13.3799 · Interpellanza · 2013-09-25
Dipartimento delle Finanze
Liquidato
Wortlaut
A fine 2011, il Consiglio federale ha emanato, su mandato dell'Organo direzione informatica della Confederazione, un'istruzione concernente l'informatica e la telecomunicazione nell'amministrazione federale. In virtù di tale istruzione, ha deciso di introdurre capillarmente, entro la fine del 2013, una procedura di autenticazione a due fattori in tutta l'amministrazione federale. Tutti i collaboratori dovrebbero dunque essere dotati di nuove tessere di sicurezza e tutti i computer dei relativi lettori.
Il Consiglio federale è invitato a rispondere alle seguenti domande:
1. I costi conseguenti di questa decisione sono stati calcolati?
2. Quali lacune nella sicurezza deve coprire l'autenticazione a due fattori (si prega di citare un esempio concreto)?
3. Qual è l'entità del dispendio di personale causato:
a. per il personale addetto all'informatica di dipartimenti e uffici?
b. per le persone che devono riequipaggiarsi?
4. Quale rischio si corre di dover centralizzare la complessa procedura di autenticazione e che una perturbazione della centrale paralizzi l'intera amministrazione federale?
5. Quanti sono i partner esterni collegati tramite Internet e le applicazioni che ora devono collegarsi per mezzo di un'autenticazione a due fattori?
6. Quali applicazioni gestite per legge dalla Confederazione dovrebbero essere gestite da esterni a causa di questa procedura di autenticazione?
7. Quali soluzioni tecniche ha esaminato il Consiglio federale in alternativa all'autenticazione a due fattori?
8. Qual è stato l'esito della consultazione degli uffici?
Stellungnahme des Bundesrates
L'istruzione citata dall'autore dell'interpellanza si riferisce a un provvedimento contenuto nella decisione del 4 giugno 2010 del Consiglio federale, secondo la quale - a seguito di attacchi contro il sistema informatico dell'amministrazione federale - sono state decise diverse misure volte a migliorare la sicurezza TIC nell'amministrazione. Tra queste misure figurava l'introduzione dell'autenticazione a due fattori (A2F) in tutta l'amministrazione federale intesa in particolare a garantire l'accesso remoto alla rete della Confederazione.
1. I costi complessivi dell'introduzione dell'A2F sono stati stimati in meno di 10 milioni di franchi, da finanziare nel quadro del bilancio ordinario o da compensare con guadagni in termini di efficienza nell'IT.
2. La misura assicura la protezione contro aggressori, che solo con la conoscenza di una password possono accedere ai sistemi della Confederazione. A seguito di una grossa quantità di password rubate negli ultimi tempi, il tema della sicurezza è diventato d'attualità. Esempi di minacce contro l'amministrazione federale sono risultati da attacchi concreti. Se un account è dotato di A2F, l'aggressore deve possedere almeno una seconda componente - oltre alla password di solito un componente hardware, come ad esempio la smartcard. La misura corrisponde all'usuale prassi in queste situazioni di minaccia.
3.a. Per il passaggio all'A2F i costi del progetto TIC sono stati stimati in circa 6 milioni di franchi. L'uso quotidiano dell'A2F dovrebbe generare costi leggermente più alti rispetto a oggi, poiché le spese per la sostituzione di smartcard smarrite o danneggiate dovrebbero superare quelle per il blocco e la nuova emissione di password. Il Consiglio federale è però convinto che valga la pena sostenere queste spese visti i benefici ottenuti in termini di sicurezza.
3.b. L'introduzione dell'A2F prevede per ogni utente un dispendio di tempo di circa mezz'ora. Nell'esercizio quotidiano il dispendio supplementare è pressoché trascurabile. Se da un lato le modifiche periodiche della password vengono a cadere, d'altro lato le smartcard dimenticate, smarrite o danneggiate possono provocare un certo onere.
4. Con l'introduzione dell'A2F la procedura di autenticazione non verrà più centralizzata. I sistemi corrispondenti sono già oggi concepiti in maniera ridondante. Per l'A2F è fondamentale avere la disponibilità della Public Key Infrastructure (PKI). Un guasto prolungato della PKI causerebbe seri problemi all'amministrazione federale - come pure il guasto dell'Active Directory, sistema attualmente utilizzato per l'autenticazione della password. Pertanto, l'introduzione dell'A2F non genera nuovi rischi.
5. Nei cantoni, circa 30 000 utenti utilizzano l'A2F con smartcard. Questa soluzione è in uso dal 2006. Ora dovranno essere dotati di smartcard ancora circa 15 000 utenti esterni.
6. Non è necessario far gestire le applicazioni da esterni.
7. A seguito della situazione di minaccia, la protezione dell'A1F, ampiamente diffusa nell'amministrazione federale, ha dovuto essere potenziata con ulteriori misure, poiché è possibile intercettare le password. L'attuazione dell'A2F consente esplicitamente l'applicazione di diverse tecnologie e procedure. Nel quadro dei progetti di attuazione viene deciso in ogni singolo caso quale tecnologia e procedura è concretamente la più adatta in un ambiente specifico. Per gli impiegati della Confederazione, l'A2F viene realizzata sulla base di certificati che possono essere utilizzati anche per cifrare e firmare documenti e permettono quindi di generare sinergie.
8. Durante le consultazioni degli uffici concernenti le decisioni del Consiglio federale del 2010 e l'istruzione sulla sicurezza del 2013, né i dipartimenti né la Cancelleria federale hanno espresso delle riserve su questa misura.
Risposta del Consiglio federale.