23.3755 · Interpellanza · 2023-06-15
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
1. Gli ultimi attacchi di cui si è a conoscenza sferrati contro la Confederazione, i Cantoni, i Comuni e i rispettivi fornitori sono gravi? Come devono essere classificati?
2. L’apparenza inganna o gli attacchi messi a segno sono aumentati di frequenza e intensità?
3. Recentemente Florian Schütz, delegato federale alla cibersicurezza, e il Centro nazionale per la cibersicurezza (NCSC) hanno espresso un giudizio positivo sulla ciberprotezione in seno alla Confederazione e ai Cantoni. Alla luce dei fatti avvenuti negli ultimi giorni, nelle ultime settimane e negli ultimi mesi, come va interpretata la situazione?
4. Vi è un collegamento con il discorso di Zelensky o con il conflitto in Ucraina?
5. Siamo già in una ciberguerra e non ce ne rendiamo conto?
6. Come vengono trattati i casi summenzionati? Quale insegnamento possiamo trarne?
7. L’entità dei danni è nota? A livello finanziario, ma anche nel caso dell'attacco sferrato contro XPLAIN o della fuga di dati operativi delle autorità di sicurezza, quali sono le conseguenze per la nostra architettura di sicurezza e per il nostro futuro?
Stellungnahme des Bundesrates
Ad domanda 1: per quanto riguarda i ciberattacchi di cui si è venuti a conoscenza nei mesi di maggio e giugno 2023, occorre distinguere tra gli attacchi alla disponibilità dei siti web della Confederazione e dei Cantoni e l’attacco ransomware sferrato contro la ditta Xplain. Gli attacchi alla disponibilità dei siti web sono stati effettivamente eccezionali per l’elevato numero di siti web colpiti e il collegamento alla guerra contro l’Ucraina rivendicato dagli stessi autori. Tuttavia è stato possibile contenere questi attacchi in breve tempo e in nessun momento essi hanno messo in pericolo la sicurezza della Svizzera. Non vi è mai stato il rischio che informazioni confidenziali o segrete della Confederazione o dei Cantoni potessero essere rubate o divulgate. Questi attacchi non possono quindi essere qualificati come gravi. Per contro, l’attacco sferrato contro la ditta Xplain ha comportato il furto e la pubblicazione di dati sensibili e deve quindi essere considerato come nettamente più grave.
Ad domanda 2: la frequenza dei ciberattacchi contro imprese e autorità in Svizzera è di nuovo aumentata nel 2023, dopo la diminuzione registrata nel 2022. Questa tendenza si osserva a livello internazionale e non riguarda soltanto la Svizzera. Tuttavia non si tratta di un’intensificazione della frequenza degli attacchi.
Ad domande 3 e 6: gli attacchi alla disponibilità dei siti web possono essere considerati come atti di vandalismo digitale. Essi compromettono la cibersicurezza della Confederazione soltanto in minima parte, perciò il rischio legato ad essi è stato considerato sostenibile. L’NCSC effettuerà un’analisi sugli attacchi avvenuti ed esaminerà misure ad hoc per prevenire simili incidenti.
Sebbene l’attacco contro Xplain non abbia colpito l’infrastruttura TIC della Confederazione e dei Cantoni, esso mostra chiaramente che la cibersicurezza relativa alla gestione dei fornitori deve essere migliorata. La Confederazione e i Cantoni devono prestare maggiore attenzione affinché anche i fornitori osservino gli standard di sicurezza della Confederazione. La legge sulla sicurezza delle informazioni, che entrerà presumibilmente in vigore il 1° gennaio 2024, fornisce al riguardo la necessaria base legale. Essa definisce la procedura di sicurezza nell’impiego di mezzi informatici (art. 16) e rafforza, attraverso la procedura di sicurezza relativa alle aziende (art. 49-73), i mezzi di cui dispone la Confederazione per verificare la sicurezza delle informazioni delle aziende a cui impartisce mandati sensibili.
Ad domanda 4: secondo le indicazioni fornite dagli aggressori, gli attacchi alla disponibilità dei siti web hanno un nesso politico diretto con la guerra in Ucraina. Si è anche fatto riferimento al discorso pronunciato dal presidente ucraino Zelensky il 15 giugno 2023 davanti al Parlamento svizzero. Dalle dichiarazioni degli aggressori si evince che l’obiettivo principale era sortire un effetto propagandistico e dare l’impressione che la Svizzera sia coinvolta in una ciberguerra.
Ad domanda 5: no. Il Consiglio federale prende molto sul serio la minaccia rappresentata dai ciberattacchi. Classificare questi attacchi come ciberguerra risulta eccessivo rispetto ai rischi connessi e di conseguenza asseconda l’intenzione degli aggressori di diffondere insicurezza.
Ad domanda 7: attualmente non è possibile quantificare i danni arrecati dall’attacco contro Xplain in quanto i lavori di sostituzione o di ripristino dei sistemi interessati non sono ancora conclusi. Subito dopo essere venute a conoscenza dell’attacco, le unità amministrative interessate hanno attuato misure urgenti per garantire la sicurezza operativa. Le password e i dati di accesso pubblicati sono stati ad esempio immediatamente bloccati. L’inchiesta amministrativa disposta dal Consiglio federale deve indicare, tra le altre cose, quali misure devono essere adottate per eliminare i rischi attuali per la sicurezza in relazione ai fornitori di prestazioni esterni.
Gli attacchi alla disponibilità dei siti web non hanno comportato una perdita di dati e hanno causato danni di lieve entità.