Protezione contro i cyber-rischi

Stato maggio 2019

In breve

Con la crescente interazione dei posti di lavoro e dei sistemi di gestione e controllo, aumentano costantemente anche le minacce per le infrastrutture informatiche critiche che dipendono dalle tecnologie dell’informazione e della comunicazione (TIC). Queste minacce si manifestano quotidianamente sotto forma di attacchi professionali. Il Consiglio federale contrasta attivamente questi ciber-rischi e adotta le misure necessarie per tutelare la sicurezza del Paese dalle minacce provenienti dal ciberspazio. A tale scopo l’Esecutivo ha approvato la nuova Strategia nazionale per la protezione della Svizzera contro i cyber-rischi 2018–2022 (SNPC) e il relativo piano di azione; ha poi adeguato le competenze e i compiti in questo ambito, potenziando le risorse a livello di personale. Sulla base della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI), l’Esecutivo ha deciso di istituire un centro di competenza per la cibersicurezza che farà capo alla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) e fungerà da servizio nazionale di contatto per le questioni legate ai ciber-rischi. L’unità strategica sarà guidata da un delegato alla cibersicurezza che contribuirà a plasmare la ciberpolitica della Confederazione e la rappresenterà all’esterno dell’Amministrazione federale. Al fine di migliorare la collaborazione interdipartimentale e rafforzare il suo ruolo dirigenziale nell’ambito dei ciber-rischi, il Consiglio federale ha anche istituito un cibercomitato, composto dai capi del Dipartimento federale delle finanze (DFF), del Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) e del Dipartimento federale di giustizia e polizia (DFGP).


Centro di competenza per la cibersicurezza

Il centro di competenza per la cibersicurezza è l’elemento centrale della nuova organizzazione e si baserà sulle competenze esistenti di MELANI. La centrale d’annuncio verrà ampliata in modo da poter offrire le sue prestazioni a tutta l’economia e la popolazione. MELANI diventerà così il primo servizio di contatto a cui rivolgersi per tutte le questioni legate ai ciber-rischi. A tale scopo la piattaforma d’annuncio verrà potenziata e i canali d’informazione (rapporti semestrali, newsletter, tweet, blog ecc.) saranno utilizzati maggiormente per informare l’opinione pubblica sui ciber-rischi e sulle possibili misure di protezione (v. https://www.melani.admin.ch).

All’interno della Confederazione il centro di competenza sarà chiamato a sostenere gli uffici con conoscenze specialistiche in ambito di prevenzione, standardizzazione e regolamentazione. Nella gestione degli incidenti potrà emanare istruzioni rivolte ai servizi federali.

Con l’istituzione di questo centro, l’attuale organizzazione e funzione di MELANI a sostegno dei gestori di infrastrutture informatiche critiche è mantenuta e potenziata e la provata collaborazione con le imprese attraverso una cerchia chiusa di clienti verrà dunque proseguita e MELANI continuerà a fungere da unità di crisi permanente. La sorveglianza regolare della situazione sostiene la prevenzione, permette l’allarme precoce dei pericoli e fornisce un’importante base per il superamento di una crisi. MELANI si adopera per apportare conoscenze e risorse di cui dispone in quanto servizio statale e che non sono altrimenti accessibili all’economia. All’interno di MELANI collaborano il Servizio delle attività informative della Confederazione (SIC), l’Organo direzione informatica della Confederazione (ODIC, responsabile della direzione strategica) e il gruppo GovCERT.ch, istituito nel 2008 al fine di creare competenze tecniche proprie e reagire ancora più rapidamente a eventi inattesi.

Modello dei tre pilastri della sicurezza dell’informazione

Per proteggere le infrastrutture informatiche critiche, l’ODIC ha elaborato un sistema globale. Nel modello dei tre pilastri MELANI svolge i seguenti compiti:

1. Prevenzione

Con l’adozione di misure di prevenzione adeguate nel settore tecnico e nell’organizzazione, i gestori di infrastrutture informatiche critiche devono provvedere affinché il numero di incidenti sia ridotto al minimo e i danni limitati. A tale proposito, MELANI fornisce ai gestori interessati informazioni importanti e per lo più confidenziali.

2. Rilevamento precoce

Con MELANI i rischi e le minacce devono essere rilevati precocemente, al fine di permettere ai gestori di infrastrutture critiche di attivare dispositivi di difesa e di evitare di ricorrere a tecnologie rischiose.

3. Gestione delle crisi

MELANI sostiene i gestori di infrastrutture informatiche critiche a superare eventuali crisi, funge da coordinatore tra Stato ed economia privata.

Diagramma a colonne: numero di minacce e di eventi segnalati tra il 2005 e il 2018
Numero di minacce e di eventi segnalati alla Centrale d'annuncio e d’analisi per la sicurezza dell'informazione MELANI sull'arco di 14 anni
© EFD / DFF

Stato dei lavori

Il 18 giugno 2018 il Consiglio federale ha approvato la SNPC 2018–2022. Essa si basa sui lavori di attuazione della prima strategia (2012–2017) e laddove necessario, li sviluppa e li completa con nuove misure, in modo da poter far fronte alle minacce attuali. La nuova strategia è stata elaborata in collaborazione con gli ambienti economici, i Cantoni e le scuole universitarie professionali e costituisce la base per concentrare gli sforzi necessari a ridurre i ciber-rischi.

Definisce sette obiettivi nell’ambito di dieci campi d’azione molto diversi tra cui figurano l’acquisizione di competenze e conoscenze, il promovimento della cooperazione internazionale, il rafforzamento della gestione di crisi e incidenti, la collaborazione nel perseguimento penale della cibercriminalità nonché misure relative alla ciberdifesa da parte dell’Esercito e del SIC.

Il 15 maggio 2019 il Consiglio federale ha approvato il piano di attuazione della SNPC 2018–2022 al fine di concretizzare la strategia. Il piano di attuazione è stato elaborato in collaborazione con gli uffici federali, i Cantoni, le scuole universitarie professionali e gli ambienti economici interessati. Esso definisce le modalità e i tempi di attuazione e stabilisce gli obiettivi di prestazione da raggiungere. Le decisioni di principio concernenti l’organizzazione della Confederazione nell’ambito dei ciber-rischi prese dal Consiglio federale nel gennaio di quest’anno fungono da base per l’attuazione della SNPC. Il Centro di competenza per la cibersicurezza istituito in tale occasione, che sarà diretto dal delegato alla cibersicurezza, assumerà un ruolo essenziale nell’attuazione della SNPC. La segreteria sarà responsabile del coordinamento, a livello federale, dei lavori di attuazione.

https://www.efd.admin.ch/content/efd/it/home/themen/Digitalisierung/sicurezza-dell_informazione-nella-comunicazione-elettronica/fb-schutz_vor_cyber-risiken.html