17.3519 · Interpellanza · 2017-06-15
Dipartimento delle Finanze
Liquidato
Wortlaut
Alcuni media (ad es. la "Basler Zeitung" e la "Weltwoche") hanno tra fine maggio e inizio giugno riferito che tra la fine del 2014 e il mese di febbraio 2017 la rete informatica della Confederazione era sistematicamente e facilmente violabile da parte di utenti esterni non autorizzati. Da quanto riferito dai media, emerge che, a causa di un errore, utenti esterni non autorizzati potevano senza registrazione e legittimazione accedere ad intranet e banche dati contenenti informazioni riservate dell'Amministrazione federale. Il quadro dipinto è preoccupante e genera l'immagine di uno Stato incapace di accorgersi di criticità, di difendersi, di reagire e in seguito di comunicare. In Svizzera pare globalmente esserci un approccio troppo poco attento ai pericoli generati da "infiltrazioni informatiche".
Considerate queste premesse, è opportuno fare chiarezza:
1. Il Consiglio federale conferma quanto emerso dai media in merito alla possibilità di infiltrazione sistematica da parte di utenti esterni non autorizzati in aree riservate e banche dati chiuse della rete informatica della Confederazione tra il 2014 e il 2017? Cosa è realmente successo?
2. Quando è emersa la situazione e quando ne ha preso atto il Consiglio federale?
3. Quali dipartimenti sono stati coinvolti?
4. Perché il Consiglio federale non ha comunicato attivamente quanto successo?
5. A quali dati avevano potenzialmente accesso gli utenti non autorizzati esterni? Vi sono state infiltrazioni non autorizzate? Sono stati sottratti o modificati dati? Se non fosse possibile determinarlo, perché?
6. Al momento in cui si è venuti a conoscenza della violazione, quali misure sono state prese?
7. Sono state avviate inchieste amministrative o è in corso un'azione penale?
8. Alfine di informare, ma soprattutto sensibilizzare, i funzionari delle unità coinvolte, come si è comunicato internamente?
9. Vi è stata una comunicazione verso altri servizi della Confederazione, soprattutto nell'ambito informatico?
Stellungnahme des Bundesrates
1. È vero che nel periodo 2014-2017 si è prodotta una falla di sicurezza che avrebbe potuto permettere a utenti non autorizzati di accedere a un numero limitato di applicazioni della Confederazione.
2. Il 1° gennaio 2017 alcuni specialisti della Confederazione hanno constatato delle anomalie nel servizio di accesso in questione. Gli esperti competenti hanno immediatamente delimitato il difetto per poi correggerlo definitivamente il 9 febbraio 2017. Dopo una prima analisi della situazione, il 15 febbraio 2017 il capo del dipartimento interessato è venuto a conoscenza della falla di sicurezza e dei provvedimenti adottati. Il Consiglio federale ne è stato informato nel quadro del rapporto annuale sulla sicurezza.
3. Le anomalie riguardavano un numero limitato di applicazioni con una procedura di accesso specifica. Le applicazioni in questione sono state individuate e i responsabili informati. Per motivi legati alla sicurezza l'elenco dei dipartimenti e delle applicazioni interessati non è reso pubblico.
4. Le informazioni sull'incidente di sicurezza sono state comunicate internamente attraverso gli organi competenti. Esse contenevano anche indicazioni dettagliate sul funzionamento del servizio di accesso interessato e pertanto erano classificate "confidenziali". I responsabili dell'informatica e della sicurezza in seno ai dipartimenti e alla Cancelleria federale sono stati informati tempestivamente dal Consiglio informatico della Confederazione e dal Comitato per la sicurezza informatica.
5. Dalle indagini svolte non è emerso che la falla di sicurezza sia stata sfruttata indebitamente. Tuttavia non è possibile dimostrarlo con certezza e quindi escluderlo del tutto. Le registrazioni del servizio di accesso interessato non sono sufficienti per formulare conclusioni definitive al riguardo. Con l'eliminazione della falla di sicurezza si è anche provveduto ad assicurare in futuro la disponibilità delle registrazioni per casi simili.
6. Una volta scoperta, la falla di sicurezza è stata immediatamente eliminata dagli specialisti della Confederazione. L'incidente è poi stato esaminato e i risultati ottenuti hanno permesso di adottare una serie di provvedimenti a breve e lungo termine. I responsabili gerarchici e i responsabili delle applicazioni ne sono stati informati.
7. No, non vi sono indicazioni che lasciano supporre un'infrazione penale o disciplinare che abbia portato alla falla di sicurezza. Per questo motivo l'Ufficio federale dell'informatica e della telecomunicazione non ha ritenuto necessario avviare un'inchiesta amministrativa.
8. Gli organi competenti sono stati informati tempestivamente. Nel mondo della tecnologia è ormai consueto aggiornare regolarmente software e sistemi con patch di sicurezza rilasciate dai fornitori. Inoltre sono state adottate misure interne per migliorare il controllo della qualità una volta terminati gli aggiornamenti del citato sistema di accesso.
9. L'errore è stato esaminato in stretta collaborazione con i fornitori di prestazioni interessati.
Risposta del Consiglio federale.