Lexipedia

10.4028 · Interpellanza · 2010-12-16

Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni

Liquidato

Wortlaut

1. Come giudica il Consiglio federale il rischio che un virus analogo a Stuxnet possa attaccare il sistema di controllo di una o più centrali nucleari svizzere?

2. Come si può garantire che dati errati o manomissioni ad opera di terzi non autorizzati possano essere riconosciuti ed eliminati con certezza dall'uomo o dal sistema stesso? Quanto tempo ci vorrebbe affinché una manomissione possa essere riconosciuta con certezza? Quanto tempo ci vorrebbe affinché siano prese contromisure adeguate e queste esplicherebbero i loro effetti?

3. A partire da quale momento o stato delle conoscenze la popolazione verrebbe informata circa la perdita del controllo degli impianti? Quale autorità ha la responsabilità di comunicare queste informazioni? A partire da quando verrebbero adottati eventuali provvedimenti di evacuazione?

Begründung

I moderni sistemi di controllo gestiti da sofware, come quelli in uso presso le banche o altri fornitori di servizi, sono sempre più oggetto di attacchi da parte di hacker. Finora i tentativi di penetrare in sistemi protetti avevano come obiettivo soprattutto il traffico dei pagamenti o settori ministeriali particolarmente importanti sul piano della sicurezza. Secondo gli esperti di informatica, questi attacchi rappresentano una prassi sempre più corrente finalizzata allo spionaggio, furto e/o manomissione di un sistema di controllo.

Gli attacchi degli hacker hanno assunto una nuova dimensione, come dimostrano i casi verificatisi negli impianti nucleari di Busheer e Natanz in Iran, di cui da fine settembre 2010 si parla anche nei media svizzeri.

Un gruppo di programmatori ed esperti di automazione è riuscito a creare un virus molto complesso, il cosiddetto Stuxnet, in grado di mandare in tilt o controllare dall'esterno gli impianti. Il "worm" è stato concepito per i software di controllo degli impianti industriali della Siemens e si è diffuso a livello mondiale nei sistemi che utilizzano questi software. Nel contempo, Stuxnet è talmente preciso da poter essere impiegato anche per danneggiare soltanto alcuni impianti specifici. I sistemi di controllo Siemens vengono impiegati anche nelle centrali nucleari svizzere.

Stellungnahme des Bundesrates

Il Consiglio federale è consapevole del pericolo rappresentato dalla pirateria informatica e il 10 dicembre 2010 ha affidato il settore della "cyber defence" al Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS).

Gli attacchi degli hacker possono avere effetti devastanti soprattutto nelle infrastrutture di particolare importanza per il funzionamento di uno Stato, di un'economia e di una società. La difesa da questi attacchi (la "cyber defence") è quindi strettamente collegata alla protezione delle infrastrutture di importanza critica. La sempre maggiore vulnerabilità di queste ultime è anche un aspetto importante della strategia di base del Consiglio federale per la protezione delle infrastrutture critiche del 18 maggio 2009 e già nel 2004 era stata all'origine della creazione della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (Melani), che si occupa della protezione delle infrastrutture critiche nel campo dell'informazione. Attualmente il gruppo di lavoro per la protezione delle infrastrutture critiche, diretto dall'Ufficio federale della protezione della popolazione (UFPP), sta elaborando un documento strategico.

1. L'Ispettorato federale della sicurezza nucleare (IFSN) è l'autorità preposta alla vigilanza sugli impianti nucleari in Svizzera. Le parti di impianti nucleari particolarmente critiche dal punto di vista della sicurezza sono da anni oggetto di vigilanza da parte dell'IFSN. Un attacco diretto, ad esempio tramite Internet, al sistema di protezione della classe più elevata come quello dei reattori non è possibile. Si tratta infatti di sistemi chiusi, separati fisicamente, che non sono collegati a Internet.

Già prima dell'attacco di Stuxnet, l'IFSN aveva stabilito con gli esperti di Melani una stretta collaborazione in materia di attacchi informatici. Melani e IFSN sono giunti alla conclusione che le centrali nucleari svizzere dispongono attualmente di sistemi di protezione efficienti contro attacchi di virus di questo tipo.

2. Nelle centrali nucleari sono impiegati numerosi sistemi di controllo non identici tra loro. I sistemi della classe di protezione più elevata non sono collegati con l'esterno. Esistono diverse misure di protezione da attacchi informatici. Una di queste consiste nell'impiego esclusivo di supporti di dati verificati dai settori IT. Non è possibile, invece, dare informazioni generali sul tempo necessario per riconoscere una manomissione. Tuttavia, grazie all'allineamento dei dati e al controllo costante dei sistemi, è possibile riconoscere rapidamente virus o altre anomalie e prendere immediatamente le misure necessarie.

3. I criteri che regolano l'allarme alla popolazione sono disciplinati nelle relative prescrizioni di emergenza. Una volta soddisfatti questi criteri, la popolazione viene informata dell'accaduto. In caso di pericolo per la popolazione, la fauna e l'ambiente dovuto ad un aumento della radioattività viene attivato lo Stato Maggiore della Confederazione per gli eventi NBCN. La gestione dell'informazione spetta invece al Dipartimento federale dell'ambiente, dei trasporti, dell'energia e delle comunicazioni o all'Ufficio federale dell'energia (cfr. art. 2, 9 e 10 dell'ordinanza sull'organizzazione di interventi in caso di eventi NBC e di catastrofi naturali, RS 520.17). In caso di pericolo imminente e fintanto che lo Stato Maggiore della Confederazione non può agire, la Centrale nazionale d'allarme deve, di propria competenza, informare, avvisare le autorità, dare l'allarme alla popolazione e impartire via radio istruzioni sul comportamento (cfr. art. 2 dell'ordinanza sulla Centrale nazionale d'allarme, RS 520.18). Un'eventuale evacuazione della popolazione in caso di incidente dipenderà dalla dose di radiazioni prevista.

Risposta del Consiglio federale.