Lexipedia

Standard di sicurezza per i dispositivi connessi a Internet, che costituiscono una delle maggiori minacce per la cyber-sicurezza

17.4295 · Postulato · 2017-12-15

Dipartimento delle Finanze

Liquidato

Wortlaut

Il Consiglio federale è invitato a presentare un breve rapporto che illustri come, nel settore in rapida crescita dei dispositivi connessi a Internet ("Internet of Things", loT), si possa migliorare la sicurezza di questi dispositivi e renderne più difficile l'uso improprio per fini criminali.

Elenco non esaustivo dei punti da esaminare o illustrare:

1. una breve panoramica dei principali attacchi in rete tramite dispositivi connessi a Internet;

2. un resoconto delle direttive internazionali in materia di sicurezza applicabili a questi dispositivi (analogamente alle norme di omologazione per gli apparecchi elettrici) e del loro stato di attuazione in Svizzera;

3. l'introduzione di direttive interne per la Confederazione e le aziende parastatali che comprendano condizioni di sicurezza per l'acquisto e l'uso dei dispositivi connessi a Internet;

4. l'introduzione di direttive in materia di sicurezza per i gestori di infrastrutture critiche: requisiti di sicurezza da rispettare per l'acquisto e l'uso di questi dispositivi;

5. la possibilità di aumentare, tramite obblighi di notifica o incentivi, le probabilità che le lacune note in materia di sicurezza dei dispositivi siano segnalate a un servizio centrale (ad es. Melani);

6. la possibilità di chiedere ai produttori, almeno durante il periodo di garanzia, aggiornamenti di sicurezza per colmare le lacune riscontrate.

Il rapporto deve essere semplice e conciso e presentare eventualmente proposte concrete per l'attuazione a livello di ordinanza o di legge. Laddove possibile, è preferibile il sostegno all'elaborazione di standard internazionali o al loro recepimento piuttosto che una soluzione specifica per la Svizzera.

Begründung

Secondo gli esperti la cyber-criminalità, che comprende gli attacchi DDOS ("Distributed Denial of Service"), si serve sempre più non solo di computer o server tradizionali, ma anche di altri dispositivi collegati in rete come i router, i frigoriferi, le telecamere di sorveglianza o persino gli altoparlanti (cfr. http://nyti.ms/2zdJ41G, http://glätt.li/iotplanb). Per questi dispositivi le norme di sicurezza sono insufficienti. Sebbene in vista della loro importazione debbano soddisfare gli standard elettronici/radio usuali, i dispositivi non devono tuttavia rispettare i principi più elementari della sicurezza dell'informazione, come la rinuncia a password standard (admin/admin) o la possibilità d'installare facilmente gli aggiornamenti di sicurezza. Purtroppo lo standard generale di sicurezza contro la pirateria informatica e l'uso improprio di questi dispositivi è molto basso e, allo stesso tempo, i dispositivi sono sempre più diffusi anche nel settore della grande distribuzione (cfr. http://glätt.li/iotstat).

Antrag des Bundesrates

Il Consiglio federale propone di accogliere il postulato.

Stellungnahme des Bundesrates

Il Consiglio federale ritiene opportuno esaminare le questioni sollevate riguardo alla sicurezza dei dispositivi connessi a Internet e redigere un rapporto al riguardo. Constata tuttavia che tali questioni riguardano tematiche complesse. Il breve rapporto richiesto dovrà limitarsi a fornire spiegazioni basilari, in particolare per quanto riguarda eventuali proposte di regolamentazione, evitando di dare risposte definitive. Eventuali progetti legislativi richiesti dall'ambiente politico dovranno essere esaminati in un momento successivo.

Il Consiglio federale propone di accogliere il postulato.