"La sicurezza è difficile da misurare
Florian Schütz è il primo delegato informatico della Confederazione. In un'intervista a SicherheitsForum, spiega perché il settore è sempre più colpito da attacchi informatici e quali importanti obiettivi di cybersecurity sono all'ordine del giorno.
Signor Schütz, quali sono le sfide più importanti nella sua agenda al momento?
Le sfide operative si concentrano sulla diffusione dei rischi informatici. L'esempio delle vulnerabilità di sicurezza nei server di Exchange dimostra che gli incidenti di sicurezza in prodotti di largo utilizzo colpiscono rapidamente centinaia o migliaia di utenti. Inoltre, rimane la nostra massima priorità proteggere le infrastrutture critiche e la stessa Confederazione da attacchi mirati. In questo caso, le strategie sempre più sofisticate degli aggressori e soprattutto gli attacchi attraverso la catena di approvvigionamento rendono la difesa sempre più impegnativa.
Dal punto di vista politico, ci troviamo di fronte alla difficoltà che, da un lato, le procedure democratiche richiedono molto tempo e, dall'altro, la digitalizzazione sta avanzando rapidamente a livello internazionale. Dobbiamo includere in modo plausibile ed efficiente la cybersicurezza negli sforzi di digitalizzazione fin dall'inizio, per promuovere la fiducia in queste tecnologie tra i politici e la popolazione e per mantenere i processi decisionali politici corrispondentemente snelli.
Melani ha registrato un aumento degli attacchi ransomware ai sistemi di controllo industriale lo scorso anno (parola chiave "Ekans"). In che misura "Snake"/"Ekans" deve essere inteso come un avvertimento che la convergenza di IT e ICS o OT ha creato seri rischi per la sicurezza?
La convergenza di IT e OT non può essere fermata. Ciò rende ancora più importante, ad esempio, la creazione di interfacce e zone di sicurezza sufficientemente chiare. La sicurezza deve essere incorporata nella pianificazione dell'infrastruttura fin dall'inizio e deve essere implementata durante l'intero processo di sviluppo fino al funzionamento. Raccomando, ad esempio, l'approccio della progettazione guidata dal dominio, che consente di allineare in modo ottimale l'IT ai requisiti, compresi quelli di sicurezza.
Ha già reso la Svizzera più sicura e quali sono gli obiettivi più importanti che vuole raggiungere quest'anno come responsabile informatico della Confederazione?
La sicurezza è difficile da misurare e alla fine sono gli altri a dover decidere se le mie attività hanno già prodotto un contributo significativo alla sicurezza informatica della Svizzera. Tuttavia, sono convinto che abbiamo già ottenuto molto. Abbiamo affinato e rafforzato l'organizzazione nella Confederazione. Nello specifico, ad esempio, abbiamo creato un punto di contatto nazionale in cui aziende, autorità e cittadini possono segnalare gli incidenti informatici in modo centralizzato. Questo ufficio inoltra le richieste all'ufficio competente, anch'esso esterno alla Confederazione. Abbiamo anche reso più facilmente disponibili le informazioni sulla protezione preventiva nella nostra nuova homepage. Nel caso della sicurezza dell'app svizzera Covid, abbiamo coordinato i test di sicurezza e non solo li abbiamo testati noi stessi, ma abbiamo anche coinvolto il pubblico. Questi sono solo alcuni esempi.
A mio avviso, tuttavia, sia la comunità imprenditoriale che le autorità hanno ancora un po' da recuperare in varie aree della protezione di base. La maggior parte degli attacchi riusciti sfrutta vulnerabilità note da tempo e che avrebbero potuto essere eliminate. Il nostro obiettivo a lungo termine è che l'NCSC crei le condizioni quadro necessarie per consentire alle autorità pubbliche e alle PMI di appropriarsi della protezione informatica e di sfruttare le opportunità di digitalizzazione a costi ragionevoli. Entro la fine di quest'anno, vorremmo compiere diversi passi per raggiungere questo obiettivo. Presenteremo al Consiglio federale una proposta di legge per introdurre l'obbligo di segnalazione degli attacchi informatici, condurremo una campagna di sensibilizzazione con le organizzazioni partner a maggio e stiamo collaborando con le infrastrutture critiche per ampliare lo scambio di informazioni sui rischi informatici.
Quest'anno volete assumere più professionisti per il Centro nazionale di sicurezza informatica. Riuscirete a trovarli?
Finora l'NCSC non ha avuto problemi a trovare specialisti adeguati. Abbiamo a disposizione un'ampia rete di specialisti e siamo sempre lieti di constatare che molti di essi sono motivati a mettere a disposizione le loro conoscenze specialistiche per la sicurezza della Svizzera.
Leggete l'intervista completa nel numero stampato di SicherheitsForum 2-2021.
Volete leggere gli articoli di questo numero? Allora chiudete subito qui un abbonamento.