In virtù delle loro attività pubbliche, i collaboratori delle autorità svolgono un ruolo chiave nella catena della sicurezza informatica. Per adempiere al mandato legale è essenziale che memorizzino, elaborino e, in alcuni casi, trasmettano dati degni di protezione. Sono inoltre quotidianamente in stretto contatto con partner interni ed esterni attraverso vari canali di comunicazione. Per i motivi citati è importante garantire una comunicazione sicura. Qui di seguito sono riportati alcuni suggerimenti e strumenti.
Firma digitale
Lo scopo di un’e-mail con firma digitale è quello di inviare informazioni dal mittente al destinatario in modo tale che il mittente sia identificabile in maniera chiara e nessuno possa manipolare l’e-mail inosservato nel percorso dal mittente al destinatario. Ciò si ottiene utilizzando la crittografia asimmetrica. La firma digitale soddisfa così la necessità di autenticità e integrità.
Importante: non confondere la firma digitale con la propria firma di posta elettronica che si può inserire in un’e-mail, composta ad esempio dal proprio nome e indirizzo web.
Crittografia dell’e-mail
Un’e-mail con firma digitale garantisce l’integrità ma non il suo carattere confidenziale; a tal fine è necessaria la crittografia dell’e-mail. Si fa una distinzione tra crittografia del livello di trasporto e crittografia end-to-end. Con la crittografia del livello di trasporto, il percorso tra i partner di comunicazione è crittografato con TLS (Transport Layer Security), ma il messaggio stesso viene archiviato in maniera non crittografata. Con la crittografia end-to-end, il messaggio stesso è crittografato e di solito viene archiviato in questo modo.
OpenPGP segue un modello di fiducia decentralizzato, mentre S/MIME utilizza i certificati di un’autorità di certificazione («certificate authority», CA) riconosciuta ed è quindi un modello di fiducia centralizzato (la CA è la «Trusted Third Party», la terza parte fidata).
In linea di principio, le informazioni e i dati confidenziali non dovrebbero essere trasmessi tramite canali non crittografati. Le informazioni confidenziali da trasmettere a servizi esterni devono essere rigorosamente crittografate o inviate per posta. Se uno scambio crittografato con S/MIME od OpenPGP non è possibile, vi è l’opzione di inserire un messaggio in un archivio ZIP crittografato e scegliere una password sicura. Occorre notare che in tal caso viene utilizzata la crittografia AES (Advanced Encryption Standard) e non la vecchia crittografia ZIP 2.0. La password deve quindi essere inviata attraverso un canale sicuro (ad es. tramite Threema o Signal oppure per telefono).
Telefono
Per le telefonate riservate, l’UFCS raccomanda la crittografia end-to-end tra gli interlocutori. La crittografia end-to-end significa che i messaggi vengono crittografati dal mittente e decifrati solo dal destinatario previsto. Lungo il percorso non devono mai trovarsi in forma non crittografata. Ciò significa che solo i partecipanti alla telefonata possono decifrare la chiamata.
Attenzione: mentre si è al telefono fare attenzione alle persone che ascoltano nelle vicinanze.
Riunioni di carattere confidenziale
Nelle riunioni di carattere confidenziale, i telefoni cellulari e i dispositivi indossabili («wearable») dovrebbero sempre rimanere fuori dalla sala riunioni. Se un dispositivo è stato precedentemente infettato, ad esempio, da malware o se è installata un’app dannosa, i cibercriminali possono potenzialmente accedere ai suoni e alle immagini della riunione tramite la fotocamera integrata.
Lavorare in luoghi pubblici
Oggigiorno, grazie a modelli di lavoro flessibili, i collaboratori delle autorità hanno l’opportunità di lavorare nei trasporti pubblici, in un ristorante o in un bar. Ciò comporta molti vantaggi per i collaboratori, ma comporta anche alcuni rischi. Per proteggere i dati degni di protezione dagli sguardi indiscreti di concittadini, l'UFCS raccomanda di utilizzare nei luoghi pubblici una pellicola privacy per lo schermo (alternativa per i dispositivi HP: combinazione di tasti «fn+F2»).
Ultima modifica 01.01.2024