Sono necessari test di cibersicurezza effettuati in modo indipendente
Molti controlli di sicurezza informatica urgenti di infrastrutture, dispositivi e applicazioni interconnessi in Svizzera non vengono eseguiti.
Il rapido sviluppo della digitalizzazione in Svizzera porta con sé grandi opportunità di progresso, ma anche una crescente minaccia nel settore informatico. Gli attacchi informatici rappresentano un pericolo reale per tutti i settori della vita pubblica: amministrazione, economia e società. La frequenza, il potenziale di danno e la raffinatezza tecnica degli attacchi sono in costante aumento.
La sicurezza e l’indipendenza della Svizzera sono minacciate quando vengono utilizzati componenti ciberfisici non sicuri. Nel settore dei prodotti e delle infrastrutture digitali, tuttavia, al momento sono pressoché inesistenti leggi o standard vincolanti, non vi sono requisiti minimi cogenti a livello nazionale né è prevista alcuna responsabilità sancita dalla legge per i prodotti software. Di conseguenza, numerosi prodotti e applicazioni non sicuri arrivano sul mercato svizzero senza previo controllo.
I produttori, gli operatori e i distributori di prodotti spesso non dispongono degli incentivi necessari per avviare, di propria iniziativa e a proprie spese, le necessarie verifiche di sicurezza informatica. Spesso le responsabilità e le competenze in materia di cibersicurezza, soprattutto nelle organizzazioni operanti in nuovi settori tecnologici, non sono adeguatamente definite o soggette a sensibilizzazione. Pertanto, la Svizzera non dispone di sufficienti capacità di verifica neutrale e indipendente in termini finanziari.
L’NTC individua preventivamente le vulnerabilità critiche, impegnandosi affinché vengano risolte. Le conoscenze così acquisite vengono messe a disposizione della popolazione, delle autorità e dell’economia.
IL FOCUS DEL NOSTRO LAVORO
Per ridurre al minimo i rischi informatici, identifichiamo in modo proattivo le vulnerabilità critiche e ci impegniamo affinché vengano risolte, con e senza mandato.
Le valutazioni di sicurezza effettuate dall’NTC si basano su raccomandazioni e norme internazionali, che sono opportunamente integrate per analisi approfondite. Per garantire valutazioni fondate, l’NTC si avvale delle competenze esistenti provenienti dal settore privato, dalla ricerca e dagli istituti di formazione in Svizzera e all’estero.
Modalità di test
L’NTC realizza progetti su propria iniziativa e su mandato per individuare preventivamente le vulnerabilità e promuoverne la risoluzione.
L’NTC non penetra in sistemi altrui senza consenso, in quanto si tratta di un ambito giuridico troppo delicato.
I progetti su propria iniziativa sono realizzati a spese dell’NTC.
I progetti su mandato per infrastrutture critiche e autorità vengono eseguiti nel rispetto delle disposizioni generali di test relative a questo tipo di progetti.
L’Ufficio federale della cibersicurezza (UFCS) sostiene in via ufficiale l’NTC nell’ambito dei test di sicurezza effettuati dall’istituto (lettera di referenze ufficiale).
«Redigiamo rapporti di test, ma ci asteniamo dall'assegnare label e certificati, in quanto la loro importanza è limitata.»
Dott. Raphael M. Reischuk, Membro Fondatore
«Manteniamo sempre un atteggiamento neutrale nell’ambito delle nostre attività.»
Andreas W. Kaelin, Direttore Esecutivo
Non vi è alcuna influenza da parte del mercato dei componenti hardware e software. I test non vengono eseguiti allo scopo di promuovere le vendite di produttori o distributori. L'obiettività dell'NTC è un prerequisito per il nostro lavoro ed una garanzia delle nostre prestazioni.
