Obiettivo: Servizi e infrastrutture digitali sicuri

Descrizione

L’impiego delle tecnologie digitali porta all’automazione dei processi e all’interconnessione. Ne conseguono sistemi complessi che potenzialmente presentano un’ampia superficie di attacco. Tale complessità, unita ai costi spesso elevati e ai tempi stretti dello sviluppo e dell’applicazione di tali tecnologie, aumenta il rischio di vulnerabilità dei sistemi. Per la cibersicurezza, è essenziale prevenire l’insorgere di tali vulnerabilità laddove possibile e riconoscere tempestivamente quelle esistenti, nonché porvi rapidamente rimedio. È importante che le vulnerabilità vengano pubblicate solo dopo l’identificazione e l’attuazione delle contromisure («Coordinated Vulnerability Disclosure»), altrimenti la pubblicazione rafforza la posizione degli autori degli attacchi. 

Situazione di partenza e necessità d’intervento

La Svizzera dispone di elevate conoscenze tecniche necessarie per identificare le vulnerabilità e analizzarne le cause, tuttavia, tale potenziale non è ancora sfruttato a sufficienza. I ricercatori nel campo della sicurezza sono poco incentivati a cercare e segnalare i punti deboli e manca un coordinamento nazionale nell’analisi delle vulnerabilità. Inoltre, è essenziale anche la stretta collaborazione con gli uffici specializzati di altri Paesi e le organizzazioni internazionali. Un presupposto per una gestione più efficace delle vulnerabilità è la creazione di basi legali per l’analisi, la segnalazione e la pubblicazione delle vulnerabilità. 

Infine, è necessario impegnarsi per garantire che le lacune di sicurezza vengano comunicate rapidamente e anche colmate. Troppe aziende e organizzazioni restano vulnerabili perché non risolvono le vulnerabilità, anche se le soluzioni (patch) sarebbero già disponibili da tempo. 

Temi principali

• Istituzionalizzare l’hackeraggio etico:
  Vengono condotti programmi di «bug bounty» e «public trust». L’hackeraggio etico viene promosso migliorando la certezza del diritto per gli hacker etici.
• Coordinated Vulnerability Disclosure:
  Per creare sicurezza e fiducia attraverso la trasparenza, si incoraggia un approccio coordinato al rilevamento delle vulnerabilità. A tal fine, vengono definite e diffuse direttive e creati incentivi per la segnalazione delle vulnerabilità.
• Centralizzare la comunicazione delle vulnerabilità:
  L’NCSC si posiziona come fulcro del coordinamento e della pubblicazione delle segnalazioni di vulnerabilità e diffonde informazioni e avvisi sulle nuove vulnerabilità e sulle soluzioni tecniche e organizzative per correggerle.
• Rilevamento automatico delle vulnerabilità:
  Vengono sviluppate e distribuite soluzioni per il rilevamento automatico delle vulnerabilità e la relativa correzione.
• Ecosistema software:
  Lo sviluppo di software sicuri (soprattutto nel campo dei software open source) è supportato dalla collaborazione con organizzazioni e iniziative in questo campo. L’obiettivo è creare incentivi, affinché la sicurezza nello sviluppo di software venga presa tempestivamente in considerazione. Per quanto concerne lo sviluppo di componenti TIC, occorre definire caratteristiche di sicurezza verificabili a livello formale.
• Cibersicurezza per i dispositivi senza filo collegati a Internet:
  I requisiti della riveduta ordinanza sugli impianti di telecomunicazione devono essere applicati attraverso un’efficace sorveglianza del mercato. 

Attori centrali

• Confederazione:
  UFCOM, CYD Campus, NCSC
• Cantoni:
  uffici IT, centri di competenza cantonali per la cibersicurezza
• Scuole universitarie:
  istituti di ricerca sulla sicurezza TIC
• Economia/società:
  Alleanza Sicurezza Digitale Svizzera, NTC, società di sicurezza

Descrizione

Per proteggersi dalle ciberminacce esistono numerose misure tecniche e organizzative. Resta il fatto che la maggior parte dei ciberincidenti potrebbe essere evitata attraverso l’attuazione coerente di misure basilari (protezione di base). Per scegliere misure adeguate, risultano fondamentali analisi approfondite sull’esposizione ai rischi delle ciberminacce. Una volta determinate le modalità con cui tali rischi si manifestano nei singoli settori, è possibile stabilire misure volte a aumentare la resilienza.

Le misure adottate si orientano agli standard internazionali, i quali rappresentano uno strumento importante per l’attuazione di misure di protezione. Il rispetto di tali standard può essere promosso in modi diversi. Oltre alla possibilità di dichiarare gli standard vincolanti attraverso misure regolatorie, occorre soprattutto creare incentivi per la loro attuazione. Un forte incentivo può essere creato mediante la trasparenza, utilizzando marchi che indichino chi è conforme a quali standard. Grazie a questa trasparenza, gli investimenti nella cibersicurezza si traducono in una maggiore fiducia da parte della clientela.

Situazione di partenza e necessità d’intervento

Le analisi dei rischi e delle vulnerabilità dei settori critici facevano già parte delle prime due strategie per la protezione contro i ciber-rischi. Le valutazioni espresse e le misure identificate relative alla resilienza vanno esaminate e adattate periodicamente in tutti i settori critici.

Esistono già standard internazionali consolidati per la cibersicurezza che vengono applicati anche in Svizzera. In collaborazione con il mondo dell’economia e gli uffici specializzati, l’UFAE ha elaborato uno standard TIC minimo e ulteriori standard minimi per i diversi settori. Nella maggior parte dei casi, l’osservanza di tali standard non è disciplinata in maniera vincolante. Con la nuova legge sulla protezione dei dati, la cui entrata in vigore avverrà nel settembre del 2023, verranno introdotti alcuni requisiti minimi relativi alla sicurezza dei dati nell’ambito del trattamento dei dati personali. In diversi settori si sta inoltre verificando quali standard dovrebbero essere introdotti come vincolanti per quali organizzazioni.

Oltre agli standard specifici del settore sono importanti anche quelli legati alla tecnologia. Gli standard di sicurezza per l’applicazione del cloud computing o dell’IoT svolgono un ruolo rilevante nel garantire la sicurezza delle nuove applicazioni tecnologiche. Con l’ordinanza dell’UFCOM sugli impianti di telecomunicazione, la Svizzera ha già emanato disposizioni in materia di sicurezza dei dispositivi senza filo collegati a Internet e sta ora verificando quali prescrizioni siano necessarie nel settore del cloud computing.

Tuttavia, la necessità di esaminare e sviluppare basi legali non si limita alla questione dell’introduzione di standard in modo vincolante. Ne è un esempio la proposta già approvata di introdurre l’obbligo di notifica dei ciberattacchi. È necessario valutare costantemente dove sussista un eventuale ulteriore fabbisogno di basi legali.  

Temi principali

• Le attuali analisi dei rischi e delle vulnerabilità nei sottosettori critici vengono aggiornate, all’occorrenza, dall’UFPP e dagli uffici specializzati competenti. I rischi identificati vengono affrontati nell’ambito della gestione della resilienza con la definizione di settori d’intervento e di misure adeguate volte a migliorare la resilienza stessa. L’attuazione delle misure viene costantemente verificata; viene altresì promosso lo scambio, tra la Confederazione e i Cantoni, di informazioni riguardanti i rischi, le vulnerabilità e le misure in materia di resilienza.
• L’osservanza degli standard viene incoraggiata nei vari settori. In particolare, l’applicazione degli standard tra le PMI e i Comuni deve essere rafforzata mettendo a disposizione strumenti semplici. Nel caso degli appalti pubblici, deve essere richiesta e verificata anche l’osservanza degli standard di sicurezza delle TIC.
• Promuovere la diffusione dei marchi esistenti:
  In Svizzera sono stati introdotti con successo marchi di cibersicurezza. È importante che questi siano coordinati tra loro a livello nazionale e internazionale. L’utilizzo dei marchi esistenti dovrebbe quindi essere sostenuto attraverso lo scambio di conoscenze tra i marchi stessi.
• Si sta valutando se e come la responsabilità delle aziende per la propria protezione contro i ciberincidenti possa essere rafforzata attraverso disposizioni legali. L’obiettivo è quello di avere regolamentazioni efficienti piuttosto che disposizioni operative dettagliate. Le normative devono inoltre essere armonizzate a livello intersettoriale per ridurre al minimo le disparità tra le eventuali disposizioni.
• Verrà esaminata la necessità di regolamentazioni specifiche per il settore e, se del caso, verranno preparati i relativi modelli. 
• L’obbligo di notifica dei ciberattacchi alle infrastrutture critiche è già in fase di valutazione. Nel caso si giunga a una decisione, l’attuazione sarà affrontata in stretta collaborazione con le persone interessate.  

Attori centrali

• Confederazione:
  UFPP, UFCOM, UFT, UFAC, UFE, NCSC, UFAE, IFPDT
• Cantoni:
  centri di competenza cantonali per la cibersicurezza
• Scuole universitarie:
  SSCC
• Economia/società:
  cyber-safe.ch, ITSec4KMU, organizzazioni di normazione, NTC, fornitori di servizi di sicurezza, associazioni dei settori economici interessati, istituti assicurativi.

Descrizione

La cibersicurezza è diventata una sfida di prioritaria importanza per le autorità a tutti i livelli statali. I servizi digitali delle autorità devono disporre di un elevato livello di sicurezza. Mentre per anni gli attacchi a scopo di spionaggio sono stati tra le ciberminacce più rilevanti, negli ultimi tempi sono aumentati anche gli attacchi alle autorità da parte dei criminali informatici. Questi le ricattano, per esempio, con la crittografia e la pubblicazione di dati che le riguardano. È necessario che tali problematiche vengano affrontate a tutti i livelli statali.

Situazione di partenza e necessità d’intervento

Ogni autorità è responsabile della propria cibersicurezza. La legge sulla sicurezza delle informazioni (LSIn) definisce il quadro e le procedure per le misure di sicurezza in seno alla Confederazione e si applica ai Cantoni quando accedono alle risorse informatiche della Confederazione o trattano informazioni classificate della Confederazione.

Garantire la cibersicurezza in tutte le strutture federali rappresenta una sfida importante. A causa della mancanza di personale specializzato e spesso anche di risorse finanziarie, la collaborazione tra le autorità a tutti i livelli è essenziale. I canali necessari per la cooperazione esistono, ma vi è ancora molto potenziale per una collaborazione operativa più efficace. Va inoltre chiarito in che misura la Confederazione possa sostenere i Cantoni, le città e i Comuni e in quali casi. 

Temip rincipali

• Applicazione della legge sulla sicurezza delle informazioni all’interno dell’Amministrazione federale.
• Promozione dello scambio di informazioni relative alla cibersicurezza all’interno dell’Amministrazione federale, in particolare tra l’NCSC e gli uffici specializzati.
• Intensificazione della collaborazione tra la Confederazione e i Cantoni.
• Chiarimento sull’entità del supporto che la Confederazione può offrire a Cantoni, città e Comuni.
• Chiarimenti sull’entità del supporto dei Cantoni ai Comuni.
• Promozione dello scambio con le autorità internazionali. 

Attori centrali

• Confederazione e Cantoni:
  RSS, TDT, ADS, centri di competenza cantonali per la cibersicurezza, esercito, organizzazioni comunali (p.es. Associazione dei Comuni Svizzeri, Unione delle città svizzere), NCSC