CUMINAIVEL | Sicurezza dell’informazione: la persona è centrale

Durante un impiego, la comunicazione dev’essere la più rapida possibile e non dev’essere perturbata. Per far ciò, l’esercito mette diversi strumenti a disposizione degli utenti. Per abitudine o per comodità, può succedere che delle informazioni di servizio siano trasmesse tramite apparecchi privati come smartphone o computer portatili. Questo è pericoloso!

Delle informazioni sensibili possono essere intercettate o falsificate. Alcuni apparecchi permettono di localizzare i proprietari, rendendo possibile la localizzazione dei dispositivi di protezione. Conviene dunque ricordare qui le regole di base per un uso responsabile degli oggetti connessi in servizio (privati o militari):

• Usare gli apparecchi militari unicamente per scopi militari.
• Usare il telefonino personale unicamente durante il tempo libero. In caso di bisogno, ad esempio per un’allerta o quando gli altri mezzi di trasmissione sono fuori uso, può essere fatta un’eccezione.
• Non connettere gli apparecchi personali con quelli militari, al fine di evitare la fuga d’informazioni e la propagazione di programmi dannosi.
• In caso di spostamento verso una postazione segreta, spegnere completamente ogni oggetto connesso (privato o militare) o disattivare sistematicamente i servizi di geolocalizzazione in tutti i dispositivi di sicurezza.
• Gli oggetti connessi possono potenzialmente trasformarsi in microfoni clandestini. Questi apparecchi devono dunque essere messi sottochiave prima di ogni conversazione confidenziale o sensibile.
• Essere critici riguardo le informazioni che si ricevono attraverso canali non verificati. In caso di dubbio, chiedere conferma ai piani superiori della scala gerarchica.
• Rispettare le istruzioni specifiche legate alla missione ricevute dal superiore riguardo l’uso degli oggetti connessi.

Per le comunicazioni di servizio sullo smartphone: usare Threema

Il servizio di messaggeria istantaneo Threema è autorizzato per le necessità di servizio. L’acquisto di questa applicazione è rimborsato dall’Esercito (rivolgersi al proprio comandante a questo soggetto). Per un uso militare di questa applicazione, prendere nota dei punti seguenti:

• Un puntino rosso indica che l'identificazione Threema (ID Threema) del contatto è conosciuta. Due puntini arancioni o due puntini blu indicano che il numero di telefono del contatto è registrato nella rubrica personale.
• Per avere una conversazione fino al livello di protezione 2 (CONFIDENZIALE), è necessario autenticare il contatto in anticipo, scannerizzando l’identificazione Threema (codice QR) sul telefonino e facendo scannerizzare a questa persona il vostro. Tre puntini verdi significa che la procedura di autenticazione reciproca è riuscita.
• Le informazioni classificate sotto il livello di protezione 3 (SEGRETO) possono essere scambiate unicamente tramite sistemi militari ulteriormente securizzati.

Voice-Phishing

Le possibilità tecniche di falsificazione vocale e il potenziale rischio di voice-phishing che ne deriva sono in costante aumento.

Nella maggior parte dei casi, si tratta di tentativi di truffa con lo scopo di manipolare la vittima tramite telefono, facendole effettuare azioni o divulgare informazioni. Spesso i criminali si fanno passare per una delle persone con grado superiore e fingono un’urgenza.

In qualsiasi caso, il principio rimane il medesimo: non divulgare mai password, dati di connessione o informazioni segrete. Anche in caso di pressione telefonica, e in particolare in caso di dubbio, bisogna esigere almeno una seconda prova d’identità, come un documento firmato inviato da un indirizzo dell’amministrazione federale.

Segnalare i casi sospetti

Segnalare immediatamente gli incidenti sospetti come cyber attacchi al vostro superiore e al service desk della piattaforma di servizio dell’UFIT per telefono: +41 58 465 22 22 (raggiungibile 24 ore su 24 durante il servizio d’appoggio dell’Esercito).

Prendere nota di tutte le informazioni possibili e inviarle con la segnalazione dell’incidente per telefono all’UFIT. Inoltre, vogliate segnalare le e-mail di phishing ricevute nella cartella SPAM del programma di messaggeria Outlook.