16.1021 · Interrogazione urgente · 2016-06-02
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Secondo quanto riportato dai media e confermato ufficialmente, la RUAG e il DDPS sono stati vittime di un cyberattacco. Il rapporto Melani "APT Case RUAG: Technical Report" fornisce prime informazioni e raccomanda contromisure. Ne risultano le seguenti domande urgenti:
1. La RUAG si presenta come centro di competenza per la cyber defense/cyber security. Tuttavia, secondo il rapporto molte delle misure trascurate sono best practices standard. La reputazione della RUAG in questo ambito è rovinata. Il Consiglio federale si impegnerà affinché la strategia aziendale venga adeguata?
2. La strategia della Confederazione basata sul rapporto di proprietà prevede uno statuto di autonomia per la RUAG; ciononostante le reti della RUAG e del DDPS rimangono strettamente interconnesse. Per quale motivo? Ciò riguarda altri uffici?
3. Per quale motivo l'UFIT ha trasferito dati al DDPS e quest'ultimo a sua volta alla RUAG?
4. Il rapporto rammenta che una politica d'informazione aperta in merito a vettori d'attacco, tecniche utilizzate ecc. è essenziale per ostacolare attacchi futuri e per aiutare potenziali obiettivi a proteggersi. Tale atteggiamento, corretto dal punto di vista della tecnica di sicurezza, è tuttavia in contraddizione diretta con l'intenzione della Confederazione e dei cantoni di partecipare (nel quadro della legge federale sulle attività informative e della legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni) all'acquisto di "trojan di Stato". Invece di contribuire a una maggiore sicurezza, l'acquisto di "trojan di Stato" sostiene il mercato dei "zero day exploits" (vulnerabilità non pubblicamente note) e di conseguenza ambienti spesso criminali. Quali sono le considerazioni del Consiglio federale in merito a tale contraddizione?
5. Il malware Epic Turla/Tavdig è conosciuto da tempo. È stato utilizzato nell'agosto del 2014 contro numerosi obiettivi, anche statali, e non ha risparmiato nemmeno la Svizzera. Tuttavia non è stato scoperto. I computer (clients e server) delle reti della Confederazione e della RUAG non vengono regolarmente scannerizzati in cerca di malware conosciuti? Non vengono effettuati audit di sicurezza, ad esempio delle "active directories"?
6. I log mostrano che sono stati sottratti 23 GB di dati. Non è possibile definire quali informazioni siano state acquisite. Tuttavia, in seguito all'identificazione della falla è stata avviata una fase di osservazione. Durante questa fase sono state sottratte informazioni sul distaccamento d'esplorazione dell'esercito 10 (DEE 10) secondo quanto riportato dai media? Non sarebbe stato possibile modificare parzialmente le informazioni sensibili per bloccare il deflusso di dati senza far capire agli aggressori di essere stati scoperti? È corretto assumere che il contenuto della maggior parte dei dati sottratti rimarrà sconosciuto?
Stellungnahme des Bundesrates
1. In occasione dei colloqui ordinari il Consiglio federale discuterà con il consiglio d'amministrazione della RUAG i riscontri tratti dal cyberattacco e si informerà in merito alle ripercussioni dell'attacco sulla strategia aziendale.
2. L'attuale mondo del lavoro è caratterizzato da una forte interconnessione, anche per quanto concerne l'infrastruttura TIC. L'incremento dell'efficienza richiesto dal Parlamento e sostenuto attivamente dal Consiglio federale richiede uno scambio di informazioni rapido ed esaustivo. Le misure di sicurezza comportano nella maggior parte dei casi un onere maggiore, spesso a scapito dell'efficienza. Dal presente caso è emerso tuttavia anche che la protezione delle reti del DDPS e dell'amministrazione ha funzionato e che l'aggressore - allo stato attuale delle conoscenze - non ha avuto accesso a dati nel DDPS.
3. L'Ufficio federale dell'informatica e della telecomunicazione (UFIT) non ha trasferito dati o applicazioni al DDPS. L'UFIT gestisce sistemi di elenchi e di gestione del personale che vengono utilizzati dalle unità amministrative dell'amministrazione federale. Nel quadro degli accertamenti in merito al cyberattacco, si procederà a una verifica e a una ridefinizione della regolamentazione dell'accessibilità di detti elenchi a singoli gruppi di utenti e dei gruppi di dati di volta in volta accessibili.
4. I presupposti concernenti le misure d'acquisto previste dalla legge sulle attività informative e il loro impiego sono disciplinati chiaramente. Nel quadro della revisione della legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni, nell'articolo 269ter del Codice di procedura penale (RS 312.0) saranno inoltre create condizioni quadro chiare per l'impiego di programmi informatici speciali. Il Consiglio federale non ritiene vi siano contraddizioni. Una politica d'informazione aperta concernente i vettori d'attacchi contribuisce a impedire ulteriori attacchi o perlomeno a individuarli tempestivamente. Le lacune della sicurezza individuate vengono inoltre immediatamente documentate in Internet in modo completo e (di regola) eliminate rapidamente dallo sviluppatore dell'applicazione interessata. I creatori di Gov Ware cercano di sfruttare le lacune nella sicurezza, tuttavia non possono né intendono ostacolarne l'eliminazione.
5. Nella rete dell'amministrazione il malware che è stato impiegato presso la RUAG sarebbe stato identificato. Le reti e i clients del DDPS, così come dell'UFIT, vengono regolarmente scannerizzati. Va tuttavia ricordato che col tempo all'interno di una determinata famiglia di malware si possono sviluppare nuove variazioni che non corrispondono sempre in modo esatto ai modelli conosciuti. Già da anni gli indicatori tecnici concernenti la famiglia di malware menzionata sono scambiati con i gestori di infrastrutture critiche (tra cui anche la RUAG) nel quadro del partneriato pubblico-privato della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (Melani). Spetta alle imprese utilizzare tali indicatori nei propri sistemi di sicurezza aziendali.
6. Dopo aver identificato la falla e aver avviato misure immediate non sono più defluiti dati dai computer infettati della RUAG. Va da sé che nel caso di un proseguimento d'esercizio controllato di un computer infettato si provvede affinché non vi sia un deflusso di dati reali. È probabile che non potranno essere identificati tutti i dati sottratti.
Risposta del Consiglio federale.