zum Inhalt springen

Informazioni sull'istituto nazionale di test per la cibersicurezza NTC

  • L'Istituto nazionale di test per la cibersicurezza NTC contribuisce alla sicurezza e alla sovranità digitale della Svizzera individuando in modo proattivo le vulnerabilità critiche dei prodotti digitali e i rischi delle nuove tecnologie digitali, sostenendone la mitigazione.

  • L'associazione esegue test di cibersicurezza su componenti in rete, studi e analisi dei rischi, dedicando particolare attenzione al mantenimento della sicurezza e della sovranità digitale della Svizzera. Ciò include hardware e software utilizzati in Svizzera, indipendentemente dal produttore e dall'origine geografica. La priorità è data agli incarichi di verifica relativi a infrastrutture critiche, autorità, come la polizia e l'esercito, nonché alle verifiche di componenti in rete utilizzati in grandi quantità nell'economia e nella società civile svizzere. L'associazione si avvale inoltre delle competenze del settore privato, degli istituti di ricerca e di formazione in Svizzera e all'estero.

  • In Svizzera, molti test urgenti di cibersicurezza di infrastrutture, dispositivi e applicazioni in rete non vengono effettuati. Questi test sono essenziali per la protezione della società e per il funzionamento dell'economia e delle autorità. L'istituto nazionale di test per la cibersicurezza NTC, indipendente e senza scopo di lucro, colma la grave lacuna dei test di cibersicurezza mancanti.

    • L'NTC è considerato un attore centrale per l'attuazione delle priorità della strategia nazionale per la cibersicurezza della Confederazione e dei cantoni, in particolare per quanto riguarda le misure M4 «Analisi di tendenze, rischi e dipendenze» e M5 «Indentificare e prevenire le vulnerabilità» (disponibile all'indirizzo: https://www.ncsc.admin.ch/ncsc/it/home/strategie/cyberstrategie-ncs.html).
    • Con l'approvazione della mozione «Esecuzione di urgenti e necessari controlli di sicurezza informatica», nel dicembre 2024, il Parlamento federale ha riconosciuto l'esistenza di lacune critiche nella sicurezza (disponibile su https://www.parlament.ch/it/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20243810).
    • L'Ufficio federale della cibersicurezza (UFCS) sostiene i progetti di iniziativa NTC: «Tali controlli di sicurezza aiutano a fornire servizi e infrastrutture digitali sicuri e disponibili, aumentano la resilienza informatica in Svizzera e supportano l'attuazione della Ciberstrategia nazionale (CSN)».
  • L'NTC esegue test su incarico (a pagamento) e di propria iniziativa (a proprie spese). Offre una serie di servizi per rafforzare la sicurezza informatica in Svizzera. Questi includono:

    • test di sicurezza: analisi e valutazione della sicurezza informatica di infrastrutture, dispositivi e applicazioni in rete;
    • analisi delle vulnerabilità: identificazione e valutazione delle vulnerabilità critiche, con un focus particolare sulle infrastrutture critiche e sulle tecnologie ampiamente utilizzate;
    • ricerca e studi: analisi delle nuove minacce e sviluppo di soluzioni di sicurezza innovative per promuovere la sovranità digitale;
    • consulenza e trasferimento di conoscenze: supporto alle autorità, alle aziende e alle organizzazioni attraverso competenze specialistiche, formazione e buone pratiche.

    La priorità è data ai test che si concentrano sulle infrastrutture critiche, sulle autorità come la polizia e l'esercito e sui componenti collegati in rete che sono ampiamente utilizzati nell'economia e nella società civile svizzere.

  • No, NTC è un'associazione indipendente senza scopo di lucro, ai sensi del diritto svizzero, con sede a Zugo.

  • L'attività dell'Istituto nazionale di test per la cibersicurezza NTC non è a scopo di lucro. Il finanziamento proviene dal settore pubblico, da fondazioni e benefattori, nonché dalle entrate derivanti dagli ordini di test.

  • L'NTC esegue controlli di cibersicurezza per conto di gestori di infrastrutture critiche e autorità, laddove sia richiesta una rigorosa indipendenza e obiettività. È esclusa qualsiasi influenza sui controlli di sicurezza da parte di produttori, fornitori di servizi o attori della politica e delle autorità. L'NTC effettua anche test di propria iniziativa su prodotti e applicazioni digitali che non sono stati sottoposti a sufficienti controlli in Svizzera, sia per mancanza di incentivi che per obblighi di legge.

Progetti su commissione e iniziativa

  • Sì, l'NTC esamina su richiesta la cibersicurezza delle infrastrutture critiche e delle autorità per garantire la sicurezza e l'indipendenza della Svizzera. L'NTC non effettua test su richiesta di fornitori di prodotti, produttori o fornitori di servizi del settore privato.

  • L'NTC testa, di propria iniziativa e a proprie spese, prodotti e applicazioni digitali che non sono sufficientemente testati in Svizzera, in maniera del tutto indipendente e non per motivi politici o economici.

  • No. L'NTC redige rapporti di prova per periodi prestabiliti e rinuncia consapevolmente all'assegnazione di etichette e certificati, poiché questi hanno un significato temporale limitato e possono creare falsi incentivi.

Divulgazione delle vulnerabilità - Vulnerability Disclosure

  • L'NTC persegue tre obiettivi con la divulgazione responsabile delle vulnerabilità:

    1. divulgazione privata al produttore per la correzione rapida e corretta delle vulnerabilità;

    2. divulgazione pubblica di modelli di vulnerabilità per evitare che si ripetano;

    3. avviso di vulnerabilità in modo che gli utenti possano adottare le proprie misure di protezione, soprattutto in caso di patch in ritardo o mancanti.
  • I punti deboli vengono di norma pubblicati sul NTC Vulnerability Hub:

    I punti deboli rilevanti possono essere pubblicati anche in altre forme, come brevi relazioni, comunicati stampa o newsletter. La maggior parte di queste pubblicazioni è disponibile sul sito web dell'NTC:

  • Le vulnerabilità e i rischi vengono comunicati nel rispetto delle disposizioni di legge come segue:

    a. segnalazione all'ufficio responsabile: tutte le vulnerabilità vengono inizialmente segnalate esclusivamente all'ufficio responsabile (ad es. produttore o committente) con un proof-of-concept exploit (“responsible disclosure”). Se il committente non è responsabile, vengono informati solo delle vulnerabilità gravi, senza dettagli tecnici. La trasmissione a terzi avviene senza menzionare il committente.

    b. pubblicazione facoltativa: in accordo con il committente, l'NTC può pubblicare le vulnerabilità con un livello di dettaglio adeguato (ad es. su https://hub.ntc.swiss ), ma senza menzionare il committente.

    c. segnalazione alle autorità: le vulnerabilità particolarmente gravi vengono segnalate all'Ufficio federale per la cibersicurezza (UFCS) o all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), sempre in forma anonima.

    d. rapporto di verifica: al termine dell'incarico, il cliente riceve una panoramica completa di tutte le vulnerabilità identificate.

  • Le vulnerabilità e i rischi vengono comunicati come previsto dalla legge:

    a. Segnalazione all'ente responsabile: le vulnerabilità identificate vengono inizialmente segnalate esclusivamente all'ente responsabile (ad es. produttore o partner di test) con un exploit proof-of-concept ("responsible disclosure"). Se il partner di test non è responsabile, viene informato solo dell'esistenza di vulnerabilità gravi, senza fornire dettagli tecnici. La trasmissione a terzi avviene senza menzionare il partner di test.

    b. Termine per la correzione: ai produttori viene concesso un termine di 90 giorni dalla data di invio della notifica per la correzione. Se le terze parti interessate devono adottare misure di protezione, questo termine può essere prorogato di 30 giorni.

    c. Pubblicazione delle vulnerabilità:

    • Vulnerabilità corrette: possono essere pubblicate in dettaglio con il consenso del produttore (ad es. su ntc.swiss). In assenza di consenso, la pubblicazione avviene in forma ridotta.
    • Vulnerabilità non corrette: possono essere pubblicate con un livello di dettaglio adeguato, ma sempre senza menzionare il partner di verifica.

    d. Segnalazione alle autorità: le vulnerabilità particolarmente gravi vengono segnalate all'Ufficio federale per la cibersicurezza (UFCS) o all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), sempre in forma anonima.

    e. Rapporto di verifica: al termine dell'incarico di verifica, il partner di verifica riceve una panoramica completa di tutte le vulnerabilità identificate.

  • Se non vengono rilevate vulnerabilità, non viene effettuata alcuna pubblicazione per non fornire un falso segnale di sicurezza. I produttori che non ricevono un rapporto sulle vulnerabilità dovrebbero continuare a investire nella sicurezza informatica, in quanto la mancanza di un rilevamento non significa che non esistano vulnerabilità.

  • Idealmente, l'NTC è coinvolto nel processo di sviluppo delle patch e incoraggia i fornitori a collaborare per garantire che le patch siano corrette e complete. Spesso viene suggerita una patch del codice sorgente che risolva l'errore. Nei casi in cui una patch è incompleta o presenta errori, l'NTC collabora con il fornitore per correggerla. Inoltre, l'NTC fornisce suggerimenti su come rafforzare il codice, ridurre le superfici di attacco e migliorare il design, il che spesso porta a miglioramenti strutturali che vanno oltre le singole correzioni degli errori. Questa collaborazione è un obiettivo a lungo termine dell'NTC.

  • L'NTC raccomanda alle organizzazioni di stabilire una Vulnerability Disclosure Policy (VDP) che fornisca un quadro sicuro per la segnalazione delle vulnerabilità senza conseguenze legali. Ad esempio, secondo: Vulnerability Disclosure Cheat Sheet - OWASP Cheat Sheet Series (Inglese)

    Una misura utile è il file “.well-known/security.txt” sul sito web, che rende il contatto di sicurezza responsabile facilmente reperibile. Memorizzare i contatti degli addetti alla sicurezza è importante secondo: Security.txt - Pubblicare sul sito web il contatto della persona responsabile della sicurezza

Quadro giuridico per l'hacking etico

  • Nell'analisi delle vulnerabilità vengono sollevate una serie di questioni relative a possibili responsabilità penali ai sensi del diritto penale svizzero. Tuttavia, l'attuale Ciberstrategia nazionale (CSN) prevede l'introduzione dell'hacking etico.

    Nell'ambito delle condizioni quadro legali, l'NTC non effettua test di sicurezza sui sistemi operativi in funzione senza un'esplicita dichiarazione di consenso.

Rete di competenze NTC

  • La rete di competenze è costituita da specialisti in cibersicurezza provenienti dalla Svizzera e dall'estero. L'NTC si rivolge regolarmente alla rete quando necessita di competenze specifiche. In questo modo si garantisce che siano sempre disponibili le competenze necessarie e che le richieste possano essere elaborate con la qualità richiesta.