print preview Ritornare alla pagina precedente Pagina iniziale

La sicurezza TIC è un processo e non uno stato

Attualmente l'Esercito svizzero dispone di un'infrastruttura TIC (tecnologie dell'informazione e della comunicazione) eterogenea, ampliatasi con il passare degli anni. Alcune tecnologie impiegate ancor oggi, risalgono a decenni fa, mentre il progresso tecnologico avanza con estrema rapidità. Queste condizioni quadro pongono la sicurezza TIC di fronte a importanti sfide. Spesso l'aspetto operativo è in contrapposizione con quello della sicurezza. Per portare questo conglomerato al più recente livello tecnologico, negli scorsi anni sono stati decisi e attuati cambiamenti fondamentali nell'ambito delle TIC dell'esercito.

28.08.2020 | Comunicazione Difesa, Anna Muser

Nella primavera del 2018 l'allora capo BAC ha dato avvio a un progetto interno volto a incrementare la sicurezza dei sistemi TIC dell'Esercito svizzero. L'incipit era stato dato da un incidente a livello di sicurezza ciber, avvenuto presso la RUAG, ma anche da punti deboli nei sistemi TIC dell'esercito, individuati mediante review, test e penetration testing. Analizzando più precisamente la situazione iniziale, con ogni esperienza acquisita è aumentata in modo esponenziale anche la necessità d'intervento. L'attuazione si concluderà in un prossimo futuro. Per illustrare i nessi, occorre dapprima volgere lo sguardo al passato.

La storia della BAC

Nella sua forma attuale, l'odierna Base d'aiuto alla condotta esiste dal 2005. È nata a seguito della fusione tra il Gruppo dell'aiuto alla condotta (Grac) e la Direzione dell'informatica e della comunicazione (DIRINF-DDPS). Tale fusione aveva segnato anche l'unione tra l'informatica civile e quella militare nel DDPS. In precedenza i due ambiti perseguivano in passato obiettivi totalmente diversi, i rispettivi organici avevano vissuto culture differenti in materia di sicurezza e le attività nei sistemi «a compartimenti stagni» erano difficilmente conciliabili. È proprio in base alla fusione tra Grac e DIRINF-DDPS che ancor oggi la Base d'aiuto alla condotta fornisce prestazioni a favore dell'esercito e della Rete integrata Svizzera per la sicurezza (RSS), ma anche a favore dell'Amministrazione federale civile, all'interno e all'esterno del DDPS.    

Sulla base di quanto accaduto presso la RUAG, nell'aprile del 2016 l'allora capo del Dipartimento Guy Parmelin decise di scorporare nuovamente i sistemi TIC dell'esercito e dell'amministrazione. Soltanto in questo modo la BAC avrebbe avuto l'opportunità di soddisfare le esigenze poste dai rapidissimi sviluppi tecnologici, dalle crescenti minacce del ciberspazio e dalle esigenze vieppiù elevate dell'esercito, per potersi così concentrare sul suo compito fondamentale.

Scorporo delle TIC civili e militari

Con il programma «Scorporo delle prestazioni di base», i sistemi dell'esercito e della RSS rilevanti per l'impiego, che pongono esigenze elevate in termini di sicurezza e robustezza, vengono separati in modo coerente dai sistemi dell'Amministrazione federale. In futuro i sistemi rilevanti per l'impiego dovranno funzionare in modo totalmente autonomo e separato dai sistemi civili. Il concetto di scorporo prevede che i sistemi militari possano scambiare informazioni in modo sicuro e controllato con il resto dell'Amministrazione federale e con il mondo civile. Lo scorporo delle prestazioni di base e la costituzione di nuove zone determina tre vantaggi essenziali:

-       la sicurezza TIC dei sistemi rilevanti per l'impiego viene aumentata sensibilmente;

-       le competenze per la sicurezza TIC nelle varie zone vengono disciplinate chiaramente;

-       la BAC può concentrarsi appieno sulla fornitura di prestazioni a favore dell'esercito e della RSS.

Con lo scorporo sarà esternalizzato l'esercizio delle cosiddette prestazioni di base che comprendono dozzine di applicazioni specialistiche civili. In tal modo l'intera burotica con circa 15 000 utenti viene ceduta all'Ufficio federale dell'informatica e della telecomunicazione (UFIT). Mediante effetti di scala è possibile ridurre i costi IT nell'amministrazione. Nell'ambiente altamente sicuro del Centro operazioni elettroniche, dove vengono fornite prestazioni nel ciberspazio e nello spazio elettromagnetico, questa separazione è già stata attuata da molto tempo.

Dal «vecchio» al «nuovo» mondo

Per poter attuare lo scorporo, si è resa necessaria un'ulteriore decisione di principio: si poteva sfruttare l'infrastruttura di sistemi esistente (che sarebbe equivalso a un'operazione a cuore aperto) oppure si sarebbe costituita un'infrastruttura di sistemi totalmente nuova parallelamente a quella esistente. In base alla complessità e alle risorse disponibili, si è optato per la seconda variante. Perciò viene abbandonata totalmente l'infrastruttura TIC cresciuta con il tempo e, per sostituirla, ne viene creata una totalmente nuova.

Le prestazioni, riassunte nel programma FITANIA, costituiscono i pilastri fondamentali in tal senso. Con l'aggiudicazione da parte di Swisscom nell'autunno del 2019 della costituzione della piattaforma per i nuovi centri di calcolo, è stato trovato un partner appropriato dell'industria. Nella nuova infrastruttura TIC che viene a crearsi, dal principio viene praticato un approccio moderno con la sicurezza che permette di mantenere una visione d'insieme permanente di tutti gli asset TIC e di garantire l'IT Service Continuity Management. In tal senso non vengono più protetti singoli sistemi, bensì le informazioni. Singoli sistemi datati, attualmente ancora in funzione, ma che non soddisfano più le esigenze attuali in materia di sicurezza, sono già stati isolati in modo coerente. Sul piano economico non sarebbe sensato ampliare la protezione TIC di sistemi obsoleti. Una delle conseguenze di questo modo di procedere è che i rischi legati ai sistemi obsoleti e isolati vengono assunti dal DDPS in modo consapevole. Per questi sistemi le differenze rispetto alla protezione di base delle TIC della Confederazione non sono state notificate all'ODIC dell'Amministrazione federale se non pregiudicavano le TIC dell'Amministrazione federale. La notifica avrebbe determinato a sua volta dei rischi per la sicurezza.

Questione di governance

L'ordinanza sull'informatica nell'Amministrazione federale (OIAF) disciplina la governance delle TIC in seno all'Amministrazione federale mentre l'ODIC è l'organo responsabile delle direttive. Gli audit vengono svolti dal Controllo federale delle finanze (CDF) che garantisce anche la supervisione delle TIC. Le varie applicazioni gestite dalla BAC devono tuttavia soddisfare svariate esigenze in materia di sicurezza. Perciò per i sistemi militari valgono criteri di sicurezza più completi per la protezione e la difesa da minacce provenienti dal ciberspazio. La sicurezza dei sistemi militari deve essere dunque esaminata mediante un catalogo di criteri ampliato. A tale scopo presso la BAC è stato realizzato un sistema di sicurezza e di gestione delle informazioni (ISMS) proprio. L'ISMS BAC è stato certificato secondo ISO/IC 27001 da parte della SQS alla fine del 2018.

Con l'attuazione coerente dello scorporo, il DDPS assume già oggi la responsabilità della sicurezza dei propri sistemi e assume autonomamente anche i rischi che ne derivano. I criteri dell'ODIC per la protezione di base delle TIC della Confederazione vengono ripresi laddove appare sensato e inaspriti dove necessario. In singoli casi può anche accadere che, in sistemi militari, i criteri della protezione di base delle TIC della Confederazione non possano essere rispettati per motivi tecnici. Non è pertanto più possibile per esempio implementare la cosiddetta identificazione a due fattori per sistemi datati prodotti da terze parti.

Nel bel mezzo del processo

In base alla sua complessità e ai sistemi esistenti, un'infrastruttura TIC robusta e altamente sicura per l'Esercito svizzero  non può essere realizzata dall'oggi al domani. I processi d'acquisto in seno all'Amministrazione federale, le risorse disponibili nonché i requisiti posti in continuità alla Base d'aiuto alla condotta hanno inoltre un influsso notevole sui tempi d'attuazione. Con il riorientamento strategico avviato nel 2018, l'intera BAC mira a una fornitura di prestazioni TIC nonché allo svolgimento di operazioni elettroniche robuste e altamente sicure a favore dell'esercito in ogni situazione. Per individuare lo stato di sicurezza nell'attuale fase di trasformazione, nell'estate del 2018 sono stati effettuati vari test in collaborazione con partner dell'industria. Le esperienze acquisite hanno già permesso di incrementare notevolmente la sicurezza TIC per proteggersi da manipolazioni e intrusioni indesiderate. È stato inoltre avviato un nuovo progetto volto ad automatizzare le configurazioni dei firewall. Così facendo è possibile ridurre al minimo le fonti di errore umano e verificare in ogni momento con facilità lo stato dei singoli componenti.

Per i sistemi esistenti sono stati realizzati criteri di sicurezza totalmente nuovi per l'architettura che a loro volta confluiranno nei progetti futuri. In tal senso è stato realizzato un nuovo genere di strutturazione dei sistemi di software e della piattaforma su cui si basano. Una delle principali misure è stata la costituzione del settore Cyber Security e l'occupazione del posto di capo Cyber Security (CISO BAC). In tale nuovo settore sono ora concentrate le forze della BAC attive nell'ambito della sicurezza. Ne fanno parte le sezioni Strategia in materia di sicurezza, Sicurezza integrale nonché il Cyber Fusion Center. In quest'ultimo convergono tutte le informazioni provenienti dal ciberspazio e viene ampliata sensibilmente la sorveglianza della sicurezza. È così possibile monitorare meglio le attività di rete. In particolare per la formazione dei collaboratori interni ed esterni alla BAC è stato costituito il team Formazione e Awareness Cyber Security, che svolge costantemente sequenze e-learning d'attualità e formazioni vere e proprie volte ad aumentare la sicurezza. Inoltre dall'inizio del 2020 la BAC dispone della ICT Warrior Academy in cui degli specialisti vengono preparati alle nuove esigenze dell'esercito e acquisiscono nuove competenze. Nel settore Innovazione si lavora con metodi agili per aumentare la trasparenza, reagire più rapidamente alle esigenze dei clienti e adottare tempestivamente tecnologie moderne. Concentrandosi sullo scorporo delle prestazioni di base e sull'ultimazione di FITANIA, vengono inoltre concretizzati elementi che incrementeranno notevolmente la sicurezza TIC sull'arco dei prossimi anni.

Ulteriore sviluppo verso il Comando Ciber

In futuro si tratterà di poter impiegare in modo preciso e mirato i mezzi dell'esercito sulla base di un vantaggio conoscitivo e decisionale. Il presupposto in tal senso è dato da un'integrazione flessibile di sensori ed effettori che permetta al comandante di prendere le decisioni giuste più rapidamente. Per poter far fronte alle crescenti ciberminacce sia sul piano qualitativo che quantitativo, le capacità ciber nell'esercito devono essere raggruppate in modo ancor più coerente. Con la mozione Dittli del marzo 2018, dal Parlamento era stato richiesto di sviluppare ulteriormente la BAC trasformandola in Comando Ciber. Si tratta peraltro di una conseguenza logica nell'ulteriore sviluppo della BAC in vista degli obiettivi 2030+ dell'Esercito svizzero. Attualmente il progetto si trova nella fase di «inizializzazione» e si prevede di completare opportunamente la legge militare. Per garantire prestazioni TIC e operazioni elettroniche altamente sicure e robuste per l'esercito, la Base d'aiuto alla condotta necessita soprattutto di condizioni quadro stabili e perseveranza.