Domande più frequenti (FAQ)

Domanda Risposta
Come si svolge il test di valutazione della sicurezza? Il test di valutazione della sicurezza è iniziato il 28 maggio 2020 ed è improntato alla totale trasparenza. Le notifiche sui risultati avvengono sul sito web del NCSC, dove possono essere registrate nel dettaglio tramite un modulo. Il NCSC riceve queste notifiche, ne valuta il contenuto, dando la priorità ai casi più critici, e dispone l’eventuale eliminazione dell’errore. I feedback pervenuti  sono pubblicati sul sito web del NCSC e aggiornati regolarmente.
Perché fare un test di valutazione della sicurezza? Con il test di valutazione della sicurezza si intende aumentare la sicurezza del «SwissCovid Proximity Tracing System», raccogliere e diffondere nuove conoscenze nonché creare trasparenza. Le notifiche dei risultati del test e delle osservazioni fatte contribuiscono innanzitutto a migliorare la sicurezza del sistema. Inoltre, in tal modo gli specialisti indipendenti possono sviluppare competenze e conoscenze nell’ambito di un modello di tracciamento di prossimità decentralizzato.
Perché il test di valutazione della sicurezza viene condotto dal NCSC?

L’Ufficio federale della sanità pubblica (UFSP) ha incaricato il Centro nazionale per la cibersicurezza (NCSC) di condurre il test di valutazione della sicurezza per il sistema di tracciamento di prossimità «SwissCovid Proximity Tracing System». Il mandato del NCSC, sotto la direzione del delegato federale alla cibersicurezza, è proteggere la popolazione e l’economia contro i ciber-rischi e aumentare la sicurezza dei sistemi IT dell’Amministrazione federale.

Quali sono gli obiettivi auspicati del test di valutazione della sicurezza? Alla popolazione svizzera che utilizza l’app SwissCovid deve essere garantita la massima protezione possibile della sfera privata. L’intero sistema deve dunque presentare un elevato standard di sicurezza. Questo test consente di esaminare nel dettaglio la sicurezza del sistema. Il test di valutazione della sicurezza è una delle numerose misure di sicurezza adottate.
Cosa può essere testato esattamente? Dove viene pubblicato il codice sorgente?

I repository di codice sorgente sono disponibili ai seguenti link:

Chi può partecipare al test di valutazione della sicurezza? Il test è a disposizione di tutte le persone che desiderano fornire un contributo all’incremento della sicurezza del sistema di tracciamento di prossimità, sia a livello nazionale che internazionale.
È necessario registrarsi per poter partecipare al test? No, non è necessario registrarsi. I risultati del test possono essere notificati direttamente sul sito web del NCSC senza registrazione. I dati personali possono essere rilasciati a titolo volontario, in modo che in caso di domande il NCSC possa contattare la persona interessata
Cosa succede se viene scoperto un errore critico? Il NCSC riceve i risultati del test, ne valuta il contenuto, dando la priorità ai casi più critici, e dispone l’eventuale eliminazione dell’errore. Se il risultato o il suo impatto sono considerati critici, l’eliminazione dell’errore ha la massima priorità.
I risultati dei test vengono pubblicati? Le notifiche attuali aggiornate quotidianamente sono pubbliche e consultabili sul sito web del NCS.
La decisione di condurre un test di valutazione della sicurezza è stata presa a seguito del grande interesse destato da parte del Parlamento? No, il test di valutazione della sicurezza è una delle numerose misure di sicurezza adottate per garantire la sicurezza e l’integrità del sistema di tracciamento di prossimità (app e relativi sistemi periferici). È stato integrato nella pianificazione del progetto sin dall’inizio. Si tratta della consueta procedura per l’attuazione di questo genere di progetti e sistemi.
I partecipanti al test devono firmare un accordo di riservatezza?
No. Non è nemmeno necessario registrarsi o iscriversi. Per lo svolgimento del test occorre considerare le seguenti informazioni e condizioni quadro (Scope & Rules of Engagement).
Non è illegale attaccare un sistema? Nel quadro di questo test di valutazione della sicurezza e in applicazione dello «Scope & Rules of Engagement» è ammesso testare e attaccare il sistema. Per evitare incertezze, occorre leggere attentamente le informazioni e condizioni quadro prima di iniziare il test.
Qual è la differenza tra il test di valutazione della sicurezza e la fase pilota dell’app SwissCovid? Nella fase pilota vengono testate in particolare la facilità d’uso e le funzionalità dell’applicazione. Il test, invece, mira a verificare i sistemi periferici dell’applicazione, dando priorità agli aspetti legati alla sicurezza.
  La versione italiana seguirà a breve.
Wieso macht man die beiden «Test-Phasen» nicht gemeinsam? Die beiden Phasen richten sich an unterschiedliche Personengruppen. In der Pilotphase wird die (eigentliche) Funktionsweise und Benutzbarkeit der SwissCovid-App durch den App-Nutzer in einem dafür vorgesehenen Umfeld getestet. Im Public Security Test geht es um die Sicherheit – IT-Experten sind deshalb eingeladen, das Proximity Tracing System einer vertieften Sicherheitsprüfung zu unterziehen. Beim Public Security Test stehen die Sicherheitsaspekte im Vordergrund.
Welches System genau wird getestet? Die «Rules of Engagement» definieren die Rahmenbedingungen des Public Security Tests und dessen Abgrenzungen. https://www.melani.admin.ch/melani/de/home/public-security-test/scope_and_rules.html
Dürfen auch ausländische Tester mitmachen? Am Public Security Testing können alle Personen teilnehmen - auf nationaler wie internationaler Ebene - welche zur Erhöhung der Sicherheit des Proximity Tracing Systems einen Beitrag leisten wollen.
Wie lange dauert der Test? Die Sicherheit der APP steht im Vordergrund, daher wurde erst ein Startdatum festgelegt. Damit die Sicherheitsexperten genügend Zeit haben die Systeme zu prüfen, wurde noch kein Endtermin definiert.
Kann es sein, dass die Ergebnisse einen Start der App im Juni verhindern? Wer entscheidet das?

Das NCSC nimmt die Testresultate entgegen, bewertet deren Inhalte, priorisiert diese in Anbetracht ihrer Kritikalität und veranlasst ggf. die Behebung.  Wird ein Testresultat bzw. dessen Auswirkung als kritisch bewertet, wird die Behebung entsprechend priorisiert. Bei jeder identifizierten Schwachstelle muss die Situation neu beurteilt werden.

Der Entscheid ob die App im Juni der Öffentlichkeit zur Verfügung gestellt werden kann, obliegt dem BAG. Zusätzlich muss die gesetzliche Grundlage vorliegen.

Ultima modifica 05.06.2020

Inizio pagina

https://www.melani.admin.ch/content/melani/it/home/public-security-test/faq.html