Lexipedia

24.4398 · Interpellanza · 2024-12-18

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

Un anno fa, e poi a novembre 2024, il Consiglio federale ha espresso il proprio parere in merito all’interpellanza 23.3689 relativa ai sistemi a prova di sicurezza quantistica e all’interpellanza 24.4215. Tuttavia questo parere aveva soltanto un legame generico con la Svizzera. In riferimento alla Confederazione in concreto, il Consiglio federale è invitato a rispondere alle seguenti domande: Quale strategia persegue la Confederazione per l’implementazione e il passaggio a una crittografia a prova di sicurezza quantistica per i sistemi della Confederazione e per le infrastrutture critiche? Come vengono identificati i dati e i sistemi rilevanti (e i relativi rischi e sistemi crittografici)? Viene prestata particolare attenzione all’urgenza di determinati scenari, come gli attacchi «Harvest Now/Decrypt Later»?Quali disposizioni vengono attuate per i sistemi e i prodotti della Confederazione (compresi i passaporti svizzeri) che sono interessati da tale rischio e che richiedono processi di conversione a lungo termine?Quale priorità verrà data alla migrazione di sistemi e prodotti della Confederazione e dell’industria? Saranno create delle linee guida? Come affronterà la Confederazione i nuovi acquisti previsti per i prossimi anni che sono interessati da tale rischio? Ad oggi vengono già attuate disposizioni per preparare i sistemi ed evitare una nuova implementazione? (Esempi: lo Swiss Government Cloud o l’infrastruttura di fiducia dell’Id-e)Chi è responsabile della strategia e della policy relativa a Quantum Safe, ovvero alla crittografia a prova di sicurezza quantistica all’interno della Confederazione? Chi è responsabile dell’attuazione e della sorveglianza di Quantum Safe, ovvero della crittografia a prova di sicurezza quantistica all’interno della Confederazione?Perché la Confederazione dovrebbe concentrarsi sulla crittografia post-quantistica o sullo standard di distribuzione a chiave quantistica?

Begründung

La diffusione di potenti computer quantistici si avvicina sempre di più e con essa anche tutti i problemi per la sicurezza che ne derivano. Le odierne tecnologie di crittografia sono quindi vulnerabili. Finora per decodificare un codice erano necessari diversi anni di calcolo. Con i computer quantistici la situazione cambierà bruscamente e gli attuali sistemi di crittografia diventeranno vulnerabili. Già oggi i criminali si impossessano di dati codificati per poterli un giorno decifrare con la tecnologia quantistica.

Nell’aprile 2024 gli Stati membri dell’UE sono stati invitati a sviluppare una strategia complessiva per l’introduzione della crittografia a prova di sicurezza quantistica al fine di garantire il passaggio coordinato e sincronizzato tra i vari Stati e i loro settori pubblici..

Stellungnahme des Bundesrates

In merito alle domande 1, 2 e 5) La protezione crittografica delle informazioni è un elemento centrale della sicurezza delle informazioni. Il livello di protezione necessario è stabilito dalla classificazione delle informazioni ai sensi dell’articolo 13 della legge sulla sicurezza delle informazioni (LSIn; RS 128). Quando si trattano informazioni utilizzando mezzi informatici occorre definire la necessità di protezione delle informazioni, da cui derivano i requisiti tecnici e organizzativi per la sicurezza di tali mezzi (art. 6-19 LSIn). Questa procedura viene utilizzata anche per stabilire quale protezione crittografica è necessaria e costituisce la base decisionale per eventuali priorizzazioni nell’attuazione di soluzioni a prova di sicurezza quantistica. Nella sua risposta all’intervento parlamentare 23.3689, il Consiglio federale ha illustrato le misure valide per la cifratura di informazioni con classificazione SEGRETO. In merito alla domanda 3) Per quanto riguarda lo scenario relativo agli attacchi «Harvest Now/Decrypt Later», va constatato che la Confederazione non ha mai ritenuto che la protezione crittografica da sola fosse sufficiente a garantire completamente la sicurezza delle informazioni classificate durante tutto il loro ciclo di vita. L’accesso a tali informazioni deve essere protetto da ulteriori misure tecniche e organizzative, così che non possano essere trafugate da persone non autorizzate. È quindi importante che i requisiti di protezione e la classificazione delle informazioni siano registrati correttamente. In merito alle domande 4, 6 ,7 e 8) Nella sua risposta all’intervento parlamentare 24.4215 il Consiglio federale afferma che, sebbene i lavori di standardizzazione internazionali relativi alla crittografia a prova di sicurezza quantistica stiano procedendo, non sono ancora abbastanza avanzati per stabilire tempistiche, direttive o linee guida vincolanti. Sulla base dell’articolo 21 e dell’articolo 29 dell’ordinanza sulla sicurezza delle informazioni (RS 128.1), il Servizio specializzato della Confederazione per la sicurezza delle informazioni in seno alla Segreteria di Stato della politica di sicurezza può emanare tali direttive. A tal fine si avvale delle conoscenze specialistiche dell’Ufficio federale della cibersicurezza, del Servizio specializzato Crittologia dell’esercito e del Cyber Defence Campus dell’Ufficio federale dell’armamento di armasuisse. I dipartimenti garantiscono l’attuazione delle direttive del servizio specializzato e ne verificano l’applicazione. Le direttive indicano il livello minimo di protezione da soddisfare per l’esercizio e gli acquisti. In merito alla domanda 9) La Confederazione si concentra sulla crittografia post-quantistica. Le procedure che utilizzano la distribuzione a chiave quantistica non offrono alcuna soluzione attuabile, perlomeno allo stadio attuale di sviluppo, e non sono nemmeno raccomandate dalla maggior parte dei servizi specializzati internazionali.