Il sistema di voto elettronico della Posta Svizzera sarà sottoposto a un test pubblico di penetrazione dal 25 febbraio al 24 marzo 2019. Si tratta del primo sistema in Svizzera sottoposto a una verifica completa: in qualsiasi parte del mondo sarà possibile sferrare un attacco al sistema e fornire così un contributo alla sua sicurezza.
Dal 2004 i Cantoni eseguono prove di voto elettronico in base alla legislazione sulle votazioni federali. La Posta Svizzera ha ora elaborato un sistema di verificabilità completa che estenderà le possibilità di impiego del voto elettronico. Tale verificabilità garantisce la possibilità di individuare le funzioni che presentano errori di sistema a seguito di lacune dei software, errori umani o tentativi di manipolazione. I requisiti posti dalla legislazione federale esigono che il sistema venga certificato prima del suo primo impiego e che il codice sorgente venga specificato.
Confederazione e Cantoni vogliono una verifica da parte della comunità degli hacker
La Confederazione e i Cantoni hanno inoltre deciso che i sistemi di voto elettronico completamente verificabili, prima di essere impiegati, debbano essere sottoposti a un test pubblico di penetrazione che verifichi la sicurezza del sistema sottoponendolo ad attacchi informatici. Un primo test di penetrazione viene già effettuato da un organismo accreditato nell'ambito del processo di certificazione. Con il test pubblico di penetrazione si effettua una verifica supplementare fondata sulla partecipazione di un gran numero di persone.
Per il test pubblico di penetrazione la Confederazione e i Cantoni hanno emanato prescrizioni comuni in base a cui chi gestisce il sistema di voto elettronico deve metterlo a disposizione per un test della durata di quattro settimane. Lo scopo è di indurre la comunità degli hacker a cercare di leggere o manipolare i voti, violare il segreto di voto oppure mettere fuori uso o eludere le impostazioni di sicurezza che proteggono i voti e i dati inerenti al sistema di sicurezza. L'esecuzione del test presuppone che il codice sorgente e la documentazione relativa al sistema siano resi pubblici.
La Posta Svizzera mette quindi a disposizione il suo sistema di voto per un test pubblico di penetrazione dal 25 febbraio al 24 marzo 2019. Su mandato della Confederazione e dei Cantoni, la ditta specializzata SCRT registrerà i partecipanti, valuterà i riscontri e prenderà tempestivamente posizione in merito.
Indennità finanziaria per segnalazioni di lacune particolarmente significative del sistema di sicurezza
La Confederazione e i Cantoni partecipano al finanziamento del test con un importo di 250 000 franchi stanziato nel quadro della Strategia di e-Government Svizzera, di cui 150 000 franchi andranno a copertura dei costi complessivi sostenuti dalla Posta Svizzera. La ditta SCART riceverà dal canto suo un importo pari a 100 000 franchi. Si prevede inoltre di indennizzare finanziariamente i partecipanti che segnaleranno l'esistenza di lacune particolarmente significative del sistema di sicurezza. La Posta Svizzera stabilisce l'ammontare delle relative indennità e decide in merito agli importi da versare.
Chi fosse interessato a partecipare al test si può registrare e può consultare ulteriori informazioni accedendo al sito https://onlinevote-pit.ch.
Il Cantone dei Grigioni attende con particolare interesse i risultati del test di penetrazione. L'intenzione è quella di dare il via all'e-voting nel 2020 utilizzando il sistema della Posta in sei comuni pilota. La relativa condizione è costituita dal successo del test di penetrazione.
Allegati:
-
Domande e risposte Test pubblico d’intrusione
-
Requisiti posti da Confederazione e Cantoni per dei test di intrusione pubblici
Persona di riferimento:
Daniel Spadin, Cancelliere, Cancelleria dello Stato, tel. 081 257 22 21, e-mail
Daniel.Spadin@staka.gr.ch
Organo: Cancelleria dello Stato
Fonte: it Cancelleria dello Stato