
La videosorveglianza degli edifici dell'Esercito svizzero presenta lacune nella protezione contro un eventuale attacco di hacker. Le norme sulla protezione dei dati inoltre non vengono rispettate, stando ad un audit interno del Dipartimento della difesa (Ddps). Le conclusioni del rapporto di indagine - di cui anche l'agenzia di stampa Keystone-Ats ha ottenuto copia - sono state rese pubbliche oggi dalla radio della Svizzera tedesca Srf.
“Le Forze armate trascurano la sicurezza informatica”
Le videocamere in questione sorvegliano, tra l'altro, gli ingressi di installazioni militari, siti militari, centri logistici o edifici amministrativi dell'Esercito. Non è chiaro quante siano poiché non esiste una panoramica completa, precisa l'audit. Il rapporto è stato commissionato dalla ministra della Difesa Viola Amherd. Sono stati effettuati controlli a campione per verificare se i sistemi di videosorveglianza fossero sufficientemente protetti dagli attacchi informatici e le conclusioni sono poco rassicuranti: le Forze Armate stanno trascurando la sicurezza informatica. La maggior parte delle videocamere utilizzate sono in funzione da più di dieci anni, "non vengono controllate regolarmente in tutte le sedi per verificare la presenza di vulnerabilità" e il software non viene aggiornato, secondo l'indagine interna.
Le altre mancanze
Anche per quanto riguarda la protezione dei dati sono emerse lacune. Secondo il rapporto, molti siti militari ed edifici amministrativi non hanno definito come debba essere gestito il materiale sensibile. Ad esempio, non è chiaro per quanto tempo il materiale debba essere conservato o chi sia autorizzato a trattarlo. Esistono regolamenti-tipo per la videosorveglianza presso l'Aggruppamento Difesa, ma un regolamento "formulato in maniera generale non è sufficiente dal punto di vista della legge sulla protezione dei dati e delle informazioni".
Gli accorgimenti da apportare
L'audit interno del Ddps formula raccomandazioni che dovranno essere realizzate entro la fine del 2023. In particolare è necessario chiarire le responsabilità in materia di protezione dei dati per ogni singola sede, garantire il rispetto dei requisiti minimi di sicurezza informatica e redigere un inventario di tutti i sistemi di videosorveglianza.