Dati rubati, il tema della sicurezza delle informazioni deve essere disciplinato sin dall'inizio

Per garantire la sicurezza delle informazioni di fornitori informatici della Confederazione è necessario agire già al momento della valutazione dei bisogni, e non solo quando si stipula un contratto. È quanto afferma un rapporto commissionato dal Consiglio federale dopo il caso della fuga di dati presso Xplain.

Il rapporto è stato elaborato dalla Segreteria di Stato della politica di sicurezza (SEPOS) in collaborazione con i servizi di acquisto dell'Amministrazione federale e gli uffici di diversi dipartimenti. Il servizio che necessita di una prestazione o di un prodotto informatico deve definire in modo tempestivo i requisiti di sicurezza. Il servizio d'acquisto, responsabile della procedura d'appalto, dal canto suo deve assicurarsi che le richieste siano riportate correttamente nella documentazione del bando.

È necessario uno stretto coordinamento tra servizio richiedente e servizio d'acquisto. Se il tema della sicurezza delle informazioni non viene disciplinato sin dall'inizio, in un secondo momento è difficile rimediarvi o lo è solo sostenendo costi aggiuntivi, afferma un comunicato odierno della SEPOS.

Il rapporto sottolinea inoltre che la sicurezza delle informazioni non può limitarsi al fornitore a cui è stato assegnato l'appalto. Spesso dietro alla fornitura di una prestazione statale vi sono catene lunghe e molto ramificate, che non di rado si estendono oltre i confini nazionali, sottolinea la nota. Le direttive in materia di sicurezza quindi devono essere rispettate per tutta la catena di fornitura che è alla base di una prestazione contrattuale.

Il rapporto elenca anche gli strumenti di vigilanza rivelatisi efficaci, che spaziano dall'autodichiarazione dei fornitori e da controlli e audit da parte della Confederazione alla richiesta di sistemi certificati e aggiornati. Per quanto riguarda i controlli, la SEPOS chiede che si concentrino negli ambiti in cui vi sono i rischi maggiori per la Svizzera. Se i rischi sono bassi, l'onere per la vigilanza va invece ridotto al minimo, visto che le risorse per vigilare sulla sicurezza degli appalti sono limitate.

L'attacco informatico al fornitore di servizi IT Xplain era stato reso noto il 23 maggio 2023. Gli hacker avevano attaccato i server di Xplain con un ransomware, rubato i dati dell'Amministrazione federale e li avevano pubblicati sul darknet. Tra le altre cose, sono finiti sul darknet anche i dati personali della polizia militare e i dettagli delle persone che nel 2015 erano state inserite nel sistema informativo sugli hooligan.