Rischi informatici: una minaccia per le infrastrutture critiche

20.09.2019
Contributo di Daniel Caduff
Pubblicato sotto:   Rischi informatici, sicurezza, infrastruttura
Versione originale: tedesco

Le infrastrutture e i processi di approvvigionamento critici in Svizzera devono far fronte a una minaccia sempre più grande. Oggi l'approvvigionamento elettrico, come quello dell'acqua potabile, i trasporti pubblici, l'approvvigionamento alimentare o gli ospedali dipendono tutti dall'informatica e dalle telecomunicazioni (TIC).

Attacchi spettacolari avvengono sempre più spesso e i media vi dedicano ampio spazio. Che si tratti degli attacchi all'approvvigionamento elettrico dell'Ucraina nel 2015, del black-out negli ospedali del sistema sanitario britannico NHS nel 2017 causato dal software maligno «WannaCry», della perdita di milioni subita dalla compagnia marittima Maersk a causa del software dannoso «NotPetya» nel 2018 o dell'attacco, recentemente reso noto, contro l'azienda specializzata nel settore della domotecnica MEIER TOBLER, al giorno d'oggi nessuno e niente è al sicuro.

Gli attacchi conosciuti sono tuttavia soltanto la punta dell'iceberg. Ogni giorno i fornitori di energia elettrica, le banche o le imprese high-tech nei settori dell'armamento, della biotecnologia, dell'informatica, della chimica, ecc. devono far fronte a un gran numero di rischi informatici. Questi non comprendono soltanto gli attacchi di hacker diretti da organizzazioni criminali o statali: le minacce possono insorgere anche dalla perdita dell'integrità dei dati, della fiducia in essi o della loro disponibilità.

Anche errori involontari dei collaboratori o quelli non rilevati in un software utilizzato possono ad esempio causare la perdita di dati. Allo stesso modo, errori accidentali commessi durante lavori di costruzione possono danneggiare ad esempio linee per la trasmissione dei dati pregiudicando quindi la loro disponibilità. Nelle infrastrutture critiche tali rischi possono mettere a repentaglio l'approvvigionamento e il funzionamento del Paese o esporre la vita umana a un pericolo diretto. Sensori che trasmettono misurazioni errate nella rete elettrica possono produrre errori di commutazione e quindi cortocircuiti o un'interruzione di corrente generalizzata causando ingenti danni agli impianti. Se ad esempio è stato coinvolto un impianto elettrico di trasformazione, allora la riparazione può durare più settimane. Misurazioni trasmesse in modo errato a una macchina cuore-polmone in un ospedale o a uno scambio nella rete ferroviaria dei trasporti pubblici possono rappresentare un rischio diretto per la vita dei pazienti o viaggiatori in questione.

Ma anche senza pericolo di vita diretto, i rischi possono essere considerevoli. La perdita di riservatezza nel trattamento dei dati bancari dei clienti rappresenta un grande rischio per la reputazione delle banche. Se i clienti perdono la fiducia nelle capacità della loro banca di proteggere i loro dati, possono decidere di prelevare i fondi e quindi compromettere la capacità di funzionamento della banca stessa. Altri rischi possibili riguardano ad esempio lo spionaggio (per motivi economici o militari) o il ricatto.

Per contrastare questi rischi, nel quadro della Strategia nazionale per la protezione della Svizzera contro i rischi informatici (SNPC) approvata dal Consiglio federale nel 2012, l'Ufficio federale per l'approvvigionamento economico del Paese UFAE ha realizzato delle analisi della vulnerabilità in diversi settori d'importanza vitale. Sono stati esaminati ad esempio l'approvvigionamento elettrico, l'approvvigionamento di acqua potabile e quello alimentare o anche il trasporto stradale e ferroviario. Sulla base dei risultati l'UFAE ha in seguito sviluppato lo standard minimo per le TIC per rafforzarne la resilienza. Lo standard è rivolto in particolare agli operatori delle infrastrutture critiche in Svizzera. Può essere però utilizzato da qualsiasi organizzazione o impresa.

Lo standard minimo per le TIC si basa sul framework del NIST (National Institute of Standards and Technology), riconosciuto a livello internazionale, ed è compatibile con altri standard di sicurezza informatica. Assieme a diverse associazioni economiche, lo standard minimo per i singoli settori è già stato affinato ulteriormente. Standard settoriali specifici esistono attualmente per l'approvvigionamento elettrico, dell'acqua potabile e alimentare, mentre altri sono al momento in preparazione. Tutti gli standard e i materiali ausiliari sono «open source» e possono essere scaricati dal sito dell'UFAE.

Daniel Caduff
Daniel Caduff
Responsabile Segreterie Logistica & TIC a.i., Ufficio federale per l'approvvigionamento economico del Paese UFAE