13.3824 · Interpellanza · 2013-09-26
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Il 30 agosto 2013 la Delegazione delle Commissioni della gestione (DelCG) ha pubblicato un breve rapporto relativo alla verifica della sicurezza informatica in seno al Servizio delle attività informative della Confederazione (SIC). Tale rapporto si basa su un'ispezione formale e sfocia in undici raccomandazioni al Consiglio federale.
Al centro delle critiche della DelCG non vi sono soltanto il DDPS e il SIC, ma anche il Consiglio federale in quanto collegio: secondo la DelCG ciò è stato il risultato di una pianificazione insufficiente, che ha avuto inizio nel maggio del 2008 con la decisione del Consiglio federale di trasferire le componenti di intelligence del SAP al DDPS. (pag. 2)
Invito il Consiglio federale a rispondere alle domande seguenti:
1. Nel 2011 e nel 2012 il Consiglio federale era già a conoscenza dei rischi e delle lacune nella sicurezza informatica del SIC emerse in occasione dell'ispezione della DelCG (tra gli altri le carenze di personale nell'informatica e nei controlli di sicurezza relativi alle persone (CSP), la rinuncia al controllo globale di specialisti esterni nonché la rinuncia ad applicare le prescrizioni minime della Confederazione in materia di protezione dei dati)?
2. Nel 2009, su proposta del DDPS, il raggruppamento di SAP e SIS in un unico Ufficio federale sarebbe dovuto avvenire "senza risorse supplementari". Per quale motivo il Consiglio federale a suo tempo ha approvato tale proposta? Come è impiegato attualmente in seno al Dipartimento federale di giustizia e polizia il personale del SAP competente per l'informatica?
3. Il 1° maggio 2013, un anno dopo il furto di dati, il Consiglio federale ha deciso un incremento del personale addetto alla sicurezza informatica in seno al SIC a partire dal 2014/2015. Per quale motivo la protezione dei dati altamente sensibili del SIC non è stata definita nel mese di maggio come massima priorità e il relativo effettivo di personale non è stato rafforzato il più presto possibile?
4. Il 12 maggio 2010 il Consiglio federale ha incaricato il DDPS di elaborare un concetto normativo e una base legale formale per la protezione delle informazioni della Confederazione, affidando in tal modo questo importante compito a un dipartimento che applica in maniera non impeccabile le prescrizioni federali vigenti. Il Consiglio federale è disposto ad affidare a un altro dipartimento o al Consiglio federale in corpore invece che al DDPS la responsabilità di questo compito?
5. Il DDPS non è competente soltanto per il SIC, ma anche per altri compiti rilevanti ai fini della sicurezza. Il Consiglio federale ritiene che le lacune riscontrate dalla DelCG nella gestione dei rischi, nella pianificazione delle risorse e nella vigilanza potrebbero comportare problemi anche in altri uffici del DDPS?
Stellungnahme des Bundesrates
Il 30 ottobre 2013 il Consiglio federale ha espresso il proprio parere in merito al rapporto della Delegazione delle Commissioni della gestione (DelCG) sulla sicurezza informatica in seno al Servizio delle attività informative della Confederazione (SIC).
Il Consiglio federale risponde alle singole domande come segue:
1. Le decisioni di trasferire al DDPS componenti del Servizio di analisi e prevenzione (SAP) con compiti informativi e di raggruppare il Servizio informazioni strategico (SIS) e il SAP nel Servizio delle attività informative della Confederazione (SIC) sono state prese con la consapevolezza della situazione finanziaria e in materia di personale. In relazione con la verifica dei compiti della Confederazione, nel 2011 il SIC è stato incaricato di elaborare un rapporto in merito allo sfruttamento del potenziale di sinergie dei servizi informazioni civili. Da tale rapporto è emerso che, a causa dei crediti limitati per il personale, il SIC è in grado di sviluppare le funzioni di supporto necessarie nel campo dell'informatica, della sicurezza, ecc. unicamente a scapito degli ambiti fondamentali e che, dalla fusione, l'informatica si trova costretta a gestire, con risorse invariate, il doppio degli utenti. In seguito a tale rapporto il Consiglio federale ha escluso il SIC dalla verifica dei compiti.
2. Nel 2009 il Consiglio federale ha dato seguito all'iniziativa Hofmann Hans 07.404, "Trasferimento dei compiti dei servizi informazioni civili a un dipartimento", che aveva come obiettivo l'incremento delle prestazioni dei servizi informazioni. Anche il parere del Consiglio federale del 28 aprile 2008 in merito al rapporto della Commissione della gestione del Consiglio degli Stati del 29 febbraio 2008 era quindi incentrato sull'ottimizzazione dell'impiego delle risorse disponibili (cfr. FF 2008 3460 seg.). L'informatica del SAP si basava sul fornitore di servizi informatici del DFGP (CSI-DFGP), il quale si occupa ancora oggi del sistema d'informazione sicurezza interna (ISIS) del SIC.
3. Immediatamente dopo la breccia nella sicurezza verificatasi nel maggio 2012 numerosi servizi interni ed esterni all'amministrazione sono stati incaricati di analizzare la situazione e di indicare le necessità d'intervento. Di propria iniziativa il SIC ha individuato e avviato circa 40 misure. Si tratta di misure tecnico-organizzative e di limitazioni degli accessi. La protezione dei dati del SIC ha sempre avuto la massima priorità. Il 1° maggio 2013 il Consiglio federale ha preso atto dell'ulteriore fabbisogno di personale del SIC, pari a 11 posti di lavoro, necessario per garantire il rafforzamento della sicurezza e della sicurezza informatica. Gli otto posti prioritari sono stati accordati dal Consiglio federale il 26 giugno 2013, mentre i tre posti rimanenti saranno inclusi nella valutazione globale delle risorse del settore del personale per il 2014. Il DDPS ha già concesso al SIC nel 2013 le risorse finanziarie per gli otto posti prioritari.
4. In considerazione della crescente importanza politica e della complessità del progetto, il DDPS ha istituito un gruppo di esperti diretto dal prof. dott. Markus Müller dell'Università di Berna. Il 30 novembre 2011, dopo essere stato informato in merito ai punti fondamentali del concetto normativo, il Consiglio federale ha quindi deciso di ampliare l'ambito normativo dalla protezione delle informazioni alla sicurezza delle informazioni. Il gruppo di esperti è stato ampliato e comprende: Servizi del Parlamento, tribunali della Confederazione, Conferenza dei cantoni (Conferenza svizzera sull'informatica), CaF, IFPDT, DFAE, DFGP, DDPS e DFF nonché UFG, OSIC, UFIT, PIO e UFCOM. Tale gruppo elabora, sulla base del concetto normativo, il disegno di legge sulla sicurezza delle informazioni. L'avvio della consultazione è previsto per il primo trimestre 2014. Il Consiglio federale non ravvisa alcun motivo per trasferire a un altro dipartimento la responsabilità di questo progetto.
5. La DelCG raccomanda al Consiglio federale di elaborare proposte volte a migliorare la procedura di valutazione dello stato della sicurezza informatica nell'amministrazione federale. Tali provvedimenti devono permettere al Consiglio federale di individuare tempestivamente, nel quadro di una procedura istituzionalizzata, i rischi nella sicurezza informatica nonché di decidere le misure necessarie volte a ridurre i rischi e di seguirne la concretizzazione. Il Consiglio federale accoglie suddetta raccomandazione.
Risposta del Consiglio federale.