-
Le attività dell'istituto nazionale di test per la cibersicurezza NTC non sono orientate al profitto, ma agiscono esclusivamente nell'interesse della società e dell'economia svizzera. Le attività dell'organizzazione sono finanziate principalmente dal settore pubblico.
-
No, l'NTC è un'organizzazione indipendente e senza scopo di lucro di diritto svizzero.
-
L'NTC non esegue test per conto di fornitori di prodotti, produttori o fornitori di servizi del settore privato. Gli incarichi di test relativi a infrastrutture e autorità critiche hanno la massima priorità per L'NTC. Questi vengono eseguiti in modo completamente indipendente. È quindi esclusa qualsiasi influenza sull'obiettività dell'NTC.
-
No. Per mantenere la neutralità, non vengono effettuate certificazioni in conformità a standard internazionali o nazionali che potrebbero essere utilizzati da fornitori di prodotti, produttori o fornitori di servizi per rafforzare la loro posizione sul mercato.
-
No, l'NTC verifica le vulnerabilità di prodotti che altrimenti non verrebbero testati, in gran parte di propria iniziativa e quindi a proprie spese. Si tratta in genere di prodotti digitali e infrastrutture di rete per i quali non esistono soggetti responsabili (ad esempio, consigli di amministrazione), una regolamentazione insufficiente o altri clienti, o per i quali il mercato della verifica non funziona.
Senza l'NTC, questi prodotti e sistemi socialmente rilevanti spesso non verrebbero affatto verificati. In pratica, è stato persino dimostrato che le attività dell'NTC generano nuovi progetti per il settore privato. Evidenziando le vulnerabilità, l'NTC sensibilizza le organizzazioni interessate alla sicurezza. Queste ultime riconoscono l'importanza e l'urgenza del problema e spesso chiedono il supporto di fornitori privati di sicurezza informatica.
-
Sì, l'NTC esamina la cibersicurezza delle infrastrutture critiche e delle autorità per conto di organizzazioni al fine di garantire la sicurezza e l'indipendenza della Svizzera. In questo modo, collabora con le aziende del settore privato piuttosto che competere con loro. Se gli audit possono essere eseguiti anche da società svizzere di sicurezza informatica, i servizi offerti dall'NTC devono essere remunerati in linea con il mercato. L'NTC non compete attivamente con le società di sicurezza private.
-
I progetti di iniziativa sono test di prodotti digitali e infrastrutture di rete avviati e autofinanziati dall'NTC al fine di scoprire le vulnerabilità. L'NTC decide autonomamente cosa testare e con quale intensità, sulla base dell'esperienza, delle osservazioni e delle informazioni fornite dai partner o dal pubblico. I risultati sono pubblicati in conformità con la Vulnerability Disclosure Policy per renderli accessibili al pubblico.
-
No, si riconosce che non tutti gli operatori di infrastrutture critiche possono attribuire la stessa priorità alla ciberisicurezza, poiché potrebbero non disporre di competenze e risorse sufficienti. Se l'NTC sospetta, sulla base di esperienze, osservazioni e indicazioni, che il sistema di un operatore di infrastruttura critica possa essere affetto da vulnerabilità, i test di sicurezza vengono avviati caso per caso.
-
Il modo in cui i progetti di iniziativa sono strutturati come progetti non commissionati solleva una serie di interrogativi in merito alla possibile responsabilità penale ai sensi del diritto penale svizzero. I responsabili dell'NTC volevano comprendere appieno la situazione giuridica svizzera per poter rispettare le normative pertinenti durante i test.
-
Das Gutachten kann hier heruntergeladen werden.
Das vollständige Gutachten ist in deutscher Sprache verfügbar. Die Zusammenfassung ist in Deutsch, Englisch, Französisch und Italienisch verfügbar.
Il rapporto può essere scaricato qui . È disponibile in tedesco. La sintesi è disponibile in tedesco, inglese, francese e italiano.
-
La NTC è convinta che la divulgazione responsabile delle vulnerabilità contribuisca in modo significativo ad aumentare la sicurezza della Svizzera. Come indicato nella Politica di divulgazione delle vulnerabilità dell'NTC , l'NTC persegue tre obiettivi con la divulgazione delle vulnerabilità:
1) In un primo momento, i dettagli delle vulnerabilità vengono divulgati solo al fornitore per garantire una rapida e accurata correzione delle vulnerabilità e per proteggere i sistemi interessati.
2) I modelli di vulnerabilità vengono divulgati pubblicamente, in modo che altre organizzazioni possano trarne insegnamento e controllare i propri sistemi per verificare la presenza dei modelli identificati. Inoltre, queste informazioni vengono utilizzate dalla ricerca e dai produttori per sviluppare misure e prevenire errori.
3) Divulgazione pubblica delle vulnerabilità, dei prodotti interessati e dei venditori come avvertimento delle vulnerabilità per consentire agli utenti di prendere le proprie precauzioni, soprattutto se le patch non sono rese disponibili dai venditori o lo sono in ritardo. -
L'NTC rimane in contatto con l'organizzazione interessata durante l'intero processo di divulgazione delle vulnerabilità e cerca di trovare una soluzione che porti il massimo beneficio a tutte le parti coinvolte. Secondo la NTC Vulnerability Disclosure Policy, vi è una certa flessibilità nell'accuratezza della divulgazione. Tuttavia, il fatto che le vulnerabilità vengano rese pubbliche è indiscutibile.
-
Esistono regole chiare nella Politica di divulgazione delle vulnerabilità dell'NTC che specificano quando i dettagli del fornitore, del prodotto o della vulnerabilità sono divulgati. Se vi è un interesse pubblico legittimo a divulgare i dettagli, questi saranno resi noti.
-
No. L'NTC è indipendente e di norma non condivide le informazioni sulle vulnerabilità con il Centro nazionale per la cibersicurezza NCSC o con altre terze parti. L'NTC segnala le vulnerabilità direttamente al fornitore o al proprietario del sistema, seguendo la politica di divulgazione delle vulnerabilità e le raccomandazioni della politica di coordinamento dell'NCSC sulla divulgazione delle vulnerabilità:
Avete scoperto una vulnerabilità in un sistema informatico o in applicazioni, software o hardware disponibili in commercio e volete segnalarla?
La regola d'oro è informare direttamente il fornitore o il proprietario del sistema. Tuttavia, se queste organizzazioni non rispondono alla vostra segnalazione o la loro risposta è inadeguata, l'NCSC può fungere da intermediario per risolvere tali problemi di sicurezza.Come suggerito nel CVD dell'NCSC e delineato nella Politica di divulgazione delle vulnerabilità dell'NTC , se il fornitore non è disponibile o non è in grado o non vuole risolvere la vulnerabilità, l'NTC può informare agenzie governative come l'NCSC.
-
Idealmente, l'NTC sarà coinvolto nel processo di sviluppo delle patch e incoraggia i fornitori a collaborare con i tester dell'NTC per garantire che le patch siano accurate e complete. Spesso viene proposta direttamente una patch del codice sorgente che risolve il bug sottostante. Per i casi complessi, l'NTC di solito collabora con il manutentore del software per sviluppare e verificare una soluzione corretta.
I tester dell'NTC sono disponibili a fornire feedback durante il processo di sviluppo delle patch: un paio di occhi in più su una patch di sicurezza possono fare una grande differenza, quindi l'NTC incoraggia i fornitori a contattare i tester dell'NTC se hanno domande o idee che desiderano discutere ulteriormente. In molti casi la patch originale era incompleta o introduceva inavvertitamente un'altra vulnerabilità e l'NTC ha collaborato con il gestore/venditore per trovare una soluzione corretta.
L'NTC spesso fornisce ulteriori indicazioni su come rendere più rigido il codice, ridurre la superficie di attacco, migliorare la progettazione, eseguire test e così via. Questo spesso porta a miglioramenti strutturali che vanno oltre la correzione di un singolo bug. La collaborazione su questi miglioramenti strutturali è un obiettivo specifico dell'NTC ed è considerata un'importante componente a lungo termine del suo lavoro. -
L'NTC incoraggia le organizzazioni ad adottare una politica di divulgazione delle vulnerabilità (Vulnerability Disclosure Policy, VDP) che crei un porto sicuro in cui i ricercatori di sicurezza possano segnalare le vulnerabilità in modo semplice e sicuro senza temere ripercussioni legali.
Un grande aiuto per i ricercatori di sicurezza è il file "/.well-known/security.txt" sul sito web. Lo standard "security.txt" consente di trovare rapidamente il contatto responsabile della sicurezza sul sito web di un'organizzazione. Lo standard prevede che un file di testo con il nome "security.txt" sia memorizzato nella directory predefinita "/.well-known" sul sito web dell'organizzazione. Questo file contiene almeno i dati di contatto che possono essere utilizzati per contattare il responsabile della sicurezza di un'organizzazione. Inoltre, vi si possono memorizzare altre informazioni rilevanti per la sicurezza.
Ecco un esempio:
ncsc.admin.ch/.well-known/security.txt
Altre risorse che possono aiutare a implementare una politica di divulgazione delle vulnerabilità:
Security.txt - Depositare il contatto di sicurezza sul proprio sito web (admin.ch)Gestione della divulgazione delle vulnerabilità - Una guida per organizzazioni e aziende
Divulgazione delle vulnerabilità - Serie di schede informative di OWASP (inglese)
-
La rete di competenze è un pool di specialisti in cibersicurezza provenienti dalla Svizzera e dall'estero, i quali sono regolarmente coinvolti dall'NTC quando sono necessarie ulteriori abilità. In questo modo si garantisce che le competenze necessarie siano disponibili e che le richieste possano essere elaborate con la massima qualità.