Test pubblico d’intrusione sistema della Posta 2019
Il sistema di voto elettronico della Posta Svizzera è stato sottoposto a un test pubblico d’intrusione dal 25 febbraio al 24 marzo 2019. Si tratta del primo sistema in Svizzera sottoposto a una verifica completa. La verificabilità completa estenderà le possibilità di impiego del voto elettronico. Tale verificabilità garantisce la possibilità di individuare le funzioni che presentano errori di sistema a seguito di lacune dei software, errori umani o tentativi di manipolazione.
I requisiti posti dalla legislazione federale esigono che il sistema venga certificato prima del suo primo impiego e che il codice sorgente venga specificato. La Confederazione e i Cantoni hanno inoltre deciso che i sistemi di voto elettronico completamente verificabili, prima di essere impiegati, debbano essere sottoposti a un test pubblico d'intrusione che verifichi la sicurezza del sistema sottoponendolo ad attacchi informatici. Un primo test d'intrusione viene già effettuato da un organismo accreditato nell’ambito del processo di certificazione. Con il test pubblico di penetrazione si effettua una verifica supplementare fondata sulla partecipazione di un gran numero di persone.
Le persone interessate a partecipare al test hanno potuto registrarsi e acquisire ulteriori informazioni accedendo a un sito internet.
Comunicato stampa della Cancelleria federale del 07 febbraio 2019
Q&A test pubblico d'intrusione
La Confederazione ha il diritto di ricompensare finanziariamente gli attacchi degli hacker?
La Posta Svizzera è stata incaricata di ricompensare le persone che, nell’ambito del test d’intrusione, avessero individuato falle nella sicurezza. Essa ha stabilito l’importo del compenso e ha provveduto a versarlo. La Confederazione e i Cantoni hanno stanziato un importo di 250 000 franchi per la realizzazione del test pubblico d’intrusione, conformemente al piano strategico del Governo elettronico Svizzera.
Con un test pubblico d’intrusione si cerca di dimostrare che il sistema di voto elettronico non può essere violato?
No. Lo scopo del test pubblico d’intrusione è di identificare i punti deboli e, se necessario, porvi rimedio. Inoltre, è nell’interesse della trasparenza che il maggior numero possibile di esperti indipendenti si intenda di sicurezza del voto elettronico. Il test pubblico d’intrusione potrebbe offrire loro l’opportunità di esaminare il sistema di voto elettronico.
Spetta dunque a esperti indipendenti identificare tutti i punti deboli?
No. Il test pubblico d’intrusione è una delle tante misure di sicurezza. Ogni sistema informatico presenta dei punti deboli, come nel caso del sistema di voto elettronico anche dopo il test pubblico d’intrusione. È fondamentale che nessun punto debole comporti un rischio maggiore. I punti deboli devono essere contrastati con misure di sicurezza sufficientemente efficaci. Con la verificabilità completa, il voto elettronico si avvale di una misura di sicurezza globale e particolarmente efficace che non esiste per altri servizi. Inoltre, i sistemi sono controllati e certificati a intervalli regolari da un organismo accreditato.
Per la verificabilità completa sono necessari anche i computer. Questi computer non presentano punti deboli?
La verificabilità completa presuppone essenzialmente il fatto che la manipolazione di una sola componente non basta per falsificare i voti senza che nessuno se ne accorga. Se viene manipolata una sola componente, altre concorrono a identificare qualsiasi tentativo di manomissione.
Quanto serio doveva essere un punto debole perché la persona che lo ha segnalato ricevesse un compenso finanziario?
A essere determinante non era la gravità del punto debole quanto piuttosto il fatto che durante il test i partecipanti si attenessero alle regole del gioco. In linea di principio erano ammessi e auspicati tutti gli attacchi che potessero portare maggiori conoscenze sulla sicurezza del voto. Gli attacchi destinati esclusivamente a identificare vulnerabilità note non sono stati ricompensati. Alcuni attacchi erano addirittura vietati, benché fossero indubbiamente legati a un rischio elevato: tuttavia, per tenere questi rischi sotto controllo, sono disponibili mezzi più efficaci di un test pubblico d’intrusione.
Quali attacchi non erano permessi?
Sono stati autorizzati e ricompensati gli attacchi condotti a buon fine contro l’infrastruttura di voto elettronico della Posta Svizzera. Altre organizzazioni (Cantoni, tipografie, altri servizi offerti dalla Posta) non hanno preso parte al test pubblico d’intrusione e non era di conseguenza permesso attaccarle. Erano inoltre vietati gli attacchi di diniego dei servizi (distributed denial of service), in quanto nell’ambito di un test pubblico d’intrusione non forniscono alcuna nuova informazione, possono essere testati in altro modo e avrebbero altresì intralciato lo svolgimento del test. Allo stesso modo, non è stato corrisposto alcun compenso per gli attacchi alle piattaforme utente degli aventi diritto di voto. Lo stesso valeva per gli attacchi miranti a persuadere gli attori a discostarsi dai processi previsti con messaggi falsati (social engineering). Gli attacchi condotti a buon fine traggono vantaggio dai comportamenti inappropriati, che non possono essere simulati in modo realistico nell’ambito di un test pubblico d’intrusione. Chi è comunque riuscito a manipolare il sistema di verificabilità individuale (quando viene votato il «sì», ed è un «no» che viene visualizzato) senza che gli elettori riuscissero ad accorgersi della manipolazione, ha ricevuto un compenso finanziario.
Il test pubblico d’intrusione non rischia di insegnare anche agli hacker come violare il sistema di voto elettronico?
Qualcuno potrebbe segnalare un punto debole a un potenziale hacker e non agli organizzatori del test pubblico d’intrusione. Questo non rappresenta un problema purché gli organizzatori siano a conoscenza del punto debole e lo eliminino se necessario. Il compenso promesso dalla Posta vuole essere un incentivo a segnalare i punti deboli del sistema (anche) agli organizzatori. Inoltre, i tentativi illegali di individuarli possono essere effettuati anche indipendentemente dal test pubblico d’intrusione. Il test permetterà invece anche a persone ben intenzionate di esaminare il sistema nel dettaglio per cercare di identificarne le vulnerabilità.
Perché ci si serve del voto elettronico se il sistema non è ancora stato sottoposto ad alcun test pubblico d’intrusione?
Il sistema che sarà sottoposto a un test pubblico d’intrusione è il primo sistema a offrire la verificabilità completa. I sistemi attualmente in uso offrono una verificabilità individuale, ma non ancora una verificabilità completa. Poiché la verificabilità completa consentirà un uso più ampio del voto elettronico, qualsiasi sistema che offra tale verificabilità dovrà soddisfare requisiti di sicurezza ancora più elevati, comprese la certificazione e la pubblicazione del codice sorgente. Inoltre, la Confederazione e i Cantoni hanno deciso che i sistemi di voto elettronico che offrono la verificabilità completa devono essere sottoposti a un test pubblico d’intrusione prima di poter essere utilizzati per la prima volta.
Requisiti posti da Confederazione e Cantoni per dei test d'intrusione pubblici
Per promuovere la sicurezza e la tracciabilità, nel 2017 la Confederazione e i Cantoni hanno deciso di effettuare il test pubblico d’intrusione come progetto pilota e a tal fine hanno emanato i seguenti requisiti all’attenzione dei gestori del sistema:
Rapporti finali
Sulla base di un mandato del comitato direttivo Voto elettronico, un comitato di gestione ha seguito e controllato il test pubblico d’intrusione. Il comitato di gestione ha redatto un rapporto finale per il comitato direttivo Voto elettronico.