«Un test di intrusione è un test svolto in condizioni reali»

Dal 25 febbraio al 24 marzo 2019, il sistema di voto elettronico della Posta Svizzera sarà sottoposto a un cosiddetto test di intrusione. Intervista con Marcel Zumbühl, responsabile sicurezza informatica della Posta.

29.01.2019
Foto: Lena Schläppi
Marcel Zumbühl, responsabile sicurezza informatica della Posta

Marcel Zumbühl, responsabile sicurezza informatica della Posta

La Confederazione e i Cantoni desiderano introdurre il voto elettronico, ovvero la possibilità di votare tramite computer o smartphone, come terzo canale accanto allo scrutinio e al voto per corrispondenza. Ciò implicherà una duplice scelta: da parte dei Cantoni, che decideranno se introdurlo o meno, e dei cittadini che valuteranno se utilizzarlo. Affinché possa essere ammessa una nuova versione del sistema di voto elettronico a verificabilità completa della Posta, la Confederazione e i Cantoni richiedono un cosiddetto test pubblico di intrusione. La Posta accoglie questa richiesta e sottoporrà il proprio sistema di voto elettronico a un test pubblico che coinvolgerà gli hacker, dal 25 febbraio al 24 marzo 2019. Marcel Zumbühl, responsabile Sicurezza dell’informazione, parla della sicurezza dei sistemi IT e dell’utilità di questo tipo di test.

Marcel Zumbühl, da agosto 2018 ricopre la carica di Chief Information Security Officer (CISO) del gruppo ed è responsabile della sicurezza delle informazioni alla Posta. Può spiegarci in che cosa consiste la sua funzione?

Il mio compito consiste nell’assicurarmi che le aspettative dei clienti nel campo della sicurezza delle informazioni siano soddisfatte. I nostri clienti confidano che i loro dati siano al sicuro presso la Posta. Ciò significa che dobbiamo proteggere in modo adeguato le loro informazioni e anche quelle della nostra azienda. L’obiettivo è in particolare fare in modo che i nostri sistemi IT siano tecnologicamente all’avanguardia, soddisfino gli attuali criteri di sicurezza e ci consentano di individuare tempestivamente e contrastare eventuali attacchi. Questo è importante non solo per l’azienda ma anche per i nostri clienti, fiduciosi che alla Posta i loro dati siano in buone mani.

Come garantire che i sistemi informatici siano sempre al passo con i tempi?

Grazie all’interazione fra le tecnologie di ultima generazione e le competenze dei nostri collaboratori IT e verificando regolarmente che il sistema resista agli attacchi e che noi siamo in grado di individuarli tempestivamente. Ecco l’utilità dei test pubblici di intrusione, come quello a cui la Posta sottopone il suo sistema di voto elettronico.

Qual è l’obiettivo dei test pubblici di intrusione?

Esperti di informatica indipendenti sottopongono un sistema ad attacchi esterni, esattamente come farebbero gli hacker con intenti criminali, utilizzando le tecnologie più moderne e i trucchi più ricercati. Un test di intrusione è pertanto un test svolto in condizioni reali. L’obiettivo è individuare ed eliminare possibili punti deboli in sistemi e processi prima che questi ultimi diventino operativi a tutti gli effetti. Se emergono scenari di questo tipo, è possibile mettere a punto le relative misure di sicurezza e integrarle nei sistemi stessi.

Si corrono rischi effettuando questo tipo di test?

In generale può accadere che i partecipanti non si attengano alle regole del gioco e attacchino, ad esempio, sistemi non inclusi nel test di intrusione. Oppure che pubblichino risultati non ancora verificati dal fornitore del sistema. Sappiamo che in questo modo ci esponiamo a un dibattito pubblico.

I test di intrusione sono ancora poco diffusi in Svizzera. Perché?

Anche a causa di questi rischi. Occorre coraggio per sottoporre il proprio sistema ad attacchi e a innescare un dibattito pubblico. Inoltre il sistema deve essere tecnologicamente all’avanguardia. Se così non fosse, si rileverebbero scenari già noti che non porterebbero a nuove conoscenze. Questo tipo di test richiede, non da ultimo, personale esperto e un investimento finanziario.

Che cosa ne pensa del dibattito sul voto elettronico?

Posso capire che le nuove tecnologie creino insicurezza e pertanto ritengo importante e giusto discuterne pubblicamente. È anche comprensibile che un dibattito non si basi solo su meri fatti. Anche questo contribuisce a formare l’opinione. In fondo non bisogna dimenticare che nel corso della storia quasi ogni innovazione tecnica ha suscitato reazioni nell’opinione pubblica, anche quelle che oggi appaiono scontate, come la ferrovia.

In che cosa si differenzia il voto elettronico dagli altri sistemi d’informazione dal punto di vista della sicurezza delle informazioni?

Ogni volta che si tratta di definire i requisiti di sicurezza di un sistema informatico, occorre prima di tutto chiedersi quanto siano sensibili o preziose le informazioni elaborate. Poiché il voto elettronico riguarda dati estremamente sensibili, vengono applicati requisiti di sicurezza molto elevati. Occorre inoltre considerare il requisito della segretezza del voto. La Posta deve trasportare i voti senza conoscerne il contenuto, proprio come avviene per le lettere. Inoltre elettori e autorità devono poter verificare che il sistema sia completamente al riparo da manipolazioni. Tutto questo è possibile con i nuovi metodi crittografici.

posta.ch/evoting-videos

La sicurezza del sistema di voto elettronico

Le misure di sicurezza centrali del sistema di voto elettronico sono la verificabilità individuale e universale. Ciò significa che ogni elettore (verificabilità individuale) e le autorità elettorali (verificabilità universale) sono in grado senza alcun dubbio di riconoscere eventuali manipolazioni.

Per quanto riguarda la verificabilità individuale, gli elettori ricevono dei codici di verifica cartacei insieme alla documentazione elettorale, che devono confrontare con i codici visualizzati sullo schermo. Se i codici non corrispondono significa che in sede di votazione si sono verificate delle irregolarità. Gli elettori possono quindi interrompere la procedura e votare per posta o recarsi all’urna.

Nell’ambito della verificabilità universale, le autorità elettorali possono verificare al momento del conteggio se i voti nell’urna elettronica sono stati manipolati. La verificabilità universale può essere paragonata a un nuovo spoglio delle schede di voto cartacee.