Per rafforzare l’autodeterminazione digitale della Svizzera nella protezione contro le ciberminacce, vengono adottate misure nei settori della formazione, della ricerca, dell’innovazione nonché finalizzate alla sensibilizzazione, a migliorare la valutazione della situazione di minaccia e ad ampliare le capacità di analisi delle dipendenze e dei rischi.
Obiettivo: Autodeterminazione digitale
La Svizzera espande la sua posizione come uno dei luoghi più importanti al mondo per la conoscenza, la formazione e l’innovazione anche nel campo della cibersicurezza. Sfrutta queste capacità per valutare in modo indipendente i ciber-rischi lungo le catene di fornitura, anticipare gli sviluppi tecnologici e rispondere ad essi in modo agile. La popolazione è informata sui rischi informatici e quindi acquista fiducia nell’utilizzo dei servizi digitali.
Misure
M1: Formazione, ricerca e innovazione nella cibersicurezza
M2: Sensibilizzazione
M3: Situazione di minaccia
M4: Analisi di tendenze, rischi e dipendenze
Descrizione
Per proteggersi dalle ciberminacce, la Svizzera ha bisogno di personale formato da un numero sufficiente di membri con conoscenze specifiche. Allo stesso tempo, è necessario garantire che la popolazione sia in possesso delle competenze di base per gestire le tecnologie e i servizi digitali. Le relative competenze devono essere create, veicolate e sviluppate trasversalmente attraverso gli istituti di formazione e ricerca esistenti.
La formazione, la ricerca e l’innovazione non sono solo necessarie per rafforzare la protezione contro le ciberminacce, ma dovrebbero piuttosto contribuire direttamente al successo della piazza economica svizzera. La Svizzera intende sfruttare la sua buona posizione di partenza come Paese neutrale, con un elevato livello d’istruzione e un efficiente sistema di innovazione, per diventare una delle sedi principali a livello mondiale per i servizi e i prodotti in materia di cibersicurezza.
Situazione di partenza e necessità d’intervento
La Svizzera vanta una rete efficiente di istituti di formazione e ricerca a diversi livelli. Negli ultimi anni sono state istituite diverse opportunità di formazione in materia di ciber-rischi. Tuttavia, l’elevata domanda da parte dell’economia di esperti in cibersicurezza non può ancora essere soddisfatta adeguatamente e l’insegnamento delle competenze relative a tale ambito non avviene ancora in modo costante a tutti i livelli di formazione (scuola dell’obbligo, livello secondario II, livello terziario, formazione continua).
In Svizzera, negli ultimi anni il panorama delle start-up attive nel campo della cibersicurezza si è sviluppato in maniera considerevole e diversi attori importanti hanno aperto filiali nel nostro Paese. Nonostante ciò, un confronto con le regioni leader a livello internazionale e con la capacità d’innovazione della Svizzera in altri settori rende evidente che le condizioni quadro per le innovazioni in materia di cibersicurezza devono essere ulteriormente migliorate.
Temi principali
- Formazione:
La formazione e la formazione continua in materia di cibersicurezza devono essere promosse a tutti i livelli. Mentre la scuola dell’obbligo deve insegnare principalmente le competenze di base, la formazione professionale (di base e superiore), quella universitaria e quella continua necessitano di offerte mirate e adeguate alle esigenze del mercato del lavoro. Per promuovere la formazione in materia di cibersicurezza, vengono utilizzati gli strumenti collaudati della politica formativa svizzera. Il personale docente viene supportato da materiali didattici adeguati e da specialisti della materia nell’insegnamento delle competenze in materia di cibersicurezza e viene promosso il coordinamento tra gli istituti di formazione. Per quanto riguarda il personale specializzato (p. es. nel caso delle infrastrutture critiche), si intende ampliare l’offerta di formazioni e training specifici sul territorio nazionale. - Ricerca:
La ricerca sulla cibersicurezza è finanziata attraverso i mezzi esistenti della politica di ricerca. Occorre che la ricerca di rilievo nazionale abbia un impatto maggiore sulla politica, sull’economia e sulla società. A questo scopo è necessario un maggiore coordinamento tra i ricercatori dei vari ambiti della cibersicurezza, in modo da poter sviluppare e comunicare raccomandazioni comuni. - Innovazione:
Un ambiente ideale per l’innovazione si crea attraverso l’interconnessione degli attori. Lo scambio tra scuole universitarie, aziende e autorità deve essere ulteriormente ampliato. Nei limiti delle possibilità consentite dalla legge, gli Uffici federali competenti promuovono il coinvolgimento di esperti in materia di cibersicurezza attraverso programmi di «fellowship» per l’innovazione già esistenti e simili.
Attori centrali
- Confederazione:
CYD Campus, NCSC, SEFRI - Cantoni:
CDDGP, ISP, CDPE, CSSU - Scuole universitarie:
tutte le scuole universitarie svizzere, SSCC, swissuniversities, consiglio dei PF - Economia/società:
Formazione Professionale Svizzera, associazioni TIC, Innosuisse, SATW
Descrizione
Affinché la popolazione svizzera possa utilizzare prodotti e servizi elettronici e digitali essendo consapevole dei rischi, sono necessarie misure di sensibilizzazione. L’obiettivo è creare un alto livello di consapevolezza in materia di cibersicurezza in tutti i settori e fornire strumenti che promuovano un utilizzo responsabile delle tecnologie e dei servizi digitali. In tal senso vengono anche perseguiti determinati obiettivi sul piano della protezione dei dati: da un lato si cerca di garantire che i singoli individui possano tenere sotto controllo i propri dati personali e, dall’altro, che le imprese e le organizzazioni dispongano di metodi trasparenti per il loro trattamento. Nel complesso, l’attività di sensibilizzazione intende rafforzare la resilienza della società ai ciber-rischi.
Situazione di partenza e necessità d’intervento
La sensibilizzazione rispetto alla cibersicurezza è all’ordine del giorno di numerose istituzioni, aziende e organizzazioni svizzere, sempre con l’obiettivo di rendere le aziende e i privati resilienti ai ciber-rischi. Tuttavia, sono necessari un maggiore coordinamento e un’unione degli sforzi attuali e pianificati, perché è importante sensibilizzare il più possibile in funzione dei gruppi di destinatari e delle parti interessate. Per questo motivo, occorre definire i gruppi di destinatari e accertare la necessità di misure dove vi è maggiore vicinanza ai gruppi di destinatari. I messaggi devono essere coordinati tra i mittenti per favorire, attraverso una comunicazione allineata, la comprensione da parte dei destinatari di un argomento talvolta complesso.
Esistono già molte competenze per comunicare con gruppi di destinatari specifici. Per questo motivo, gli organi e le organizzazioni esistenti e i relativi canali di comunicazione delle misure dovrebbero continuare a essere utilizzati come avveniva in precedenza (p. es. attraverso eventi e riviste di settore di associazioni, gruppi d’interesse, organizzazioni ombrello).
Temi principali
- Rilevazione del fabbisogno:
La necessità di sensibilizzazione e prevenzione nei diversi settori viene continuamente riesaminata. A fungere da base sono gli incidenti attuali e l’evoluzione delle situazioni di minaccia, nonché le valutazioni delle autorità, delle aziende e delle associazioni dell’economia in merito alla necessità di sensibilizzare i rispettivi ambiti. - Sintesi e coordinamento:
Gli attori coinvolti nella sensibilizzazione sono noti e lo scambio tra loro viene promosso in modo specifico. - Valutazione:
Gli oneri e gli effetti delle misure di sensibilizzazione vengono rilevati per determinarne il successo e poterli ottimizzare.
Attori centrali
- Confederazione:
NCSC, UFPP, UFCOM, UFT, UFAC, UFE, UFAS, UFAE, IFPDT, SIC - Cantoni:
Comuni e città, centri di competenza cantonali per la cibersicurezza, corpi di polizia cantonali, CDDGP, PSC - Economia/società:
tutte le associazioni di categoria e dell’economia interessate, le federazioni, le ONG e le singole aziende saranno coinvolte nelle campagne, laddove opportuno.
Descrizione
Per valutare la situazione di minaccia, è necessario determinare quali attori sfruttano o potrebbero sfruttare quali vettori di attacco e vulnerabilità. Inoltre, viene effettuata una ponderazione delle minacce. Ne consegue una valutazione della situazione di minaccia, sulla base della quale l’economia, la società e l’amministrazione possono identificare e attuare le misure di minimizzazione dei rischi nel modo più efficace e mirato possibile. La situazione di minaccia, pertanto, non illustra solo le minacce fondamentali e di ampia portata, ma anche quelle specifiche dell’azienda e del processo.
Situazione di partenza e necessità d’intervento
La Svizzera dispone già di rappresentazioni tattiche, operative e strategiche periodicamente aggiornate della situazione di minaccia nel ciberspazio. Queste vengono alimentate dall’osservazione degli attori artefici delle minacce e delle loro capacità effettive e potenziali, nonché dalle informazioni sui danni o sui guasti causati dai ciberincidenti.
Data la crescente digitalizzazione dei processi in vari settori dell’economia, aumenta l’esigenza di valutazioni delle minacce specifiche per questi ambiti. Tale fabbisogno deve essere soddisfatto elaborando le informazioni rilevanti per le minacce in modo appropriato per il gruppo di destinatari. Le suddette informazioni devono essere comunicate alle aziende e alle altre organizzazioni in base alle loro esigenze.
Temi principali
- Ulteriore sviluppo del monitoraggio della situazione con particolare attenzione agli attori che rappresentano una minaccia per la Svizzera a livello tattico, operativo e strategico.
- Ulteriore sviluppo della valutazione e dell’approntamento delle informazioni rilevanti per la situazione. Messa a disposizione adeguata a ogni singolo livello dell’economia, della società e dell’amministrazione.
- Supporto alla creazione di centri di condivisione e analisi delle informazioni (ISAC) specifici dei singoli settori e avvio di una stretta collaborazione per valutare le situazioni di minaccia specifiche.
Attori centrali
- Confederazione:
SIC, NCSC, - Cantoni:
corpi di polizia cantonali, centri di competenza cantonali per la cibersicurezza, uffici IT, NEDIK - Economia/società:
CERT/SOC dell’economia, ISAC, fornitori di servizi di sicurezza, SWITCH
Descrizione
Per la Svizzera è essenziale capire quale sia l’entità della dipendenza dalle tecnologie digitali, come si stia sviluppando e quali rischi comporti. Poiché le tecnologie digitali si sviluppano in maniera dinamica, è importante riconoscere tempestivamente i nuovi sviluppi e comprenderne l’impatto sulla sicurezza. Ciò dovrebbe contribuire a rafforzare la piazza economica svizzera, un Paese in cui vengono utilizzate tecnologie e servizi digitali sicuri sviluppati autonomamente.
Un’ulteriore necessità di analisi deriva dal fatto che la maggior parte delle tecnologie digitali chiave vengono attualmente prodotte all’estero. Per la Svizzera è fondamentale capire quali dipendenze esistano da questi produttori e quali rischi vi siano associati. La Svizzera deve essere in grado di prendere decisioni sull’utilizzo delle tecnologie e dei servizi digitali sulla base di analisi e valutazioni indipendenti.
Situazione di partenza e necessità d’intervento
Il monitoraggio delle tecnologie in materia di cibersicurezza viene effettuato dal Cyber-Defence Campus in stretta collaborazione con le scuole universitarie e l’economia. Le Accademie svizzere delle scienze hanno il compito di valutare le opportunità e i rischi delle nuove tecnologie.
L’analisi sistematica delle dipendenze e dei rischi legati ai prodotti TIC è decisamente meno sviluppata in Svizzera. Con l’Istituto Nazionale di Test per la Cibersicurezza (NTC), si sta creando un centro capace di esaminare a fondo i prodotti TIC per verificarne la potenziale superficie di attacco. La costituzione di questo centro permetterà ai collaboratori del CYD Campus, ma sempre più anche ad altri fornitori di servizi di sicurezza privati, di ampliare e rafforzare ulteriormente le capacità di cui già dispongono. Tali competenze sono necessarie per una valutazione indipendente della sicurezza dei prodotti utilizzati per esempio nelle infrastrutture critiche.
Un ulteriore potenziale risiede nella valutazione sistematica degli incidenti, in quanto possono contribuire a capire meglio quali sono i bersagli di determinati attacchi e le modalità per prevenirli.
Ciò richiede uno scambio di informazioni consolidato tra le autorità, i fornitori di servizi di sicurezza e le scuole universitarie, nonché la disponibilità delle aziende interessate a fornire informazioni trasparenti sugli incidenti e le relative conseguenze.
Temi principali
- Monitoraggio delle nuove tecnologie:
Insieme alle scuole universitarie, il CYD Campus anticipa gli sviluppi tecnologici nel settore della cibersicurezza e mette a disposizione i risultati dell’attività di monitoraggio a tutti gli attori rilevanti.
Cyber-Defence Campus:
Il monitoraggio delle tendenze informatiche è sempre più importante per armasuisse - Ampliamento delle competenze per l’analisi dei ciberincidenti:
Le cause e i processi degli incidenti informatici devono essere analizzati più nel dettaglio e i risultati di queste indagini devono essere sistematicamente elaborati e precisati. A tale scopo, lo scambio di dati tra autorità, assicuratori e fornitori di servizi di sicurezza viene promosso nei limiti di quanto previsto dalla legge. Le analisi sono volontarie per le persone coinvolte e hanno lo scopo di aiutare a imparare dai ciberincidenti. - Per l’analisi di prodotti TIC e delle reti digitali è possibile rivolgersi ai centri di test sul territorio nazionale, come l’Istituto nazionale di Test per la Cibersicurezza, nonché ad altri fornitori di analisi di vulnerabilità e test di penetrazione. Con la realizzazione dell’NTC vengono così rafforzate le capacità di coloro che effettuano in Svizzera analisi indipendenti dei rischi in relazione ai prodotti TIC. In tale contesto l’NTC può contare sulla collaborazione delle scuole universitarie, degli attori dell’economia privata e di diversi partner a livello internazionale. Il CYD Campus continua a puntare sul rafforzamento delle proprie capacità analitiche nel quadro degli acquisti effettuati per la Confederazione e delle relative attività preparatorie relative a prodotti TIC critici sotto il profilo della sicurezza.
- La realizzazione dell’Istituto Nazionale di Test per la Cibersicurezza è in corso di attuazione. In collaborazione con le scuole universitarie e il settore privato, si creeranno capacità per l’analisi indipendente dei rischi relative ai prodotti TIC.
- Dipendenze:
Si analizza quanto siano pronunciate in Svizzera quali dipendenze da quali prodotti e quali fornitori. Le aziende, le scuole universitarie e le autorità stabiliscono congiuntamente le modalità di esecuzione e di aggiornamento continuo di queste analisi. - Monitoraggio delle applicazioni AI nelle infrastrutture critiche:
Al fine di comprendere meglio le capacità di queste applicazioni e le ripercussioni sulla società, il loro utilizzo sarà regolarmente verificato per conto della Confederazione e dei Cantoni. - Potenziamento dello scambio tra i centri di ricerca:
La condivisione esistente nell’ambito del CYD Campus, delle scuole universitarie e del SATW viene ulteriormente ampliata e reciprocamente coordinata.
Attori centrali
- Confederazione:
CYD Campus, NCSC, TDT, SIC - Scuole universitarie:
SSCC - Economia/società:
NTC, SATW, fornitori di servizi di sicurezza,
Ultima modifica 05.03.2024
