Obiettivo: Riconoscimento, prevenzione, gestione e difesa efficaci in materia di ciberincidenti

In ogni circostanza, la Svizzera dispone delle capacità e delle strutture organizzative necessarie per individuare rapidamente le ciberminacce e gli incidenti informatici e ridurne al minimo i danni. Gli incidenti vengono gestiti anche quando si protraggono nel tempo e interessano contemporaneamente diversi settori.

Riconoscere, prevenire, gestire e difendersi in modo efficace dai ciberattacchi sono i fattori chiave della cibersicurezza. Per determinare misure di protezione adeguate, deve essere chiaro contro quali minacce devono agire. Se si verifica un incidente, sono necessari strumenti, dati e processi adeguati per la gestione degli incidenti. Il passo successivo consiste nell’identificare i responsabili dell’attacco nel modo più preciso possibile (attribuzione). Questo a sua volta aiuta a valutare con maggiore precisione la situazione di minaccia e a prevenire i futuri attacchi. Se i ciberincidenti hanno ripercussioni sul funzionamento delle infrastrutture critiche o sulla sicurezza della Svizzera, diventa necessaria una gestione della crisi. Affinché funzioni, è necessario ricorrere regolarmente a esercitazioni pratiche.

Infine, le possibilità di difesa dai ciberattacchi non si limitano alle misure di protezione dei propri sistemi. È importante che i dati tecnici sugli autori degli attacchi, le loro infrastrutture e il loro modus operandi siano raccolti e resi disponibili alle potenziali vittime. Sono possibili anche misure attive volte a individuare le ciberminacce, identificare gli autori, ostacolare e bloccare gli attacchi.

Misure

M8: Gestione degli incidenti

Descrizione

Poiché non esiste un modo per proteggersi totalmente dai ciberincidenti, la creazione e il mantenimento di un’organizzazione incaricata della gestione degli incidenti costituiscono un compito fondamentale della cibersicurezza. Il concetto di gestione degli incidenti copre una serie di attività che vanno dal riconoscimento tempestivo degli stessi, all’identificazione e alla messa in atto delle contromisure adeguate fino all’analisi degli incidenti da cui trarre informazioni utili a migliorare la prevenzione.

Per far fronte a questo compito servono competenze specialistiche, strumenti di analisi, un’organizzazione ben funzionante con competenze decisionali definite in modo chiaro e una stretta collaborazione tra tutti gli uffici interessati. È fondamentale lo scambio di informazioni su incidenti e possibili contromisure tra partner affidabili, perché spesso gli incidenti coinvolgono più uffici contemporaneamente e quindi possono essere gestiti con maggiore rapidità ed efficacia se le informazioni pertinenti vengono condivise da tutte le parti in causa.

Situazione di partenza e necessità d’intervento

Per gestire i ciberincidenti in Svizzera molte organizzazioni, ma non ancora tutte le infrastrutture critiche, si sono dotate internamente di team specializzati oppure hanno affidato l’incarico a società esterne. Questi team hanno denominazioni diverse (p.es. Security Operations Center, Computer Emergency Response Team, Computer Security Incident Response Team) e competenze specifiche nel proprio settore di compiti. Anche la Confederazione e molti Cantoni dispongono di analoghi team, ed è a loro che è affidata in primo luogo la gestione degli incidenti. Attraverso l’NCSC, la Confederazione supporta sussidiariamente i team dei Cantoni, dei Comuni e delle città, nonché dei gestori di infrastrutture critiche e dei loro fornitori di servizi di sicurezza nell’analisi tecnica degli incidenti e sostiene lo scambio di informazioni tra loro.

Anche il pubblico può segnalare all’NCSC incidenti informatici e ciberminacce e, se necessario, ricevere le prime valutazioni specialistiche e raccomandazioni su come procedere. Tali notifiche sono importanti per la valutazione delle ciberminacce.

Finora, queste prestazioni da parte della Confederazione non si fondano su basi legali e anche il quadro giuridico dello scambio di informazioni deve essere disciplinato. Le proposte per i necessari adeguamenti legali sono state elaborate, ma non sono ancora state prese decisioni in merito.

Una sfida nella gestione degli incidenti è rappresentata dalla scalabilità. Se si verificano contemporaneamente diversi eventi di grande rilevanza, le risorse esistenti si esauriscono rapidamente. Occorre valutare come aumentare rapidamente le capacità attraverso il coinvolgimento di esperti, se necessario.

Temi principali

Rafforzamento delle capacità delle infrastrutture critiche di rilevare e gestire i ciberincidenti attraverso l’istituzione, la creazione e l’utilizzo comune di SOC.
Ampliamento delle notifiche di ciberincidenti:
Dovrebbe essere segnalato il maggior numero possibile di incidenti informatici, in modo che emerga un buon quadro dell’attuale situazione di minaccia.
Scambio di informazioni:
L’attuale piattaforma dell’NCSC per lo scambio di informazioni tra i gestori di infrastrutture critiche sarà rivista e ampliata con l’obiettivo di semplificarla e renderla gradualmente accessibile a un pubblico più ampio.
Ampliamento della capacità attraverso la collaborazione:
Ulteriore intensificazione della cooperazione operativa e miglioramento del coordinamento tra GovCERT, SWITCH-CERT e altri team di sicurezza informatica. Si sta inoltre valutando come e quando i pool di esperti volontari possano supportare la gestione degli incidenti, tenendo in considerazione le organizzazioni esistenti.
Intensificazione della collaborazione con gli uffici specializzati:
Affinché gli uffici specializzati competenti siano in grado di valutare le minacce nel loro settore, vengono informati dall’NCSC sugli incidenti che si verificano nel loro ambito. Sono escluse le informazioni che consentono di risalire alle persone interessate, a meno che queste ultime non acconsentano a fornire informazioni agli uffici specializzati.

Attori centrali

Confederazione:
NCSC, UFCOM, UFT, UFAC, UFE, UFIT, milCERT
Cantoni:
CERT cantonali, CSIRT, SOC (o organizzazioni simili), servizi di segnalazione delle polizie cantonali
Economia/società:
CERT, CSIRT, SOC (o organizzazioni simili) di aziende e organizzazioni, SWITCH

M9: Attribuzione

Descrizione

Il concetto di attribuzione consiste nell’identificare la paternità degli attacchi nel modo più preciso possibile. Tale aspetto svolge un ruolo importante nella scelta dei mezzi per le azioni successive. Le autorità svizzere devono essere in grado di attribuire una paternità ai ciberattacchi diretti contro il nostro Paese rilevanti per la politica di sicurezza. Può trattarsi di attacchi informatici perpetrati contro vittime sul territorio nazionale o dell’utilizzo improprio di infrastrutture svizzere per attacchi all’estero. L’attribuzione costituisce la base per la formulazione di opzioni d’intervento politiche e legali.

Situazione di partenza e necessità d’intervento

Per fare in modo che gli autori di un ciberattacco rispondano delle loro azioni, occorre innanzitutto identificarli. Si tratta di una grande sfida nel ciberspazio, perché gli autori non si trovano fisicamente sul luogo dell’attacco. L’identificazione può essere realizzata solo se gli attacchi vengono riconosciuti tempestivamente e se è possibile analizzarne il contesto tecnico, operativo e strategico.

L’attribuzione dei ciberattacchi è un compito del Servizio delle attività informative della Confederazione (SIC). Per assolverlo, ha bisogno dei risultati delle proprie ricerche, ma si affida anche alla collaborazione con altri uffici della Confederazione e agli scambi di informazioni con i servizi partner, che necessita di essere disciplinata.

L’attribuzione dei ciberattacchi è importante per i responsabili politici ai fini della valutazione della situazione di minaccia. In tale contesto viene valutato anche se l’attribuzione possa avvenire sul piano del diritto internazionale e come sia possibile reagire nel quadro delle possibilità contemplate da tale diritto. Il processo di attribuzione costituisce inoltre il presupposto per decisioni prese su misure di carattere tecnico, politico o penale.

Temi principali

Verifica e integrazione delle basi legali per l’analisi dei ciberattacchi alla Svizzera.
Collaborazione tra il SIC e altri uffici.
Rafforzamento delle competenze del SIC di analizzare gli attacchi informatici rilevanti sotto il profilo della politica.
Definizione delle priorità strategiche: è necessario stabilire quali attacchi verranno analizzati in modo approfondito.

Attori centrali

Confederazione:
SIC, DFAE, fedpol, NCSC, SG-DDPS
Cantoni:
Corpi di polizia cantonale, NEDIK

M10: Gestione delle crisi

Descrizione

I ciberincidenti possono avere gravi conseguenze rendendo persino necessaria una gestione della crisi a livello nazionale. Ai fini della gestione delle crisi è determinante avere un quadro aggiornato, unitario e completo della situazione e disporre di processi decisionali efficaci oltre che di una strategia di comunicazione. Le capacità e le strutture corrispondenti devono essere regolarmente esercitate, verificate e adeguate.

Situazione di partenza e necessità d’intervento

La collaborazione intersettoriale è fondamentale in caso di crisi. In situazioni di crisi, l’NCSC deve essere in grado di instaurare rapidamente la collaborazione con tutte le parti rilevanti contattando le rispettive organizzazioni interne ed esterne all’Amministrazione federale. L’NCSC è stato inoltre integrato negli stati maggiori di crisi della Confederazione. In ogni ulteriore sviluppo o riorganizzazione della gestione delle crisi nella Confederazione, occorre inoltre garantire che la cibersicurezza sia direttamente integrata nelle strutture di gestione delle crisi.

La collaborazione tra gli attori centrali della Confederazione, dei Cantoni e dell’economia per la gestione di una crisi con tempi ristretti è impegnativa. Per funzionare, è necessario effettuare regolarmente esercitazioni. Al momento la Svizzera partecipa a esercitazioni internazionali, mentre a livello nazionale sono state condotte altre esercitazioni specifiche per ogni settore. Manca tuttavia un programma generale relativo alla pianificazione e all’attuazione delle esercitazioni per le crisi nell’ambito della cibersicurezza. È quindi necessario mettere a punto una pianificazione di questo genere e integrarla in quella delle esercitazioni generali.

Temi principali

Ideazione e realizzazione di esercitazioni specifiche di ogni settore (p.es. fornitura di energia, fornitura di acqua, assistenza sanitaria) e intersettoriali in ambito ciber. La pianificazione e l’ideazione devono avvenire in coordinamento con la pianificazione delle esercitazioni generali per la gestione delle crisi.
Integrazione di aspetti legati alla cibersicurezza in tutte le esercitazioni previste.
Chiarimenti sulle basi, in linea con i lavori sovraordinati relativi all’organizzazione della gestione delle crisi: quali criteri definiscono una crisi in relazione alla cibersicurezza? Quali strutture sono responsabili della valutazione politica e dell’avvio di misure di gestione delle crisi?
Garanzia che la cibersicurezza sia rappresentata nel dispositivo di gestione delle crisi (a livello di Confederazione e di Cantoni).
Chiarimenti sul supporto (sussidiario) per la gestione delle crisi in collaborazione, compresi i mezzi di comunicazione da utilizzare.

Attori centrali

Confederazione:
CaF, UFPP, NCSC, esercito, UFCOM, UFT, UFAC, UFE, UFAE, DFAE, SG-DDPS, RSS
Cantoni:
organizzazioni cantonali di condotta, centri di competenza cantonali per la cibersicurezza
Economia/società:
gestori di infrastrutture critiche, produttori/fornitori di software critici, organizzazioni di settore (p.es. FS-CSC svizzero, SWITCH-CERT)

M11: Ciberdifesa

Descrizione

La libertà di azione e l’integrità dello Stato, dell’economia e della popolazione devono essere protette nel ciberspazio e difese in caso di conflitto. La ciberdifesa comprende tutte le misure militari e del Servizio delle attività informative che servono ai seguenti scopi: protezione dei sistemi critici per la difesa del Paese, difesa dai ciberattacchi, garanzia dell’efficienza operativa dell’Esercito svizzero in ogni circostanza e creazione di capacità e competenze per fornire un supporto sussidiario alle autorità civili. Tra queste rientrano, tra le altre cose, le misure attive volte ad individuare le ciberminacce, identificare gli aggressori, ostacolare e bloccare gli attacchi.

Situazione di partenza e necessità d’intervento

Il Servizio delle attività informative della Confederazione (SIC) e l’Esercito svizzero hanno ampliato le loro capacità per assolvere i loro compiti nel settore della ciberdifesa. Il «Concetto generale ciber» descrive le capacità che l’Esercito svizzero deve sviluppare entro la metà degli anni 2030 per essere in grado di contrastare le minacce presenti e provenienti dal ciberspazio e dallo spazio elettromagnetico. Con la legge federale sulle attività informative (LAIn) e la riveduta legge militare (LM), la Confederazione dispone delle basi legali necessarie per adottare contromisure attive nell’ambito della ciberdifesa.

L’aumento dei ciberattacchi negli ultimi anni e la loro crescente complessità richiedono tuttavia un numero maggiore di risorse per lunghi periodi. Pertanto, si evidenzia la necessità di continuare a intervenire per rafforzare le capacità e coordinare gli uffici competenti a fine di garantire il rispetto del diritto internazionale.

Temi principali

Rafforzamento delle competenze centrali a livello di esercito. A questa categoria appartengono l’autoprotezione SEC, lungimiranza/autonomia, competenze di base sulla scienza dei dati.
Creazione di competenze decentrate. Esse comprendono, per esempio, il trattamento stabile e sicuro dei dati nei battaglioni e nelle compagnie. Un altro aspetto essenziale riguarda il rafforzamento della resilienza dell’infrastruttura di base rilevante ai fini dell’impiego nell’autoprotezione SEC. Inoltre, l’organizzazione delle associazioni verrà adattata.
Affinamento della gestione dei casi relativi a ciber campagne rilevanti ai fini della politica di sicurezza.
Maggiore integrazione delle competenze della Svizzera per proteggere nell’immediato gli stakeholder a livello nazionale.
Ampliamento delle competenze di base per le azioni nel ciberspazio da parte del SIC e dell’esercito.

Attori centrali

Confederazione:
esercito, CYD Campus, SG-DDPS, SIC
Cantoni:
organizzazioni cantonali di condotta