Cyber sicuro. Bilancio del primo anno di attività. Conferenza stampa Bellinzona, 5 marzo 2021

Bilancio del primo anno di attività

Norman Gobbi

Presidente del Consiglio di Stato e Direttore del Dipartimento delle istituzioni

 Campagna di prevenzione presentata il 21 febbraio 2020

 Da subito alcune tematiche sono diventate d’attualità è prioritarie: il Covid-19 ha modificato la nostra quotidianità obbligando a soluzioni alternative quali, in particolare il telelavoro e la didattica a distanza.

 Migrazione di «massa» verso soluzioni informatiche in grado di «sostituire» la presenza fisica.

 Necessità quasi improvvisa di una maggiore sicurezza in ambito digitale e conseguente cambiamento del modo di proporsi. Si pensi ad esempio al lavoro, alla scuola e agli acquisti online.

Cyber sicuro: primo anno di sfide

pag. 4 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

 Le attività e i temi pensati per la quarta campagna di prevenzione del DI sono stati adattati con rapidità ed efficacia in un contesto mutevole, con la proposta di eventi online e, quando possibile, anche in presenza.

Informazione e prevenzione puntuale a cittadini e aziende su potenziali rischi legati al telelavoro (webinar specifici)

Amministrazione cantonale

Il passaggio al telelavoro ha funzionato (e sta funzionando) correttamente, mentre la campagna di prevenzione contro il phishing per i collaboratori ha dato buoni risultati.

L’impatto del Covid-19

 Conferma del ruolo di riferimento cantonale in ambito di sicurezza informatica e coordinamento delle attività dei vari attori istituzionali.

 Consolidamento e sviluppo del progetto.

 Organizzazione di conferenze (in presenza) con relatori qualificati di livello nazionale.

 Più coinvolgimento degli enti locali per una regolare sensibilizzazione sull’importanza della sicurezza informatica.

Prossimi passi

Luca Filippini

Segretario generale del Dipartimento delle istituzioni Presidente del Gruppo di lavoro strategico «Cyber sicuro»

Dipartimento delle istituzioni

 COVID-19: Informazione e prevenzione paralleli alla diffusione del telelavoro e all’utilizzo di nuovi strumenti informatici ad esso collegati.

 Webinar concernenti il riconoscimento facciale, il controllo della distanza sociale e la protezione dagli attacchi informatici.

 Conferenza in presenza con il Delegato svizzero alla cyber sicurezza (Florian Schütz) e il Delegato del Consiglio federale per la Rete integrata

Svizzera per la sicurezza (André Duvillard).

Retrospettiva

pag. 8 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

 Il Gruppo di lavoro strategico «Cyber sicuro» è velocemente diventato il punto di riferimento e di contatto cantonale nell’ambito della sicurezza informatica, svolgendo un ruolo di coordinamento e di vettore aggregante per il settore.

 Attività di prevenzione, informazione e consulenza, analizzando i rischi e le minacce nel contesto ticinese.

 Organizzazione di eventi di carattere istituzionale online e in presenza.

Obiettivi raggiunti

 La pandemia ha incentivato in modo importante l’utilizzo di piattaforme online (telelavoro, videoconferenze, didattica, acquisti, …)

 Le attività illecite sui canali informatici sono di conseguenza aumentate.

 In Ticino i soli 20 casi di abusi segnalati hanno creato danni (anche di reputazione) ad aziende e privati per oltre 3 milioni di franchi.

 Cittadini e aziende sono sempre più sensibili sui temi relativi alla protezione dei dati.

Il contesto attuale

pag. 10 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

 Tema principale: Legge federale sulla protezione dei dati (LPD)

 Primavera – estate

4 webinar per informare sull’impatto che la LPD avrà in 4 settori specifici (economia, sanità, formazione, enti pubblici).

 Autunno

Conferenza (in presenza) con relatori di rilievo a livello nazionale.

 Attività puntuali a seconda della necessità.

Le attività previste nel 2021

Importante: la prevenzione!

Per ulteriori informazioni:

Prevenzione svizzera della criminalità

www.skppsc.ch

pag. 12 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

È successo qualcosa? Segnalare!

Centro nazionale per la cybersicurezza

Nationales Zentrum für Cybersicherheit

Centre nationale pour la Cybersécurité

National Cyber Security Centre

www.ncsc.admin.ch

pag. 14 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

Standard per le tecnologie di informazione e comunicazione (TIC), adottato dalla Svizzera, è espressione della responsabilità dello Stato in materia di protezione nei confronti dei cittadini, dell’economia, delle istituzioni e dell’Amministrazione pubblica.

Le linee guida prevedono 106 misure di controllo in 5 settori di attività strategiche:

1) Identificare 2) Proteggere 3) Intercettare 4) Reagire 5) Ripristinare

La sicurezza informatica cambia passo

1. Identificare

3. Intercettare 2. Proteggere

4. Reagire

5. Ripristinare

Organizzazione e responsabilità

Per garantire la sicurezza l’organismo o l’impresa devono creare una struttura generale che stabilisca chiaramente compiti, responsabilità e competenze.

In questo contesto va inoltre definita e applicata la cosiddetta strategia defense-in- depth. I rischi devono essere inseriti in una strategia globale di gestione dei rischi;

condizione, questa, per individuare possibili minacce e mettere a punto le rispettive misure (...)

Principio di sicurezza fondamentale

pag. 16 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

La sicurezza del dato

La nuova Legge sulla Protezione dei Dati (LPD) svizzera

25 settembre 2020, Approvazione da parte del Parlamento svizzero della revisione totale della legge federale sulla protezione dei dati (LPD).

Definizione di Dato Personale (allineata con la definizione del GDPr europeo)

“ (...) qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Una persona fisica è identificabile o identificata, direttamente o indirettamente, con un riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. ”

La sicurezza del dato

La nuova Legge sulla Protezione dei Dati (LPD) svizzera

25 settembre 2020, Approvazione da parte del Parlamento svizzero della revisione totale della legge federale sulla protezione dei dati (LPD).

Alcuni esempi:

 Informazioni biografiche o situazioni di vita attuale: data di nascita, numero AVS, numero di telefono, indirizzo email, IP fisso.

 Aspetto fisico e comportamento: colore degli occhi, peso e tratti del carattere.

 Dati relativi al posto di lavoro e sull’istruzione: salario, informazioni fiscali,

pag. 18 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

Sicurezza e protezione dei dati

Come cambia la sicurezza informatica con la nuova legge sulla protezione dei dati?

Provvedimenti tecnici e organizzativi agili, appropriati e proporzionati per garantire che la sicurezza dei dati personali sia adeguata al rischio.

Non più solo strumenti come anti virus e anti intrusione in generale, ma una gestione

«by design» dei processi produttivi che trattano dati sensibili.

La sicurezza da strumento tecnico diventa «comportamento consapevole»

Domande

pag. 20 Cyber sicuro: bilancio del primo anno di attività Dipartimento delle istituzioni

c/o Segreteria generale del Dipartimento delle istituzioni Cyber sicuro