-
Le attività dell'istituto nazionale di test per la cibersicurezza NTC non sono orientate al profitto, ma agiscono esclusivamente nell'interesse della società e dell'economia svizzera. Le attività dell'organizzazione sono finanziate principalmente dal settore pubblico.
-
No, l'NTC è un'organizzazione indipendente e senza scopo di lucro ai sensi del diritto svizzero.
-
No, l'NTC non esegue test per conto di fornitori di prodotti, produttori o fornitori di servizi del settore privato. Gli incarichi di test relativi a infrastrutture e autorità critiche hanno la massima priorità per L'NTC. Questi vengono eseguiti in modo completamente indipendente. È quindi esclusa qualsiasi influenza sull'obiettività dell'NTC.
-
No. Per mantenere la neutralità, non vengono effettuate certificazioni in conformità a standard internazionali o nazionali che potrebbero essere utilizzati da fornitori di prodotti, produttori o fornitori di servizi per rafforzare la loro posizione sul mercato.
-
No, l'NTC verifica le vulnerabilità di prodotti che altrimenti non verrebbero testati, in gran parte di propria iniziativa e quindi a proprie spese. Si tratta in genere di prodotti digitali e infrastrutture di rete per i quali non esistono soggetti responsabili (ad esempio, consigli di amministrazione), una regolamentazione insufficiente o altri clienti, o per i quali il mercato della verifica non funziona.
Senza l'NTC, questi prodotti e sistemi socialmente rilevanti spesso non verrebbero affatto verificati. In pratica, è stato persino dimostrato che le attività dell'NTC generano nuovi progetti per il settore privato. Evidenziando le vulnerabilità, l'NTC sensibilizza le organizzazioni interessate alla sicurezza. Queste ultime riconoscono l'importanza e l'urgenza del problema e spesso chiedono il supporto di fornitori privati di sicurezza informatica.
-
Sì, l'NTC esamina la cibersicurezza delle infrastrutture critiche e delle autorità per conto di organizzazioni al fine di garantire la sicurezza e l'indipendenza della Svizzera. In questo modo, collabora con le aziende del settore privato piuttosto che competere con loro. Se gli audit possono essere eseguiti anche da società svizzere di sicurezza informatica, i servizi offerti dall'NTC devono essere remunerati in linea con il mercato. L'NTC non compete attivamente con le società di sicurezza private.
-
I progetti di iniziativa sono test di prodotti digitali e infrastrutture di rete avviati e autofinanziati dall'NTC al fine di scoprire le vulnerabilità. L'NTC decide autonomamente cosa testare e con quale intensità, sulla base dell'esperienza, delle osservazioni e delle informazioni fornite dai partner o dal pubblico. I risultati sono pubblicati in conformità con la NTC Vulnerability Disclosure Policy per renderli accessibili al pubblico.
-
No, si riconosce che non tutti gli operatori di infrastrutture critiche possono attribuire la stessa priorità alla ciberisicurezza, poiché potrebbero non disporre di competenze e risorse sufficienti. Se l'NTC sospetta, sulla base di esperienze, osservazioni e indicazioni, che il sistema di un operatore di infrastruttura critica possa essere affetto da vulnerabilità, i test di sicurezza vengono avviati caso per caso.
-
No, ma in determinate circostanze possono essere pubblicati i nomi dei produttori e dei prodotti interessati da una vulnerabilità. Se non sono state riscontrate vulnerabilità in un prodotto, non verrà pubblicata alcuna informazione, poiché ciò potrebbe inviare un falso segnale di sicurezza. I produttori che non hanno ricevuto una segnalazione di vulnerabilità non devono essere incoraggiati a smettere di investire nella cibersicurezza. Il fatto che l'NTC non abbia trovato alcuna vulnerabilità non significa che non ve ne siano.
-
Il modo in cui i progetti di iniziativa sono strutturati come progetti non commissionati solleva una serie di interrogativi in merito alla possibile responsabilità penale ai sensi del diritto penale svizzero. I responsabili dell'NTC volevano comprendere appieno la situazione giuridica svizzera per poter rispettare le normative pertinenti durante i test.
-
La NTC è convinta che la divulgazione responsabile delle vulnerabilità contribuisca in modo significativo ad aumentare la sicurezza della Svizzera. Come indicato nella NTC Vulnerability Disclosure Policy , l'NTC persegue tre obiettivi con la divulgazione delle vulnerabilità:
1) Comunicazione privata iniziale al fornitore per garantire una correzione tempestiva e accurata delle vulnerabilità per proteggere i sistemi interessati.
2) Divulgazione pubblica delle informazioni sui modelli di vulnerabilità per garantire che non si ripetano.
3) Divulgazione pubblica delle vulnerabilità, dei prodotti interessati e dei venditori come avvertimento delle vulnerabilità per consentire agli utenti di prendere le proprie precauzioni, soprattutto se le patch non sono rese disponibili dai venditori o lo sono in ritardo. -
L'NTC rimane in contatto con l'organizzazione interessata durante l'intero processo di divulgazione delle vulnerabilità e cerca di trovare una soluzione che porti il massimo beneficio a tutte le parti coinvolte. Secondo la NTC Vulnerability Disclosure Policy, vi è una certa flessibilità nell'accuratezza della divulgazione. Tuttavia, il fatto che le vulnerabilità vengano rese pubbliche è indiscutibile.
-
No. NTC Vulnerability Disclosure Policy prevede regole chiare chiare che definiscono quando pubblicare dettagli sul produttore, sul prodotto o sulla vulnerabilità. Non vengono pubblicati né il nome del prodotto e del produttore né una descrizione dettagliata della vulnerabilità se sono soddisfatte le seguenti condizioni:
- il produttore risolve la vulnerabilità senza che le parti interessate debbano fare nulla (ad esempio, nel caso di un servizio cloud in cui l'utente non deve installare patch)
- non ci sono prove che la vulnerabilità sia stata sfruttata (ad esempio, nei file di log).
-
No. L'NTC è indipendente e di norma non condivide le informazioni sulle vulnerabilità con il Centro nazionale per la cibersicurezza UFCS o con altre terze parti. L'NTC segnala le vulnerabilità direttamente al fornitore o al proprietario del sistema, seguendo la politica di divulgazione delle vulnerabilità e le raccomandazioni della UFCS Coordinated Vulnerability Disclosure, CVD
Avete scoperto una vulnerabilità in un sistema informatico o in applicazioni, software o hardware disponibili in commercio e volete segnalarla?
La regola d'oro è informare direttamente il fornitore o il proprietario del sistema. Tuttavia, se queste organizzazioni non rispondono alla vostra segnalazione o la loro risposta è inadeguata, l'UFCS può fungere da intermediario per risolvere tali problemi di sicurezza.Come suggerito nel CVD dell'UFCS e delineato nella NTC Vulnerability Disclosure Policy , se il fornitore non è disponibile o non è in grado o non vuole risolvere la vulnerabilità, l'NTC può informare agenzie governative come l'UFCS.
-
Idealmente, l'NTC sarà coinvolto nel processo di sviluppo delle patch e incoraggia i fornitori a collaborare con i tester dell'NTC per garantire che le patch siano accurate e complete. Spesso viene proposta direttamente una patch del codice sorgente che risolve il bug sottostante. Per i casi complessi, l'NTC di solito collabora con il manutentore del software per sviluppare e verificare una soluzione corretta.
I tester dell'NTC sono disponibili a fornire feedback durante il processo di sviluppo delle patch: un paio di occhi in più su una patch di sicurezza possono fare una grande differenza, quindi l'NTC incoraggia i fornitori a contattare i tester dell'NTC se hanno domande o idee che desiderano discutere ulteriormente. In molti casi la patch originale era incompleta o introduceva inavvertitamente un'altra vulnerabilità e l'NTC ha collaborato con il gestore/venditore per trovare una soluzione corretta.
L'NTC spesso fornisce ulteriori indicazioni su come rendere più rigido il codice, ridurre la superficie di attacco, migliorare la progettazione, eseguire test e così via. Questo spesso porta a miglioramenti strutturali che vanno oltre la correzione di un singolo bug. La collaborazione su questi miglioramenti strutturali è un obiettivo specifico dell'NTC ed è considerata un'importante componente a lungo termine del suo lavoro. -
Dove l'NTC pubblica le nuove vulnerabilità?
Le nuove vulnerabilità vengono solitamente pubblicate su NTC Vulnerability Hub:
Inoltre, una selezione di vulnerabilità rilevanti può essere pubblicata anche in altre pubblicazioni, come brevi rapporti, avvisi pubblici, comunicati stampa, newsletter, ecc. La maggior parte di queste pubblicazioni è disponibile nella sezione notizie del sito web dell'NTC:
-
In primo luogo, è importante notare che la stragrande maggioranza delle vulnerabilità viene patchata entro la scadenza stabilita. Siamo convinti che la divulgazione di una manciata di vulnerabilità non patchate non aiuterà in modo significativo gli aggressori nel breve termine, ma porterà a tempi di patch più brevi e a cicli di patch più frequenti nel lungo termine.
Come descritto nella NTC Vulnerability Disclosure Policy, se non è disponibile una patch, ridurremo il livello di dettaglio della divulgazione. In alternativa, in questi casi possiamo informare della vulnerabilità anche l'Ufficio federale della cibersicurezza UFCS.
-
L'NTC incoraggia le organizzazioni ad adottare una politica di divulgazione delle vulnerabilità (Vulnerability Disclosure Policy, VDP) che crei un porto sicuro in cui i ricercatori di sicurezza possano segnalare le vulnerabilità in modo semplice e sicuro senza temere ripercussioni legali.
Un grande aiuto per i ricercatori di sicurezza è il file "/.well-known/security.txt" sul sito web. Lo standard "security.txt" consente di trovare rapidamente il contatto responsabile della sicurezza sul sito web di un'organizzazione. Lo standard prevede che un file di testo con il nome "security.txt" sia memorizzato nella directory predefinita "/.well-known" sul sito web dell'organizzazione. Questo file contiene almeno i dati di contatto che possono essere utilizzati per contattare il responsabile della sicurezza di un'organizzazione. Inoltre, vi si possono memorizzare altre informazioni rilevanti per la sicurezza.
Ecco un esempio: ncsc.admin.ch/.well-known/security.txt
Altre risorse che possono aiutare a implementare una politica di divulgazione delle vulnerabilità:
-
La rete di competenze è un pool di specialisti in cibersicurezza provenienti dalla Svizzera e dall'estero, i quali sono regolarmente coinvolti dall'NTC quando sono necessarie ulteriori abilità. In questo modo si garantisce che le competenze necessarie siano disponibili e che le richieste possano essere elaborate con la massima qualità.