Lexipedia

19.3121 · Mozione · 2019-03-14

Dipartimento delle Finanze

Liquidato

Wortlaut

A seguito dello scandalo portato alla ribalta dall'emittente della Svizzera romanda RTS concernente la fuga di migliaia di identificatori di connessione riguardanti l'Amministrazione federale e i Cantoni svizzeri presento la seguente mozione.

Per tutelare la confidenzialità dei dati nonché le infrastrutture della Confederazione e dei Cantoni, il Consiglio federale è invitato a mettere a disposizione del servizio Melani le risorse necessarie affinché possa svolgere i seguenti compiti:

1. Vigilare su nuove fughe di dati d'identificazione dette "zero-day", anche nella cosiddetta rete scura (darknet).

2. Ottenere in modo regolare e sistematico le fughe di dati e di raccolte di dati d'identificazione.

3. Effettuare un'analisi completa di queste banche dati per garantire la sicurezza dello Stato.

4. Trasmettere i risultati delle analisi a ogni Cantone affinché siano elaborati in modo adeguato.

5. Rendere note le vulnerabilità "zero-day" presso il Servizio delle attività informative della Confederazione (SIC) e i servizi di polizia per informare tempestivamente in particolare le persone responsabili della protezione delle infrastrutture di comunicazione e di memorizzazione di dati.

Il Consiglio federale è invitato a proporre una modifica delle leggi interessate (legge federale del 25 settembre 2015 sulle attività informative, LAIn, legge federale del 18 marzo 2016 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni, LSCPT, ecc.) affinché questi compiti siano compatibili con la legge.

Begründung

La vigilanza tecnologia di queste banche dati e delle vulnerabilità "zero-day" consentirà di anticipare l'utilizzazione di dati rubati e lo sfruttamento delle falle di sicurezza. L'obiettivo è quindi di limitare le possibilità di utilizzazione rappresentate da tali vulnerabilità per migliorare la sicurezza nazionale. L'analisi di questi dati concentrata in una sede centrale consentirà di coprire tutti i livelli dello Stato in maniera ottimale e poco onerosa.

Si rammenta che una vulnerabilità zero-day (0-day) rappresenta una vulnerabilità informatica che non è stata oggetto di alcuna divulgazione o per la quale non si conosce nessun aggiornamento di sicurezza. Di conseguenza sono le criticità più pericolose.

Antrag des Bundesrates

Il Consiglio federale propone di respingere la mozione.

Stellungnahme des Bundesrates

Le autorità federali (in particolare la Centrale Melani) sono a conoscenza già da metà gennaio 2019 della fuga di dati in questione rivelata dai media. Non si tratta tuttavia di una nuova fuga di dati, quanto piuttosto di una raccolta di vari dati, in parte molto datati, che sono stati rubati in occasione di precedenti ciberattacchi. Il Consiglio federale prende posizione sui punti sollevati dall'autore della mozione nel modo seguente:

1. Melani e altre unità organizzative dell'Amministrazione federale attive nel campo della cibersicurezza (ad es. il Servizio delle attività informative della Confederazione, e l'Ufficio federale di polizia ecc.) dispongono già di una rete internazionale operativa. Queste organizzazioni condividono costantemente le proprie informazioni, incluse quelle concernenti le fughe di dati e le vulnerabilità "zero-day". Per quanto riguarda le indagini di polizia condotte sulla "rete scura", il Consiglio federale ha fornito informazioni nella sua risposta all'interpellanza Imark 16.3829.

2. Dalle fonti menzionate al punto 1, le unità organizzative dell'Amministrazione federale attive nel campo della cibersicurezza attingono anche informazioni sui dati trafugati e le valutano nel quadro dei mezzi di cui dispongono a livello finanziario, delle infrastrutture e delle risorse di personale. Con la creazione del Centro di competenza in materia di cibersicurezza e l'attuazione della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC), il Consiglio federale intende rafforzare la capacità di acquisire e analizzare tali informazioni.

3. L'esempio della fuga di dati "Collection #1-5" mostra che tali analisi oggigiorno vengono già effettuate. Poco dopo aver preso conoscenza della fuga di dati, le autorità federali competenti (in particolare il Computer Security Incident Response Team, CSIRT dell'UFIT, il Military Computer Emergency Readiness Team, milCERT e Melani) hanno avviato una relativa analisi per individuare gli indirizzi e-mail dei collaboratori dell'Amministrazione federale interessati. Gli uffici e i dipartimenti coinvolti sono stati prontamente informati dai servizi summenzionati e hanno ricevuto raccomandazioni per gestire questo problema.

4. Ogni Cantone svizzero fa parte della "cerchia ristretta di clienti Melani" e può di conseguenza accedere alla banca dati "Collection #1-5" nonché scambiarsi informazioni sugli svariati ciber-rischi utilizzando un portale sicuro.

5. I gestori di infrastrutture critiche ricevono già attualmente informazioni rilevanti per la sicurezza da parte di Melani (anche in merito a vulnerabilità "zero-day"). La legge federale sulle attività informative (LAIn; art. 6, cpv. 5 in combinato disposto con l'art. 6 cpv. 1 lett a n. 4) costituisce la base giuridica per tali comunicazioni. Nel quadro dell'attuazione della SNPC, viene esaminata l'eventuale necessità di creare ulteriori basi giuridiche affinché l'Amministrazione federale possa informare attivamente altri settori interessati (infrastrutture critiche, PMI, popolazione ecc.).

Il Consiglio federale propone di respingere la mozione.

Trattamento delle fughe di dati a livello nazionale | Lexipedia | Lexipedia