Marcel Zumbühl, Chief Information Security Officer della Posta Svizzera
1. La Posta è un’azienda di logistica. A cosa serve un Chief Information Security Officer?
La sicurezza delle informazioni riveste grande importanza in seno al nostro gruppo. Probabilmente sono in pochi a saperlo, ma la Posta è il terzo datore di lavoro IT in Svizzera. La logistica moderna non può infatti funzionare senza una tecnologia dell’informazione dalle basi solide. Se gli attuali volumi di pacchi vengono spartiti e recapitati entro i termini richiesti è solo grazie a una solida infrastruttura e a strumenti tecnologici. Gli autopostali stessi si sono convertiti in piccoli centri di calcolo su quattro ruote. Il ricorso alla tecnologia comporta inesorabilmente il rischio di attacchi informatici. Oltre al recapito di pacchi e lettere, la Posta offre alla clientela privata e commerciale numerosi servizi digitali, da «I miei invii» alle cassette delle lettere digitali fino al voto elettronico e ai servizi di digital health. La nostra clientela ha fiducia in noi e questa fiducia significa responsabilità. Ecco perché la Posta investe costantemente in una sicurezza delle informazioni efficace, respingendo ogni mese un centinaio di attacchi mirati e oltre dieci milioni di tentativi di phishing. Tuttavia, non investe solo nella capacità di difesa dell’azienda ma anche nella sicurezza dei servizi e dei prodotti.
2. La Posta adotta ora il framework sulla cibersicurezza OWASP Core Rule Set. Di cosa si tratta?
OWASP Core Rule Set (in breve: OWASP CRS), insieme ad Apache ModSecurity, è una delle soluzioni per la difesa dagli attacchi IT più efficaci attualmente disponibili. Grazie a regole ben definite, ci permette di riconoscere tempestivamente i modelli di attacco tipici e quindi di segnalare e bloccare le minacce. Recentemente, ha dimostrato la sua efficacia alla Posta nei test di intrusione pubblici del sistema di voto elettronico; nel 2023 abbiamo respinto con successo oltre 50’000 attacchi. OWASP CRS è una soluzione open source, disponibile senza licenza e pertanto gratuita. Una community di esperte ed esperti testa e sviluppa costantemente la soluzione, in maniera efficace, ma senza trarne alcun guadagno. Con la sua attività di sponsoring la Posta supporta la fondazione e promuove un solido sistema di difesa che contribuisce a rafforzare ulteriormente la cibersicurezza a livello globale.
3. Qual è il ruolo delle soluzioni open source nella cibersicurezza?
Quando si parla di open source, spesso si pensa solo ai software disponibili senza licenza. Ma è un concetto che va oltre l’aspetto commerciale: si tratta infatti anche di «open knowledge» che abbraccia la trasparenza, la sicurezza partecipativa e l’intelligenza collettiva. Tutti aspetti che le aziende impiegano in modo mirato puntando alla massima efficacia della cibersicurezza. Quando divulghiamo il codice di programma di un’applicazione, figure esperte possono esaminarlo in dettaglio e segnalarne le vulnerabilità. Ed è proprio questo approccio che seguiamo, ad esempio, per il voto elettronico: tutti i componenti chiave e la documentazione del sistema sono accessibili pubblicamente dal 2021. La Posta incoraggia attivamente gli hacker etici ad attaccare le sue applicazioni. Il nostro programma bug bounty è uno dei più vasti a livello europeo. Da oltre quattro anni, ci affidiamo all’intelligenza collettiva di una grande comunità di hacker etici, con i quali testiamo e miglioriamo continuamente i nostri sistemi. In base alla gravità delle lacune rilevate e confermate riconosciamo dei premi. Nel sistema di voto elettronico, la ricompensa massima per una lacuna critica è di 250’000 franchi. Finora abbiamo corrisposto circa 200’000 franchi per le proposte di miglioramento del sistema di voto online e ben 600’000 franchi per il programma bug bounty, esteso a tutti i servizi della Posta.
4. Dal 2022 la Posta non protegge solo i propri sistemi dai ciberattacchi, ma offre il monitoraggio e la difesa della sicurezza informatica anche ad aziende e autorità. Come si è arrivati a offrire questi servizi?
Tutti noi utilizziamo internet quotidianamente: ogni volta che ordiniamo un prodotto, prenotiamo una visita medica o compiliamo la dichiarazione fiscale divulghiamo i nostri dati personali. Questi dati devono essere protetti da eventuali attacchi. La Posta stessa gestisce dati sensibili, che si tratti degli indirizzi postali ufficiali delle cittadine e dei cittadini svizzeri o dei dati bancari della clientela di PostFinance. Per proteggere questi dati, la Posta ha sviluppato un’elevata competenza in materia di cibersicurezza. Con l’acquisizione dell’azienda Hacknowledege SA, di Morges, e di terreActive SA, con sede ad Aarau, ora offriamo anche alla nostra clientela commerciale strumenti efficaci per proteggere i propri sistemi e i dati trattati.
In quanto azienda di proprietà della Confederazione, la Posta si fa garante di una digitalizzazione responsabile i cui pilastri principali sono la cibersicurezza e la gestione scrupolosa dei dati.
5. Come collabora la Sicurezza delle informazioni della Posta con le sue società del gruppo che si occupano di cibersicurezza?
In qualità di CISO della Posta, faccio parte del Consiglio di amministrazione di entrambe le aziende e sono quindi direttamente coinvolto nella gestione strategica. Ma il trasferimento di conoscenze funziona anche inversamente: le soluzioni delle due aziende vengono infatti impiegate in particolare per proteggere le nostre società del gruppo e, insieme ai test di intrusione mirati, ci aiutano a estendere la protezione della Posta anche a queste società. Anche a livello operativo c’è uno scambio costante tra i team della Posta e le due aziende che sono quindi parte integrante del nostro team di esperte ed esperti in cibersicurezza.
6. Quali sviluppi pensa che caratterizzeranno la cibersicurezza nel 2024?
Dall’arrivo di ChatGPT, l’intelligenza artificiale è sulla bocca di tutti. Si tratta di soluzioni pratiche usate nella vita di tutti i giorni, ma che mettono la cibersicurezza di fronte a nuove sfide, come ad esempio il rischio di manipolazione. Se vengono alimentate con informazioni errate, queste vengono meno al loro scopo originario. La Posta collabora con l’Istituto Dalle Molle di studi sull’intelligenza artificiale dell’Università della Svizzera Italiana sul tema della solidità dei sistemi di intelligenza artificiale. Puntiamo a capire come ottimizzare i nostri sistemi di difesa, come individuare e respingere gli attacchi e garantire la continuità dell’esercizio. Questa collaborazione è volta a migliorare la protezione delle soluzioni IA che utilizziamo nella logistica, ma anche a dare un contributo all’impiego sicuro dell’intelligenza artificiale in Svizzera.
Il 2024 sarà un anno molto interessante per la crittografia. Aspettiamo infatti l’arrivo dei primi algoritmi di codifica che non potranno essere decriptati neanche con i cosiddetti computer quantistici. Queste macchine sono ancora in fase di sperimentazione, ma lo sviluppo sta progredendo a pieno ritmo e possiamo già constatare che i sistemi di crittografia attualmente in uso non saranno in grado di far fronte a questa potenza di calcolo. Le nostre specialiste e i nostri specialisti del centro di crittografia di Neuchâtel avranno l’importante compito di testarli e accelerarne l’introduzione.
E per quanto riguarda la sicurezza partecipativa, nel 2024 il nostro vasto programma bug bounty compirà cinque anni e, nel corso dell’anno, vogliamo trasferire in un programma pubblico tutte le applicazioni online disponibili sul portale *posta.ch. Intendiamo così incoraggiare altre aziende a considerare la sicurezza cibernetica come un’opportunità. Del resto, la cibersicurezza può dire di aver raggiunto il suo scopo solo quando la clientela ha fiducia nei sistemi.
