Lexipedia

23.1050 · Interrogazione · 2023-09-28

Cancelleria federale

Liquidato

Wortlaut

Lo scorso giugno, un’autorità federale statunitense anonima ha rilevato accessi illegali ai propri account nel cloud Azure di Microsoft. Dall’accertamento è emerso che alcuni hacker cinesi hanno rubato una Master key di Microsoft al fine di utilizzarla per i propri scopi. In seguito Microsoft ha dovuto riconoscere che questa Master key non solo consente l’accesso a tutti gli account e-mail con autentificazione personale come Sharepoint, ma anche ad altri strumenti come il software per conferenze Teams, il servizio cloud OneDrive, le applicazioni per clienti con login Microsoft ecc. Dal punto di vista della sicurezza, non si può escludere che alcune parti dell’infrastruttura cloud siano ancora compromesse.

  1. Come valuta il Consiglio federale la portata dell’incidente per l'Amministrazione federale?

  2. Il Consiglio federale possiede diritti in materia di verifica presso il fornitore?

  3. I file di log aggiuntivi messi a disposizione da Microsoft sono stati esaminati? Se sì, cosa è stato trovato?

  4. Quali misure ha adottato il Consiglio federale per individuare la presenza di eventuali elementi compromessi nelle applicazioni dell'Amministrazione già trasferite nel cloud di Microsoft?

  5. In che modo l'attacco subito da Microsoft influenza la decisione già adottata di passare con la burotica a Office 365?

Stellungnahme des Bundesrates

In base alle dichiarazioni rilasciate dall’azienda Microsoft nel suo comunicato ufficiale dell’11 agosto 2023 nonché alle informazioni attualmente disponibili sulle indagini interne, l’integrità dei sistemi dell’Amministrazione federale non è stata compromessa dalla violazione della sicurezza Storm-0558.Microsoft conferisce ai suoi clienti diritti contrattuali in materia di verifica che consentono loro, se necessario, di far eseguire un controllo del trattamento dei dati da esperti indipendenti e di accedere a rapporti di controllo interni a Microsoft.Sì, i file di log sono stati esaminati dai fornitori interni. Dalle verifiche non è emersa alcuna compromissione degli account della Confederazione. Ad oggi il cloud non contiene applicazioni M365 produttive. A titolo precauzionale sono stati effettuati un monitoraggio del flusso dei dati e un’analisi dei file log ed entrambe le operazioni sono state integrate nell’organizzazione di esercizio del fornitore interno di servizi. Tutte le chiavi MSA (Microsoft Account Consumer Signing) attive prima dell’attacco, comprese quelle acquisite dagli hacker, sono state disabilitate. Microsoft ha inoltre corretto l’errore di progettazione presente nel processo di convalida dei token. L’Amministrazione federale ha provveduto ad adottare misure immediate volte a migliorare la comunicazione interna nei casi di violazioni della sicurezza. Intanto il Centro nazionale per la cibersicurezza (NCSC), il Settore Trasformazione digitale e governance delle TIC (TDT) e l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) stanno lavorando alla creazione di un’organizzazione preposta alle emergenze dell'infrastruttura cloud.Quanto accaduto con Storm-0558 non influenza in alcun modo la decisione di passare con la burotica a Office 365, poiché già prima del verificarsi dell’evento fu deciso di vietare il trattamento di informazioni confidenziali (secondo l’OPrl o dall’1.1.2024 secondo la LSIn) o di dati personali degni di particolare protezione (secondo la LPD) nel cloud. A tal fine, nell’ambito del progetto CEBA sono previsti provvedimenti tecnici e organizzativi specifici.