Un rapporto commissionato dal Consiglio federale svizzero, elaborato dalla Segreteria di Stato della politica di sicurezza (SEPOS), evidenzia la necessità di integrare la sicurezza delle informazioni fin dalla fase di valutazione dei bisogni, ancor prima della stipula dei contratti con i fornitori. Questo documento è stato redatto in seguito al caso di fuga di dati del fornitore Xplain, che nel maggio 2023 subì un attacco ransomware, con il conseguente furto e la diffusione di dati sensibili dell'Amministrazione federale sulla darknet.

Il rapporto sottolinea l'importanza di definire i requisiti di sicurezza fin dall'inizio, durante la fase di richiesta dei servizi informatici, e di assicurarsi che tali requisiti siano integrati nei bandi di gara. La cooperazione tra il servizio che richiede la prestazione e il servizio d'acquisto è fondamentale per evitare che la sicurezza venga trascurata e per prevenire interventi correttivi costosi successivi.

Inoltre, il documento evidenzia che la sicurezza delle informazioni non deve riguardare solo il fornitore diretto, ma deve estendersi a tutta la catena di fornitura, che può comprendere anche attori internazionali. Le direttive di sicurezza devono essere rispettate lungo tutta la catena di approvvigionamento. Il rapporto suggerisce strumenti di vigilanza come autodichiarazioni dei fornitori e controlli regolari da parte delle autorità federali, concentrandosi sui settori a maggior rischio per la Svizzera. Quando i rischi sono minori, la vigilanza dovrebbe essere ridotta per ottimizzare le risorse disponibili.

Il caso Xplain ha messo in luce la vulnerabilità del sistema, con il furto e la pubblicazione online di dati sensibili, tra cui informazioni sulla polizia militare e dettagli di individui inseriti in un sistema contro gli hooligan. Questo incidente ha evidenziato la necessità di rafforzare le misure di sicurezza e monitoraggio.

Il rapporto evidenzia quindi l'importanza di integrare la sicurezza informatica fin dalle prime fasi del processo, quando vengono definiti i requisiti per i fornitori, per evitare vulnerabilità future. Il SEPOS raccomanda l'adozione di strumenti consolidati, come le autodichiarazioni dei fornitori, gli audit interni e l'uso di sistemi di gestione della sicurezza certificati e aggiornati. Inoltre, si suggerisce che i controlli possano essere esternalizzati a fornitori di servizi di audit, a condizione che siano rispettati i principi di legittimità e che i fornitori possano esercitare un diritto di veto su eventuali informazioni che potrebbero compromettere la loro competitività.

In sintesi, il rapporto pone l'accento sulla necessità di misure di sicurezza tempestive e adeguate lungo tutta la catena di fornitura per prevenire incidenti simili a quello del 2023.

‍