I ciberattacchi possono diventare pericolosi per le autorità se i collaboratori non agiscono correttamente e/o se i sistemi informatici non sono sufficientemente protetti. Per tutelarsi dal rischio di ciberattacchi sono quindi necessarie sia misure organizzative che misure tecniche. Alcune misure possono essere attuate direttamente dai Comuni, mentre altre devono essere discusse con i fornitori esterni di prestazioni TIC.
Tenete presente che la cibersicurezza compete in ogni caso alle autorità.
I responsabili comunali sono tenuti a garantire la protezione contro i ciberattacchi. A tale scopo, è tra l’altro indispensabile sensibilizzare i collaboratori. I segretari comunali si assumono una grande responsabilità all’interno dell’amministrazione comunale
e sempre più spesso devono prendere anche decisioni riguardanti le questioni TIC.
Si raccomanda di offrire ai segretari comunali una formazione specifica per questo settore e, in gene-rale, di investire in corsi volti a promuovere la consapevolezza della sicurezza informatica («security awareness»), destinati ai collaboratori fissi e a quelli di milizia. Organizzate questi corsi insieme ad altri Comuni o alle organizzazioni comunali dei Cantoni. In questo modo potrete contenere i costi e il carico di lavoro.
Designate nella vostra amministrazione le persone responsabili dell’adempimento dei compiti in relazione alla sicurezza dei sistemi TIC. Chiarite anche i ruoli e le responsabilità per quanto riguarda l’organizzazione delle emergenze e delle crisi e definite le rispettive competenze.
Identificate in precedenza le interfacce con i partner e coordinate i processi. Chiarite con il responsabile delle TIC di quali incidenti legati alla sicurezza deve imperativamente informarvi. Ciò vale per gli incidenti che riguardano sia la vostra infrastruttura sia quella del fornitore di servizi TIC.
Una buona strategia contro i ciberattacchi inizia prima dell’incidente vero e proprio: processi e percorsi di «escalation» collaudati sono indispensabili per mantenere il controllo. Definite quali file di log (registro degli eventi) salvare e per quanto tempo.
La soluzione migliore è salvare i dati centralmente. Un numero elevato di file di log aiuta a identificare l’origine di un attacco, a ottenere informazioni sui sistemi infettati nella propria rete e ad adottare contromisure adeguate. Gli aspetti giuridici legati alla protezione dei dati sono importan-ti per i file di log e pertanto non vanno in nessun caso trascurati. Chiarite con il responsabile delle TIC le questioni inerenti ai file di log e al rilevamento degli attacchi.
Fate un inventario dei dati e delle informazioni e definite gli elementi degni di particolare protezione. Elaborate un piano di protezione per questi elementi. Per quanto riguarda le disposizioni cantonali e comunali sulla protezione dei dati, consultate il sito web del vostro Cantone e quello dell’ associazione dei Comuni.
Riflettete attentamente prima di pubblicare informazioni sul vostro sito web o sui social media, perché queste informazioni vengono sfruttate dai criminali. In particolare, evitate di indicare sul sito web la persona che nella vostra amministrazione è responsabile delle transazioni finanziarie e che quindi ha accesso al portale di e-banking. In linea di principio, le informazioni e i dati confidenziali non devono mai essere trasmessi tramite canali anonimi (ad es. telefono o e-mail). Le informazioni confidenziali da trasmettere a servizi esterni devono essere conseguentemente criptate o inviate per posta.
Siate prudenti quando ricorrete a servizi cloud. Questi servizi vengono utilizzati da molti programmi. Riflettete dove memorizzare i dati, se localmente o nel cloud. Non registrate mai dati sensibili su un cloud senza averli prima criptati. Prima di utilizzare un servizio cloud, leggete le condizioni generali dell’impresa offerente e prestate attenzione alle disposizioni sulla protezione dei dati. I dati non possono essere trasmessi a terzi, ad esempio per scopi commerciali. Infor-matevi anche presso la vostra autorità di vigilanza per la protezione dei dati.
Sul sito web della Conferenza degli incaricati svizzeri per la protezione dei dati (privatim, disponibile in francese e tedesco) trovate strumenti ausiliari per la protezione dei dati e un elenco delle autorità di vigilanza.
Definite regole vincolanti in materia di password e assicuratevi che vengano applicate in modo coerente anche dai vostri collaboratori. La password deve essere lunga almeno 12 caratteri e comprendere lettere maiuscole e minuscole, numeri e caratteri speciali. Idealmente è generata in modo casuale e non fa riferimento a informazioni personali come il nome o la data di nascita.
L’autenticazione a due fattori offre una protezione supplementare.
Evitate in ogni caso di utilizzare la stessa password più volte. Se avete difficoltà a ricordare tutte le password, vi consigliamo di ricorrere a un «password manager». Se seguite le regole descritte sopra, non è necessario modificare regolarmente la password. Tuttavia, una password deve essere cambiata al più tardi quando si sospetta che possa essere nota a terzi o se un collaboratore non lavora più per l’amministrazione comunale.
Spesso i malware si infiltrano nel sistema informatico attraverso gli allegati di posta elettronica, camuffati da presunte fatture
o candidature. Bloccate la ricezione di pericolosi allegati di posta elettronica. Un elenco esaustivo e aggiornato di questi allegati è disponibile su Informazione su GovCERT. Assicuratevi che nei documenti Office non possa essere eseguita alcuna macro di dubbia provenienza. Discutetene con il vostro responsabile delle TIC.
Definite i canali di comunicazione attraverso i quali i collaboratori possono segnalare gli eventi sospetti (e-mail, computer, telefonate ecc.) e attivate, se possibile, una funzione per notificare le e-mail sospette.
Siate prudenti nella comunicazione con i cittadini. Inviate le e-mail solo in formato testo ed evitate per quanto possibile gli allegati; non utilizzate documenti Office contenenti macro, ma piuttosto documenti PDF. Utilizzate link visibili che non rimandano a pagine web che richiedono il nome utente, la password o altri dati. Nelle e-mail fraudolente si utilizza spesso la forma impersonale; laddove possibile, rivolgetevi ai cittadini con il loro nome e cognome.
Per i pagamenti utilizzate un computer separato dal quale non navigate in Internet né ricevete e-mail. Discutete con il vostro responsabile delle TIC della possibilità di effettuare i pagamenti online in un’area separata dalle altre applicazioni («sandboxing») o in un sistema virtuale dedicato e particolarmente protetto.
Chiarite tutti i processi che riguardano il traffico dei pagamenti. Questi processi devono essere sempre rispettati dai collaboratori mediante, ad esempio, il principio del doppio con-trollo e/o la firma collettiva: in questi casi, un altro utente autorizzato deve vistare il pagamento prima che possa essere attivato. Tali misure possono essere adottate soprattutto quando più collaboratori sono autorizzati a eseguire i pagamenti. Discutete con la vostra banca sulle possibili misure di sicurezza.
Tenete un inventario possibilmente dettagliato della vostra infrastruttura TIC. Solo se conoscete l’infrastruttura TIC, i servizi, i computer, gli utenti ecc. della vostra amministrazione, sapete cosa dovete proteggere e sorvegliare. È importante sapere soprattutto quali sistemi sono collegati a Internet e quindi visibili al pubblico. Questi sistemi devono essere protetti in modo particolare.
Definite un processo per il regolare salvataggio dei dati («backup») e applicatelo in modo coerente. Considerate per quanti giorni potreste subire un’eventuale perdita di dati e conservate un’ulteriore copia dei backup separatamente (offline) o fuori sede (offsite). Attivate, insieme al vostro supplente, periodicamente i backup per familiarizzare con i processi di salvataggio ed essere pronti in caso di necessità. Conservate le versioni precedenti dei backup per diversi mesi.
Un software obsoleto è una delle porte di accesso preferite dai pirati informatici per gli attacchi malware. Assicuratevi che i sistemi siano sempre aggiornati. Ciò vale anche per il Content Management System (CMS), ovvero il sistema di gestione del vostro sito web. La maggior parte dei CSM ha una funzione di aggiornamento automatico, facilmente attivabile.
Installate su ogni computer una protezione antivirus e attivate la protezione in tempo reale.
Assicuratevi che la protezione venga aggiornata regolarmente e che una scansione completa del sistema sia eseguita quotidianamente.
Un’autenticazione semplice non è affatto sufficiente per proteggere l’accesso remoto (nome utente e password). Utilizzate almeno un’autenticazione a due fattori o scegliete una connessione sicura tramite una rete privata virtuale (VPN). Questo vale anche per l’accesso da parte di responsabili esterni delle TIC.
Le informazioni di cui sopra sono state prese dalla brochure NEDIK «Guida per i Comuni» .
In questo opuscolo sono disponibili anche utili liste di controllo:
Guida per i Comuni (disponibile in tedesco e francese)
Se la sicurezza delle TIC è assegnata a fornitori di servizi esterni, occorre osservare diversi punti.
"Nel mirino - Spionaggio economico" fa parte del programma di prevenzione e sensibilizzazione "Prophylax" dei servizio delle attività informative della Confederazione.
Ultima modifica 29.12.2023
