati personali sensitivi. Una pertinente base giuridica deve ancora essere elaborata. L'intervento di un tigerteam esterno è sensato solo quando le persone interne che conoscono il sistema non riescono più a trovarvi lacune. Sia i tigerteam sia gli hacker sperimentano varianti d'attacco casuali. Un risultato negativo non è garanzia di un sistema senza lacune. Solamente errori e mancanze riconosciute vengono corrette immediatamente. Anche queste possono contenere degli errori, che a loro volta devono essere corretti. Il processo della sicurezza è pertanto un processo continuo in cui i test puntuali dei tigerteam hanno un valore definito ma limitato.

4. La sicurezza informatica è un tema ricorrente nel CIC, che è responsabile della gestione globale dell'informatica e dunque anche delle direttive per la sicurezza. La sicurezza è un tema prioritario anche per il nuovo Comitato informatico del Consiglio federale. Ogni anno il Consiglio federale ha la possibilità di occuparsi della questione al momento della consegna del rapporto sulla sicurezza informatica. Esso ha chiaramente affermato che nell'ambito dei progetti informatici la sicurezza gode della massima priorità.

5. Per l'impedimento, il rilevamento e la rimozione di incidenti riguardanti la sicurezza vengono prese misure ottimali secondo le conoscenze attuali, senza però poter garantire una sicurezza assoluta. Queste misure non vengono pubblicate dettagliatamente. Se vengono prese delle misure, queste vengono testate caso per caso. La loro efficacia è dimostrata solo dopo un certo periodo di tempo d'esercizio, quando permettono di troncare i problemi sul nascere. L'efficacia delle misure adottate può essere attualmente giudicata buona.

La scarsità di risorse finanziarie e di personale potrebbe compromettere l'attuazione delle misure di sicurezza. Dato che il Consiglio federale è conscio della limitata disponibilità di risorse, esso attribuisce grande priorità alla sicurezza. In caso di dubbio bisogna dunque rinunciare allo sviluppo o all'esercizio di un'applicazione a vantaggio di misure di sicurezza ottimali. Un problema è poi dato dal fatto che sul mercato sono disponibili pochi specialisti in materia di sicurezza. Attualmente, in particolare le Scuole universitarie professionali stanno ampliando la loro offerta di formazione anche in questo campo. Inoltre all'interno dell'Amministrazione federale vengono intrapresi sforzi supplementari per la sensibilizzazione in materia di sicurezza nell'ambito dell'esercizio e delle applicazioni.

Risposta del Consiglio federale.