Lexipedia

13.3558 · Interpellanza · 2013-06-20

Dipartimento delle Finanze

Liquidato

Wortlaut

Il Consiglio federale è invitato a rispondere alle seguenti domande:

1. Qual è il giudizio del Consiglio federale circa le minacce provenienti dallo spionaggio informatico altamente sofisticato?

2. Quale strategia/quali misure adotta per proteggere la piazza svizzera? Quali forme di cooperazione esistono o si cercano sul piano internazionale? Esistono forme di cooperazione con società private che garantiscono alla Confederazione conoscenze di punta in caso di necessità? Dove si situa il confine tra responsabilità aziendale e individuale ed esigenze di protezione preventiva?

3. Le attuali strategie dell'amministrazione federale, quali ad esempio e-government, cloud, e-health, tengono conto delle minacce che provengono dalle tecnologie di punta nel settore TIC?

4. Le imprese parastatali della Confederazione sono incluse nell'eventuale dispositivo?

Begründung

Lo spionaggio informatico dimostra di essere in rapida crescita. Nelle ultime settimane gli Stati Uniti sono saliti alla ribalta delle cronache per la vicenda legata al programma segreto PRISM della National Security Agency (NSA) e il fatto non sembra destare sorpresa, nemmeno nell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), secondo cui "lo spionaggio consiste oggi nell'analisi di dati, alla quale si interessano non solo i social network e i servizi segreti ma tutti gli attori possibili e immaginabili, dall'impresa all'organizzazione criminale". La semplice analisi di dati sembra però rappresentare soltanto la punta dell'iceberg. Dal 2010 a questa parte si è scoperto un numero crescente di "trojan": Stuxnet (nel 2010), Duqu (nel 2011), Flame (nel 2012) e Red October (nel 2013) sono solo i casi più noti. Ovviamente, gli autori rimangono perlopiu sconosciuti, ma non si può escludere né una partecipazione di uno Stato, né di strutture criminali altamente sofisticate. Secondo autorevoli analisti, infatti, nel caso di Flame e di Red October sono occorsi anni soltanto per accorgersi del loro agire, e oltretutto sarebbe praticamente impossibile effettuare un'analisi completa delle capacità dei trojan che occupano uno spazio non superiore a 20 megabyte. Su una mappa di pubblico dominio che raffigura il raggio d'azione di Red October, anche la Svizzera appare tra i Paesi danneggiati e quindi tra i bersagli delle attività di spionaggio della diplomazia e delle ambasciate.

Stellungnahme des Bundesrates

1. Il Consiglio federale ritiene che lo spionaggio informatico altamente sofisticato rappresenti una minaccia elevata. I tipi di attacchi cibernetici a imprese svizzere e all'amministrazione spaziano da semplici attacchi di phishing (password phishing) ad attacchi DDoS (Distributed Denial of Service) fino ad arrivare ad attacchi di spionaggio informatico altamente complessi, presumibilmente sostenuti a livello statale. La Svizzera è pertanto esposta a simili minacce almeno tanto quanto gli altri Paesi.

2. Il 27 giugno 2012 il Consiglio federale ha adottato la "Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC)" e il 15 maggio 2013 ha approvato il relativo piano di attuazione delle 16 misure ivi previste. Con la SNPC il Consiglio federale persegue i seguenti obiettivi: individuare precocemente le minacce nel cyberspazio, incrementare la resistenza delle infrastrutture critiche agli attacchi, ridurre i cyber-rischi e contrastare gli eventi concreti.

Le diverse unità organizzative che all'interno dell'amministrazione federale si occupano della prevenzione e della difesa in ambito di attacchi cibernetici hanno concluso, ciascuna nel proprio settore di compiti, accordi di partenariato nazionali e internazionali. La Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (MELANI) cura ad esempio una rete mondiale ed è membro a pieno titolo delle due organizzazioni tecniche EGC (European Government CERTs) e FIRST (Forum of Incident Response and Security Teams). Il Servizio delle attività informative e Fedpol intrattengono contatti internazionali con servizi partner. L'esercito intrattiene altri contatti all'interno della NATO e il DFAE in diverse organizzazioni politiche. In questo modo si garantisce un sistema di avvertimento precoce nel caso in cui si dovesse verificare una minaccia in uno Stato estero che potrebbe essere rilevante anche per la Svizzera.

I diversi organi federali intrattengono contatti nell'industria privata, sia con imprese produttrici sia con fornitori di servizi, ai quali è possibile ricorrere in caso di necessità.

La responsabilità della protezione dai rischi cibernetici fa parte di ogni gestione dei rischi e non può essere scorporata da un'impresa e affidata a un servizio esterno. In questo senso, ogni impresa è in linea di principio responsabile della propria protezione informatica. Con l'attuazione della SNPC e con MELANI la Confederazione sostiene le imprese ad assumersi questa responsabilità.

È parimenti responsabilità delle imprese interessate decidere sulle misure immediata da adottare. Queste possono spaziare da una semplice pulizia del PC in questione a un temporaneo isolamento completo dal web dell'impresa interessata. Su richiesta MELANI fornisce alle imprese interessate assistenza nel processo decisionale.

3. Nell'ambito dell'attuazione delle suddette strategie occorre tenere conto della protezione dai rischi cibernetici. L'attuazione della SNPC nonché la stretta collaborazione con tutti i dipartimenti/uffici interessati e con l'industria privata, prevista dalla Strategia, garantiscono questa protezione.

4. Le imprese parastatali come la Swisscom, la Posta, le FFS o la RUAG sono incluse nel dispositivo attraverso MELANI. Inoltre, la maggior parte di loro partecipa all'attuazione della SNPC anche con l'approvvigionamento economico del Paese.

Risposta del Consiglio federale.