Lexipedia

Ridistribuire finalmente le risorse finanziarie e di personale a favore della lotta per la cybersicurezza

16.3356 · Interpellanza · 2016-05-31

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

Le notizie di cyberattacchi molto preoccupanti sono sempre più frequenti. Nonostante ciò il Consiglio federale continua a investire la maggior parte delle risorse di personale e finanziarie in contesti che non presentano quasi alcun rischio per la sicurezza, basandosi sulla strana ipotesi di un grande attacco militare isolato contro la Svizzera.

1. Da quali dipartimenti e istituzioni (Parlamento ecc.) sono stati trafugati dei dati attraverso la RUAG? Quale percentuale dal DDPS?

2. L'approccio decentralizzato e coordinato della Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC) è corretto. Con quali risorse finanziarie e di personale viene messa in atto questa strategia? Quante persone e quali risorse finanziarie sono a disposizione di quali misure?

3. Perché la SNPC esclude il caso di guerra e di conflitto? Oggi non predominano proprio nel settore cyber delle forme di conflitto ibride, nelle quali si passa facilmente da una situazione normale a una situazione di elevata tensione?

4. Cosa sta facendo ora il DDPS per la cybersicurezza? Quante risorse finanziarie e di personale sono destinate a quali misure? A quanto ammontano in termini percentuali?

5. Quando finalmente il DDPS e l'esercito forniranno prestazioni sostanziali a favore delle autorità civili e ai gestori delle infrastrutture critiche, come annunciato nel rapporto annuale 2014 della SNPC, al capitolo 3.5? Con quali risorse finanziarie e di personale? Quanti specialisti in ambito cyber sta formando il DDPS?

6. Quando finalmente il Consiglio federale ridistribuirà le risorse finanziarie e di personale ora utilizzate per le improbabili minacce militari e le destinerà agli attacchi alla cybersicurezza, che non sono solo probabili ma fanno parte della quotidianità?

7. La verifica dell'efficacia del piano di attuazione SNPC prevista riguarda tutti e sette i dipartimenti? Anche l'esercito e le organizzazioni correlate (RUAG, SIC ecc.) saranno sottoposti alla verifica dell'efficacia?

8. Per quanto ancora il DDPS insisterà a presentare ogni volta delle analisi estremamente ampie sulla cybersicurezza, che vanno molto oltre il caso di conflitto e di guerra, ma che per quanto riguarda le misure si limitano strettamente all'autoprotezione dell'esercito dal punto di vista informatico?

9. Con quali Stati la Svizzera ha scambiato delle informazioni sulla propria strategia contro i cyber-rischi, conformemente alle raccomandazioni dell'OSCE sulle misure miranti a rafforzare la fiducia? Cosa prevede di fare il Consiglio federale per rafforzare la collaborazione internazionale volta a migliorare la cybersicurezza?

Stellungnahme des Bundesrates

1. L'obiettivo dell'attacco era la RUAG, non l'amministrazione federale. È confermato il deflusso di circa 23 gigabyte di dati. Non ci sono informazioni certe se siano stati trafugati o meno dati concernenti i dipartimenti archiviati presso la RUAG

2. Nel 2013 il Consiglio federale ha approvato il piano di attuazione della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) e ha autorizzato 28 posti di lavoro supplementari, in parte a tempo determinato, fino alla fine del 2017. I posti, e i relativi mezzi finanziari necessari, sono a disposizione delle misure nel modo seguente:

  • analisi dei rischi e della vulnerabilità nei settori parziali critici: 5 posti (Ufficio federale della protezione della popolazione e Ufficio federale per l'approvvigionamento economico del Paese);
  • piano di verifica concernente la vulnerabilità delle infrastrutture TIC dell'amministrazione federale: 1 posto (Organo direzione informatica della Confederazione), fino al 31 dicembre 2016;
  • casistica penale e coordinamento di casi intercantonali complessi: 1 posto (Ufficio federale di polizia), fino al 31 dicembre 2017;
  • Internet Governance: 1 posto (Ufficio federale delle comunicazioni);
  • cooperazione nella politica di sicurezza internazionale: 2 posti (Dipartimento federale degli affari esteri);
  • quadro della situazione e analisi degli eventi: 18 posti (Organo direzione informatica della Confederazione, Servizio delle attività informative della Confederazione, Servizio informazioni militare Base d'aiuto alla condotta dell'esercito).

3. La SNPC è una strategia nazionale per la minimizzazione dei cyberrischi, incentrata sulla protezione delle infrastrutture critiche. Nel quadro delle discussioni concernenti il proseguimento della strategia sarà necessario tenere conto in modo adeguato delle circostanze mutate - in particolare anche del fatto che l'ambito cyber è diventato un mezzo di attacco importante. In occasione dell'esame dell'efficacia della SNPC, il Consiglio federale deciderà anche se la divisione tra cyberrischi civili e militari è ancora appropriata.

4. Il centro di situazione della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (Melani OIC) è collocato presso il Servizio delle attività informative della Confederazione (SIC). Il SIC ha inoltre creato anche un settore d'intelligence per la lotta contro i cyberattacchi. In tale ambito l'esercito ha un compito sussidiario e di fondo non è responsabile per la protezione costante delle autorità civili e delle infrastrutture critiche. Nel SIC 17 persone lavorano per l'ambito cyber security e il centro di situazione di Melani; nell'esercito sono 25.

5. Il Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) fornisce già prestazioni sostanziali a favore delle autorità civili e dei gestori delle infrastrutture critiche. Il principio della SNPC rimane tuttavia il rafforzamento delle capacità e della responsabilità individuale degli interessati. Prima di un ampliamento del ruolo dell'esercito in tale ambito, il Consiglio federale e il Parlamento dovrebbero intavolare una discussione di fondo in merito al ruolo che l'esercito dovrebbe assumere nella minimizzazione dei cyberrischi per lo Stato, l'economia e la società. A livello federale il coordinamento della difesa contro i cyberrischi è affidato al Dipartimento federale delle finanze (DFF).

6. Per garantire la sicurezza della Svizzera è necessario tenere conto dell'intero spettro di minacce e pericoli così come è illustrato nel nuovo rapporto sulla politica di sicurezza; l'ambito cyber vi fa parte. Altre minacce come il terrorismo rimangono tuttavia anch'esse in primo piano. La minaccia nel cyberspazio è una minaccia trasversale, ovvero crea in parte nuove minacce, ma principalmente intensifica minacce esistenti, tra cui anche quelle militari. Anche con un impiego di mezzi massiccio, la protezione dell'intera struttura IT della Svizzera non potrebbe mai essere garantita unicamente dall'esercito o dalla Confederazione.

7. La verifica dell'efficacia interessa principalmente le misure attuate e il loro grado di adempimento. All'attuazione della SNPC partecipano organizzazioni provenienti da tutti e sette i dipartimenti. Non vengono tuttavia esaminati organi terzi, come ad esempio la RUAG, che non partecipano all'attuazione della SNPC. Oltre al controllo delle misure, la verifica dell'efficacia analizza anche le interfacce tra la SNPC e l'esercito.

8. Attualmente non esiste una base legale per un impiego massiccio dell'esercito per la difesa dai cyberrischi a favore dello Stato, dell'economia e della società, che vada oltre la protezione dei loro sistemi e delle loro strutture.

9. Dall'inizio del processo OSCE la Svizzera è impegnata a rafforzare la fiducia tra gli Stati anche nell'ambito cyber. Sfrutta regolarmente tale organo per presentare il modo di procedere della Svizzera per quanto riguarda la gestione dei cyberrischi (ad es. tramite una presentazione dettagliata della SNPC alla presenza di tutti gli Stati membri). Proprio a causa della natura ampiamente transfrontaliera del cyberspazio, il Consiglio federale riconosce il ruolo importante della cooperazione internazionale al fine di minimizzare i cyberrischi. Per quanto riguarda tale collaborazione, la Svizzera ha definito tre ambiti prioritari: partecipazione allo sviluppo di norme di comportamento statali, impegno a favore del rafforzamento della fiducia nell'ambito cyber, impegno a favore di iniziative volte allo sviluppo di capacità. Oltre al suo contributo attivo in seno all'OSCE per la promozione della fiducia tra gli Stati, da agosto 2016 la Svizzera, in quanto una delle 25 nazioni nell'unico organo dell'ONU che si occupa di cybersicurezza, si impegna a favore dello sviluppo di norme comportamentali a livello statale e del rafforzamento del diritto internazionale. Nel quadro della creazione di capacità e competenze specifiche dell'ambito cyber si tratta, da un lato, di migliorare le proprie capacità cyber e, dall'altro, di diminuire il divario digitale (digital divide) concernente le iniziative intraprese. La cybersicurezza è inoltre parte integrante di consultazioni bilaterali in materia di politica di sicurezza.

Risposta del Consiglio federale.