Conclusione dell’inchiesta amministrativa concernente l’attacco hacker contro Xplain: il Consiglio federale decide misure

Berna, 01.05.2024 - Nella sua seduta del 1° maggio 2024, il Consiglio federale ha deciso misure volte a impedire future fughe di dati presso i fornitori di applicazioni informatiche, basandosi sul rapporto scaturito dall’inchiesta amministrativa appena pubblicato. Nell’agosto del 2023 il Consiglio federale aveva affidato a un servizio esterno l’incarico di indagare le circostanze che hanno portato alla fuga di dati presso Xplain.

Nella primavera del 2023, a seguito di un attacco ransomware contro Xplain, una società produttrice di software nel settore della sicurezza, sono stati sottratti e poi pubblicati sul dark web una grande quantità di dati. Sono stati interessati anche dati produttivi dell’Amministrazione federale, incluse informazioni confidenziali e personali degne di particolare protezione. Da quando è stata resa nota la fuga di dati, il Consiglio federale ha adottato o ordinato numerose misure per esaminare l’attacco contro Xplain e trarne insegnamenti.

L’Esecutivo ha ordinato un’inchiesta amministrativa per scoprire quali circostanze all’interno dell’Amministrazione federale hanno permesso a Xplain di entrare in possesso di dati produttivi appartenenti a quest’ultima. L’inchiesta, condotta dallo studio legale OBERSON ABELS SA, si è conclusa con la pubblicazione del relativo rapporto, da cui si evince che negli ultimi anni in singoli casi dei dati produttivi della Confederazione sono stati trasmessi all’ambiente informatico di Xplain. Ciò è avvenuto durante le fasi di test e di integrazione di un software o nel quadro di servizi di manutenzione o di supporto, per opera sia di dipendenti di Xplain, che disponevano di un account di posta elettronica della Confederazione, che di dipendenti federali. Inoltre, una funzione di supporto – nel frattempo disattivata – presente in alcune applicazioni di Xplain ha provocato il trasferimento di un grande volume di dati dall’ambiente IT della Confederazione a quello della società. Secondo l’organo d’inchiesta, i servizi federali interessati hanno dimostrato una certa negligenza nell’adempimento del loro obbligo di selezionare con cura i propri fornitori e di istruirli e sorvegliarli in modo adeguato. Tali obblighi non sono stati adempiuti in materia di protezione dei dati, mentre dal punto di vista della sicurezza dell’informazione lo sono stati solo in parte.

Con l’entrata in vigore della legge sulla sicurezza delle informazioni (LSin, RS 128) il 1° gennaio 2024, sono già state introdotte molte misure che miglioreranno la sicurezza in maniera sistematica e duratura. Alle unità amministrative viene inoltre richiesto di istituire e mettere in esercizio un sistema di gestione della sicurezza delle informazioni (SGSI) al più tardi entro fine 2026. Tale sistema consente alla direzione di eseguire tutti i processi di sicurezza, come l’inventario delle informazioni e dei mezzi informatici, le valutazioni dei rischi, la sicurezza nella collaborazione con terzi, la formazione, la gestione degli incidenti o la pianificazione di verifiche.

Una serie di misure per impedire fughe di dati

Il Consiglio federale ha anche approvato un pacchetto di misure per impedire fughe di dati in futuro. Tali misure dovranno essere realizzate entro la fine del 2024 e si concentrano sui seguenti tre settori:

  • in primo luogo, la gestione della sicurezza sarà rafforzata, tra l’altro introducendo regole supplementari per la collaborazione con i fornitori. Occorre rafforzare la capacità di controllo e di eseguire verifiche;

  • in secondo luogo, sarà elaborato un piano di formazione specifico alle funzioni per formare e sensibilizzare i collaboratori sulle prescrizioni di sicurezza vigenti;

  • in terzo luogo, sarà realizzata una panoramica sui mezzi di comunicazione a disposizione delle autorità federali.

Per migliorare ulteriormente la sicurezza dei dati della Confederazione e trarre insegnamenti dall’accaduto, l’Esecutivo ha incaricato il Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) di esaminare la protezione di base delle TIC della Confederazione entro la fine del 2024 e di proporre eventuali adeguamenti. Entro lo stesso termine l’Ufficio federale della cibersicurezza (UFCS) dovrà indicare come si svolge concretamente il coordinamento tra Confederazione, Cantoni e fornitori nella gestione dei ciberattacchi e quali sono i criteri utilizzati per valutarne la portata.

Questi provvedimenti completano le misure immediate adottate dalle unità amministrative e nella gestione dei contratti subito dopo l’incidente (p. es. riguardo alla collaborazione con Xplain, alla sensibilizzazione dei fornitori IT e alla verifica dei contratti stipulati con questi ultimi) nonché le misure introdotte sulla base della nuova LSin.

Proseguimento dei lavori nelle strutture ordinarie e scioglimento dello stato maggiore di crisi

Dopo la conclusione dell’inchiesta amministrativa e la decisione del Consiglio federale sulle diverse misure, è possibile proseguire i lavori nelle strutture ordinarie. L’Esecutivo ha quindi sciolto lo stato maggiore di crisi politico-strategico per la fuga di dati, che dal giugno 2023 ha coordinato i lavori relativi all’incidente che ha coinvolto Xplain.

Ulteriori inchieste e procedimenti penali indipendenti

Parallelamente all’inchiesta amministrativa ordinata dal Consiglio federale, pure l’Incaricato federale della protezione dei dati e della trasparenza quale autorità di vigilanza indipendente ai sensi della legge federale sulla protezione dei dati (LPD; RS 235.1) ha condotto un’inchiesta sulla fuga di dati presso Xplain. Anche il rapporto finale relativo a tale inchiesta è pubblicato in data odierna. Le due inchieste sono state svolte in modo indipendente l’una dall’altra.

Presso il Ministero pubblico della Confederazione (MPC) sono in corso due procedimenti penali relativi al ciberattacco contro Xplain. La comunicazione di informazioni in merito spetta al MPC.


Indirizzo cui rivolgere domande

Comunicazione DFF
Tel. +41 58 462 60 33,
kommunikation@gs-efd.admin.ch

Comunicazione DDPS
Tel. +41 58 464 50 58
kommunikation@gs-vbs.admin.ch



Pubblicato da

Il Consiglio federale
https://www.admin.ch/gov/it/pagina-iniziale.html

Segreteria generale DFF
http://www.efd.admin.ch

Segreteria generale del DDPS
https://www.vbs.admin.ch/

Ufficio federale della cibersicurezza
https://www.ufcs.admin.ch

Segreteria di Stato della politica di sicurezza
https://www.sepos.admin.ch/it

https://www.admin.ch/content/gov/it/pagina-iniziale/documentazione/comunicati-stampa.msg-id-100890.html