Protezione contro i cyberattacchi

Cyber-Defence

Panoramica

La strategia e le misure del Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) per la protezione contro i cyberattacchi sono basate sulla Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC). L’obiettivo di quest’ultima è ridurre al minimo i cyber-rischi grazie alla collaborazione tra le autorità, il mondo economico e i gestori di infrastrutture critiche.

La strategia indica i seguenti punti fondamentali per la riduzione dei cyber-rischi: 

  • la responsabilità individuale (lo Stato deve intervenire solo quando sono in gioco interessi pubblici o nei casi in cui agisce in funzione del principio di sussidiarietà);
  • la collaborazione tra economia, le scuole universitarie e autorità;
  • la cooperazione con l’estero.
     

La strategia 2012–2017 include 16 misure. Il 18 aprile 2018 il Consiglio federale ha approvato la SNPC 2018–2023. Si basa sul lavoro della prima strategia, espandendola dove necessario e aggiungendo nuove misure.

Servizio delle attività informative della Confederazione: Centrale d’annuncio e d’analisi

La Strategia nazionale per la protezione della Svizzera contro i cyber-rischi viene attuata in modo decentralizzato. La Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI), gestita in comune dall’Organo direzione informatica della Confederazione (ODIC) del Dipartimento federale delle finanze e dal Servizio delle attività informative della Confederazione (SIC) del DDPS, riveste un ruolo centrale. Il compito principale di MELANI consiste nell’individuare tempestivamente i cyber-rischi e nell’aiutare i gestori di infrastrutture critiche (ad es. fornitori di energia elettrica, aziende di telecomunicazioni e banche) a prevenire e gestire questo tipo di rischi.

Dal 2004 il SIC offre il programma di prevenzione Prophylax, che mira a sensibilizzare il mondo svizzero dell’industria e della ricerca ai rischi costituiti dalle fughe di dati e dall’acquisizione illegale di informazioni.

L’esercito si concentra sulla protezione delle proprie infrastrutture

L’esercito svolge un ruolo fondamentale nell’attuazione dei provvedimenti per la protezione contro i cyber-rischi. Come l’intera società, anche l’esercito si serve in larga misura delle tecnologie dell’informazione e della comunicazione e può dunque essere bersaglio di cyberattacchi. Per questo motivo deve innanzitutto proteggere le proprie infrastrutture e i propri mezzi. L’esercito investe in reti protette da attacchi e da pericoli di ogni genere e in questo contesto porta avanti i progetti «Centri di calcolo», «Telecomunicazione dell’esercito» e «Rete di condotta Svizzera».

Una volta che l’esercito ha soddisfatto le proprie esigenze di protezione, in caso di bisogno può mettere le proprie capacità a disposizione delle autorità civili, in via sussidiaria, per la protezione contro i cyberattacchi e contribuire così a mantenere funzionanti le infrastrutture critiche.

In caso di conflitto armato l’esercito impiegherebbe tutte le sue competenze nel settore cyber per contrastare gli attacchi, ridurne l’efficacia e indebolire le capacità degli avversari in tale ambito.

Ufficio federale della protezione della popolazione: analisi dei rischi e della vulnerabilità

La protezione della popolazione ha il compito di proteggere la popolazione e le sue basi vitali in caso di catastrofe, in situazioni d'emergenza e in caso di conflitto armato contribuendo così in misura determinante a limitare e gestire gli effetti di eventi dannosi. Nel quadro della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC), l’Ufficio federale della protezione della popolazione (UFPP) esegue analisi dei rischi e della vulnerabilità relative a infrastrutture critiche. Sulla base di tali analisi l’UFPP elabora, unitamente alle autorità di regolazione, alle associazioni e ai gestori di infrastrutture critiche (ospedali ecc.), misure per migliorare la resilienza.

Per le autorità civili è indispensabile che i rispettivi sistemi di telecomunicazione e di allarme funzionino in qualsiasi situazione e che la popolazione possa essere preavvertita e allarmata attraverso canali sicuri, come pure che possa disporre di informazioni affidabili. A livello di Confederazione l’Ufficio federale della protezione della popolazione è impegnato in numerosi progetti volti a garantire reti di comunicazione a prova di crisi e di blackout.

Sicurezza delle informazioni e degli oggetti del DDPS

All’interno del DDPS la Sicurezza delle informazioni e degli oggetti (SIO), che fa parte della Segreteria generale, è responsabile della protezione contro i cyberattacchi. La SIO si occupa della sicurezza integrale del DDPS. È competente in particolare per le direttive nei settori della sicurezza delle persone, delle informazioni, dell’informatica e dei beni (materiale e immobili).

Piano d’azione Cyber Defence DDPS

Visto l’aumento dei cyber-rischi, le esperienze di attacchi concreti e le nuove basi legali, nel 2016 il capo del DDPS ha deciso di verificare il dispositivo del DDPS per la protezione contro i cyberattacchi. A partire da tale verifica è stato elaborato un Piano d’azione Cyber Defence, che verrà attuato entro il 2020 di pari passo con la Strategia nazionale per la protezione della Svizzera contro i cyber-rischi.

FAQ

La cyberdifesa nel DDPS

Corso di formazione in ambito cyber

Al momento si sta valutando il seguente modello: in linea di principio i militari di milizia assolvono innanzitutto un’istruzione di base che prevede, oltre a un’istruzione specialistica per gli specialisti, anche un’istruzione militare generale in base alla futura funzione. Visti gli elevati requisiti specialistici e la vasta materia d’istruzione che caratterizzano il settore specialistico cyber, il perfezionamento a sottufficiale diventerà probabilmente la prassi. In questo modo i militari, che dovranno ricoprire tali funzioni di responsabilità sia in ambito militare che nella vita civile, disporranno non solo di un’istruzione tecnica, ma anche di capacità di condotta. Durante il periodo d’istruzione, e anche in seguito per l’adempimento dell’obbligo di prestare servizio militare, i compiti verranno svolti in stretta collaborazione con il personale professionista (quasi sempre impiegati civili).

In stretta collaborazione con il settore dell’informatica (ICTswitzerland/ICT Formazione professionale Svizzera) verrà inoltre elaborato un modello che consentirà di conseguire un attestato professionale federale al termine di questa istruzione speciale. Gli specialisti IT appena formati acquisirebbero così grande competitività sul mercato del lavoro. In questo modo l’esercito fornisce un importante contributo alla cybersicurezza della piazza economica svizzera.

I candidati per il corso di formazione pilota verranno scelti attraverso i centri di reclutamento e le scuole reclute nel corso delle prime settimane di servizio. Per l’ammissione al corso di formazione è necessario superare un assessment che già esiste e che verrà ampliato. La scelta potrebbe essere completata attraverso altri elementi, ad esempio selezioni e corsi prima del servizio. In seno all’esercito vi sono esempi simili già collaudati, come l’istruzione dei piloti delle Forze aeree o nell’ambito della musica militare. Questo modello di base dovrebbe in seguito essere ampliato con un modello di carriere per ufficiali, che consenta cioè di impartire un’istruzione specialistica ai quadri necessari.

Al momento non siamo ancora in grado di fornire dettagli specifici. In linea di principio ci orientiamo sulle formazioni che le reclute possono concludere prima dell’inizio della SR. Normalmente si richiede una solida formazione di base in informatica. L’idoneità al corso di formazione verrà in ogni caso verificata attraverso un assessment approfondito. In questo modo possono essere ammessi anche talenti che hanno acquisito le loro conoscenze in modo autodidattico. Tutti i partecipanti devono inoltre essere sottoposti a un controllo di sicurezza relativo alle persone.

Di norma l’esercito istruisce le future forze d’impiego con il proprio personale di professione. L’obiettivo è istruire le reclute sui temi fondamentali grazie ai cyberspecialisti più esperti dell’esercito. In questo modo vogliamo garantire che i militari siano preparati in modo mirato alle esigenze dell’impiego militare. Per i contenuti generali si valuterà una collaborazione con professori del panorama formativo svizzero.

Al momento la pianificazione prevede di istruire circa 50 specialisti all’anno nel corso dei prossimi anni.

Si prevede di iniziare con un primo corso pilota nell’estate del 2018. Se questo darà esiti positivi, in seguito dovrebbero partire due corsi di formazione all’anno. La scuola di guerra elettronica di Jassbach sarà responsabile dei corsi. La pianificazione dettagliata e l’approvazione del corso da parte degli organi decisionali del DDPS, della Segreteria di Stato per la formazione, la ricerca e l’innovazione (SEFRI) e di ICT Formazione professionale Svizzera sono ancora in corso.

Presumibilmente nell’estate 2018, ma la data esatta non è ancora nota, dal momento che la pianificazione non è conclusa. Seguirà poi la preparazione dell’allestimento e dello svolgimento del corso.

Con l’ulteriore sviluppo dell’esercito (USEs) i militari verranno incorporati in una compagnia cyber. In seguito presteranno i loro servizi in distaccamenti d’impiego presso il personale di professione dell’Aggruppamento Difesa e forniranno loro un appoggio operativo. Grazie alla milizia l’esercito potenzierà in larga misura la propria capacità di resistenza e la propria competenza in ambito cyber.

L’esercito deve essere in grado di proteggere autonomamente e in tutte le situazioni i propri sistemi d’informazione e le proprie reti informatiche da attacchi e cyberattacchi. L’evoluzione della situazione di minaccia mostra chiaramente che sono finiti i tempi della semplice sicurezza TIC e che è necessario sorvegliare e proteggere sistemi di settori complessi e dinamici 24 ore su 24. Per farlo occorre un maggior numero di specialisti, di competenze e soprattutto una più elevata capacità di resistenza. Il corso di formazione è lo strumento che permette di raggiungere questo obiettivo.

L’esercito svolge già dal 2010 dei corsi inerenti al settore specialistico cyber presso la scuola di guerra elettronica di Jassbach. Con l’attuazione dell’USEs è ora necessario ampliare nettamente questo corso di formazione sia dal punto di vista dei contenuti che dal punto di vista del numero di partecipanti.

Viste tutte queste nuove esigenze (necessità di una formazione più lunga e specializzata, sviluppo di una carriera per ufficiali, sviluppo di offerte che precedano il servizio ecc.) è riduttivo parlare di una «SR cyber». Non è infatti possibile istruire un cyberspecialista in una SR di quattro mesi.

Altre tematiche

Oltre dieci anni fa il DDPS ha cominciato a sviluppare capacità nell’ambito cyberdifesa, ad esempio creando il military Computer Emergency Response Team (milCERT) o sviluppando capacità fondamentali nel quadro delle Computer Network Operations. Con l’ulteriore sviluppo dell’esercito (USEs) e la nuova legge federale sulle attività informative (LAIn) sono state create le basi per rafforzare le capacità e i mezzi della cyberdifesa in seno al DDPS.

Secondo il Piano d’azione Cyber Defence il DDPS deve collaborare strettamente con i suoi partner nonché con il mondo economico e accademico e deve disporre di sufficienti mezzi qualitativi e quantitativi per

  • proteggere costantemente e in ogni situazione i suoi sistemi e infrastrutture TIC, contrastare cyberattacchi e migliorare la sua capacità di resistenza;
  • permettere e appoggiare le operazioni militari e di intelligence nel cyberspazio rese possibili dalla nuova legislazione;
  • prestare aiuto a titolo sussidiario alle autorità civili nel caso di cyberattacchi contro le infrastrutture critiche.

Il Piano d’azione si incentra 

  • sul rafforzamento dei propri mezzi, incl. la milizia;
  • sull’ottimizzazione costante dei processi per ottenere la massima efficienza con i mezzi a disposizione;
  • sul perfezionamento delle competenze cyber necessarie mediante una stretta collaborazione con i gestori di infrastrutture critiche, l’economia privata e le scuole universitarie.

 

Concretamente ciò significa: 

  • creare un organo di coordinamento strategico in seno al DDPS. A tale scopo è stato nominato un delegato del DDPS per la cyberdifesa;
  • creare ulteriori funzioni nell’ambito cyber in seno al DDPS. Secondo la pianificazione attuale si tratta di creare, nel quadro dell’odierna situazione in materia di risorse di personale e senza influire sul bilancio, 100 nuovi posti di lavoro a favore dell’ambito cyber, senza compromettere l’USEs o altri progetti importanti;
  • svolgere un’esercitazione nel tardo autunno 2017 per verificare le funzioni e i processi e allenarsi in tali ambiti;
  • rafforzare le attività operative con i nostri Partner a livello nazionale e internazionale. Ciò include l’intenzione da parte della Svizzera di partecipare al Nato Cooperative Cyber Defence Centre of Excellence a Tallinn;
  • rafforzare la collaborazione con il mondo accademico per quanto riguarda lo sviluppo dei corsi di formazione necessari. Ciò include la creazione del «CAMPUS cyberdifesa» (prime attività previste per l’inizio del 2018).

 

Il Piano d’azione del DDPS è conforme alla Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) e la completa.

La Cyberdifesa DDPS ha il compito di coordinare e portare avanti tutte le attività nell’ambito cyber all’interno del DDPS. Sarà responsabile di cinque settori: 1) quadro integrale della situazione delle sfide in ambito cyber 2) prontezza dei mezzi di cyberdifesa del DDPS 3) supporto alla Direzione del Dipartimento in caso di crisi in ambito cyber 4) tutela degli interessi del DDPS all’interno degli organi rilevanti 5) creazione del «CAMPUS cyberdifesa» per la formazione degli specialisti necessari, in collaborazione soprattutto con le scuole universitarie e con i gestori di infrastrutture critiche.

Attualmente l’ambito cyberdifesa nel DDPS conta circa 50 posti di lavoro. Da inizio giugno 2017 è entrato in vigore il piano d’azione interno al Dipartimento. Secondo la pianificazione attuale, quest’ultimo prevede 100 ulteriori «posti cyber» entro la fine del 2020. È già stato nominato un delegato per la cyberdifesa e alcuni nuovi posti di lavoro sono già stati occupati. Un incremento così importante dei posti di lavoro necessita di tempo ed è un obiettivo ambizioso, in particolare se si considerano gli ulteriori tagli voluti dal Parlamento ai posti di lavoro della Confederazione ‒ il DDPS da solo ne deve eliminare 300. I posti previsti in seno al DDPS per la cyberdifesa devono essere creati senza influire sul budget e mediante una ridistribuzione dei posti. L’USEs e altri progetti importanti non devono essere compromessi. Secondo la pianificazione attuale, entro il 2020 il DDPS dovrebbe quindi disporre di circa 150 posti (coadiuvati dai militari di milizia).

Nell’esercito l’ambito cyber diventerà una sfera operativa a sé stante; di conseguenza sarà sviluppata una base dottrinale per disciplinare l’impiego di tali mezzi e l’istruzione.

In primo luogo l’esercito deve proteggere le proprie infrastrutture. In caso di necessità e se i suoi mezzi lo permettono, può sostenere a titolo sussidiario attori civili. In caso di un conflitto armato può impiegare tutte le sue capacità nell’ambito cyber per contrastare gli attacchi, ridurne l’efficacia e indebolire le competenze degli avversari in tale ambito.

Sì, i mezzi dell’esercito possono essere impiegati anche nell’ambito cyber per prestare aiuto. Le regole e le condizioni generali per un impiego sussidiario dell’esercito sono le seguenti: 

  • le autorità civili non devono più essere in grado di far fronte ai loro compiti per mancanza di personale, di materiale o di tempo;
  • le autorità civili competenti devono aver inoltrato una proposta al Consiglio federale;
  • l’esercito deve avere in quel momento mezzi disponibili e idonei;
  • l’impiego deve svolgersi sotto il comando delle autorità civili.

 

Queste regole e condizioni si applicano a tutti gli impieghi sussidiari dell’esercito, anche nell’ambito cyber.

Attualmente l’esercito dispone di circa 100 militari che possono essere chiamati in servizio e impiegati in questo ambito.

I militari dispongono della formazione e delle conoscenze specialistiche acquisite nella vita civile. L’esercito non è in grado di offrire una vera e propria «scuola reclute cyber». I militari impiegati nell’ambito cyber seguono tuttavia un’istruzione specifica affinché possano essere impiegati secondo le necessità dell’esercito. Sono impiegati come rinforzo dei professionisti e non come unità militari autonome.

Attualmente si sta valutando il seguente modello: nella prima settimana di istruzione militare di base si cercano specialisti informatici in tutte le scuole reclute dell’Esercito svizzero, i quali sono selezionati mediante un assessment. Analogamente a quanto viene fatto per le altre funzioni speciali, ad esempio per i musicisti militari e i piloti, vengono valutate anche le attività prima del servizio e le procedure di selezione. Una prima collaborazione in tale ambito è avvenuta in occasione dei Challenge Swiss Cyber Storm. In seguito, le persone selezionate soggette all’obbligo di prestare servizio svolgono un corso di formazione orientato alla futura funzione militare e assolvono l’obbligo di prestare servizio al fianco di personale professionista dell’esercito. La formazione specialistica si conclude con un attestato professionale federale. Gli specialisti in informatica ottengono in questo modo una maggiore attrattività sul mercato del lavoro e l’esercito contribuisce in modo indiretto alla cybersicurezza della piazza economica svizzera.

Esiste già una stretta collaborazione con alcune scuole universitarie. Si prevede inoltre di rafforzare tale collaborazione a livello di formazione. Attualmente stiamo valutando diverse iniziative. Sulla base del Piano d’azione Cyber Defence, nei prossimi anni sono previsti cicli di studio nell’ambito cyberdifesa.

Il Piano d’azione prevede anche il rafforzamento della collaborazione con l’economia privata. Non è ancora stato definito con chi e in che modo verranno avviate tali collaborazioni.

È difficile indicare una cifra esatta. I confronti e le prime esperienze pratiche mostrano che il sviluppo previsto per l’ambito cyberdifesa potrebbe comportare costi pari circa al 2 per cento delle risorse del DDPS.

Per poter agire e ottenere risultati il più rapidamente possibile, in un primo momento le risorse necessarie saranno ricavate da ridistribuzioni interne. Per permettere rapidi sviluppi in questo ambito, senza tuttavia compromettere le altre prestazioni del DDPS, in futuro si presenterà tuttavia la problematica di ulteriori risorse per la cyberdifesa. Le discussioni al riguardo dovranno tenere conto della situazione generale in materia di risorse della Confederazione e del DDPS.

Attualmente sono in corso i colloqui per definire i termini della collaborazione. La Svizzera sta tuttavia già collaborando con il centro del CCDCOE a Tallinn nel quadro di un progetto pilota (con due esperti svizzeri sul posto) e partecipa a esercitazioni internazionali nell’ambito cyber.

Strategia nazionale per la protezione della Svizzera contro i cyber-rischi

La strategia indica i seguenti punti fondamentali per la riduzione dei cyber-rischi: 

  • modo di agire autoresponsabile (lo Stato deve intervenire solo quando sono in gioco interessi pubblici o nei casi in cui agisce in funzione del principio di sussidiarietà);
  • collaborazione nazionale tra economia, le scuole universitarie e autorità;
  • cooperazione con l’estero.

La strategia si basa sul lavoro della prima strategia, espandendola dove necessario e aggiungendo nuove misure. Stabilisce sette obiettivi ripartiti su dieci campi d’azione molto diversificati che comprendono lo sviluppo di competenze e conoscenze, la promozione della cooperazione internazionale e dei provvedimenti di cyber difesa adottati per rafforzare la gestione degli incidenti e delle crisi, come pure la collaborazione nel perseguimento penale dei cyber-reati e le misure di cyber difesa dell’esercito e del Servizio delle attività informative della Confederazione (SIC).

Nella nuova SNPC è stato introdotto un campo d’azione concernente la standardizzazione e la regolamentazione mediante il quale si incarica la Confederazione di collaborare con il mondo economico per sviluppare standard minimi in materia di cyber sicurezza e di esaminare l’introduzione di obblighi di notifica per i cyber incidenti.

Al fine attuare le misure prestabilite nel modo più rapido ed efficiente possibile, la Confederazione sta esaminando le proprie strutture nel settore dei cyber-rischi. Sulla base di questa verifica la Confederazione elaborerà, in collaborazione con i Cantoni, il mondo economico e le scuole universitarie, un piano di attuazione della SNPC nel quale verranno stabilite le responsabilità per i diversi provvedimenti, le risorse da utilizzare e le scadenze da rispettare.

Le misure devono essere attuate entro la fine del 2023 al più tardi.

Ogni anno viene pubblicato un rapporto sullo stato dell’attuazione delle misure.

Scadenziario

Scadenziario

Stato aprile 2018
Passo Data 
Attuazione del piano d’azione Cyber Defence DDPS Entro la fine del 2020
Il Consiglio federale adotta la SNPC 2018–2023 18 aprile 2018
I Dipartimenti e gli Uffici mettono in atto la SNPC Entro la fine del 2017
Approvazione del piano d’azione Cyber Defence DDPS Ottobre 2016 (analisi e strategia); giugno 2017 (piano di attuazione)
Il Consiglio federale adotta il piano di attuazione SNPC Ottobre 2013
Il Consiglio federale adotta la SNPC 2012–2017 Giugno 2012
Creazione del milCERT e del laboratorio CNO 2007
La Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) diventa operativa 2004 

News

Parlamento

Titolo Tipo Presentato da
Una ciberstrategia globale chiara per la Confederazione Postulato Commissione della politica di sicurezza CN
Quelles solutions pour embaucher les spécialistes en cyberdéfense requis? Heure des questions. Question Béglé Claude (Groupe PDC)
Innovation suisse en matière de cyberdéfense. Comment préserver nos avantages? Heure des questions. Question Béglé Claude (Groupe PDC)
Cyberdéfense. Communication stratégique et opérations d'information Heure des questions. Question Seiler Graf Priska (Groupe socialiste)
Fonds non affectés au programme d'armement 2018. Une opportunité pour la cyberdéfense? Heure des questions. Question Derder Fathi (Groupe libéral-radical)
Cybersicurezza per tutti invece che cyberguerra solo per il DDPS Interpellanza Graf-Litscher Edith (Gruppo socialista)
Creazione di un centro di competenza per la cyber-sicurezza a livello di Confederazione Mozione Eder Joachim (Gruppo liberale radicale)
Un comando Cyber Defence con cybertruppe per l'esercito svizzero Mozione Dittli Josef (Gruppo liberale radicale)