La Posta consente regolarmente a esperte ed esperti IT di tutto il mondo di testare a fondo la piattaforma per elezioni e votazioni e l’infrastruttura del nuovo sistema di voto elettronico al fine di individuarne le falle di sicurezza. Lo svolgimento di questi «test di intrusione pubblici» è previsto per legge dalla Confederazione.
Dallo scorso fine settimana si è riaperta la sfida e il sistema di voto elettronico della Posta è di nuovo nel mirino di hacker etici di tutto il globo, che si trovano per la prima volta di fronte alla piattaforma predisposta per le votazioni del Consiglio nazionale, di cui possono quindi testare nuove funzionalità. La piattaforma per il voto elettronico, accessibile all’URL pit.evoting.ch, corrisponde all’ultima release di sistema e coincide in tutto e per tutto con l’infrastruttura adottata durante gli scrutini reali. Esperte ed esperti del settore di tutte le latitudini possono così simulare il processo di voto, individuarne i punti deboli e tentare di violare l’infrastruttura per penetrare nell’urna elettronica. Il test di intrusione pubblico ha luogo dall’8 al 31 luglio 2023.
Scovare i bug conviene
Le specialiste e gli specialisti IT che individuano una criticità ricevono una ricompensa. Per le lacune confermate la Posta paga, infatti, fino a 250’000 franchi a seconda del livello di gravità.
Oltre al test di intrusione pubblico che la Posta esegue ciclicamente, ma per un arco di tempo limitato, è prevista anche la verifica pubblica del codice di programmazione, delle specifiche e di altri documenti fondamentali del sistema di voto online, che si svolge in modo permanente. Questa documentazione, di pubblico dominio, è sempre disponibile nella versione più aggiornata sulla piattaforma specializzata GitLab dove può essere consultata da specialiste e specialisti. La Posta ha già ricevuto così oltre 270 segnalazioni e versato più di 160’000 franchi per le ricompense.
Oltre a pubblicare tutti i risultati della verifica pubblica sulla piattaforma GitLab, la Posta rende noti gli esiti del test di intrusione attraverso un apposito rapporto.
All’ultimo test di intrusione pubblico dell’autunno 2022 hanno partecipato circa 3400 hacker di tutto il mondo. Nonostante i numerosi tentativi, nessuno è riuscito a sabotare il sistema né a penetrare nell’urna elettronica. In tale occasione un hacker ha segnalato una lacuna ricevendo in cambio una ricompensa. La Posta ha implementato questa miglioria nella versione attualmente in uso.
Per quale motivo l’hacking etico aumenta la sicurezza?
Il nuovo sistema di voto elettronico della Posta è stato utilizzato per la prima volta durante le votazioni di giugno 2023 nei Cantoni di Basilea-Città, San Gallo e Turgovia, e l’esperienza è stata positiva. La Posta continua tuttavia a perfezionare l’infrastruttura anche dopo il primo impiego. Nel voto elettronico la sicurezza, infatti, è una priorità assoluta. Quella di coinvolgere la comunità hacker nelle verifiche è una misura particolarmente efficace di cibersicurezza. La Posta è stata una delle prime aziende in Svizzera ad avviare, circa due anni fa, un programma bug bounty pubblico attraverso il quale ha raccolto esperienze preziose. Grazie ai risultati ottenuti, l’azienda è riuscita, infatti, a risolvere in modo definitivo vulnerabilità presenti all’interno dei suoi sistemi e a migliorare costantemente la sicurezza, anche nell’ambito del voto elettronico.
Nel continuo perfezionamento del proprio sistema di voto online la Posta si rifà, inoltre, al pacchetto di misure approvate dalla Confederazione e dai Cantoni a marzo 2023.
La cibersicurezza alla Posta
Le tecnologie digitali evolvono con estrema rapidità e con lo stesso ritmo i criminali informatici affinano i propri metodi di attacco. È per questo che nell’IT occorre testare continuamente i sistemi per individuare migliorie e vulnerabilità.
La Posta unisce diversi metodi di verifica per garantire un livello di sicurezza elevato per le proprie applicazioni IT. A tale scopo attua misure interne e sottopone le applicazioni alla verifica di società specializzate. Da diversi anni organizza, inoltre, programmi pubblici di bug bounty nell’ambito dei quali specialisti di informatica privati animati da buone intenzioni, chiamati in gergo «hacker etici», ricercano le falle di sicurezza accedendo ai sistemi e cercando di violarli. Se il tentativo di sabotaggio va a buon fine, ricevono dalla Posta una ricompensa finanziaria. Nello sviluppo dei propri sistemi, la Posta tiene conto dei risultati confermati, migliorando così costantemente i propri servizi online.
