print preview

Gli aerei da combattimento sono al sicuro dagli attacchi informatici?

L’elettorato svizzero ha detto sì all’acquisto dei nuovi aerei da combattimento (NAC), che contribuiranno alla sicurezza della Svizzera. Ma i moderni velivoli fanno ampio ricorso a elettronica e software. È possibile «hackerare» questi aerei? E cosa si deve considerare nella valutazione per evitare questo scenario? Matthias Bertram, cyberspecialista del progetto legato al nuovo aereo da combattimento, fa luce sui rischi informatici.

Sistemi aeronautici, Sezione Nuovo aereo da
combattimento

Ritratto di Matthias Bertram

Matthias Bertram (43) è un ingegnere SUP diplomato in Elettrotecnica. Dopo essersi occupato di ricerca presso l’Inselspital di Berna e aver lavorato in diverse funzioni legate allo sviluppo dei prodotti presso un’azienda internazionale di tecnologia medica, si è unito ad armasuisse nel 2018. Da allora è attivo come responsabile del sottoprogetto legato ai sistemi di supporto delle missioni e come vice responsabile del sottoprogetto tecnico del «Nuovo aereo da combattimento»

Quanto software si trova in un aviogetto da combattimento?
Il software degli aerei da combattimento moderni si basa su milioni di righe di codice. Se questo codice di programmazione venisse stampato, ci vorrebbe una pila di carta di oltre 10 metri di altezza. Ma il software si trova anche nei relativi sistemi al suolo, come ad esempio in quello per la programmazione delle missioni. Anche questi devono essere tenuti in considerazione nei calcoli sui rischi informatici legati agli aerei da combattimento.

Come si affrontano i rischi informatici correlati?
Un sistema d’arma moderno come un aereo da combattimento con i suoi sistemi al suolo è sottoposto a una severa gestione dei rischi informatici durante tutto il suo ciclo di vita, smaltimento incluso. È importante che questa sia concepita secondo un approccio integrato, che includa tutti gli aspetti della tecnologia e dell'utilizzo del velivolo. Ad esempio, il sistema informatico deve essere strutturato e certificato in modo che sia impossibile accedervi senza autorizzazione o che il personale sia verificato dal punto di vista della sicurezza e abbia accesso esclusivamente alle informazioni e ai sistemi necessari per il proprio lavoro.
Le misure adottate per aumentare la sicurezza informatica vengono testate e sottoposte a verifiche periodiche.
Molto importante è anche la formazione e l’aggiornamento costante del personale in questo ambito. Le conoscenze specifiche e il coinvolgimento dei collaboratori sono un fattore chiave per garantire la sicurezza informatica.

Come viene valutata e garantita la sicurezza informatica durante la valutazione e più tardi in fase d’acquisto?
Durante la valutazione analizziamo i candidati per il NAC in base alle risposte a un dettagliato catalogo di domande da compilare nel quadro dell’offerta, che copre anche la tematica della sicurezza informatica. Ad esempio vogliamo sapere come sono strutturate le catene di approvvigionamento del produttore o se il personale e i sottofornitori sono stati verificati al fine di soddisfare i requisiti di sicurezza. Nell’ambito della valutazione, il livello di sicurezza informatica dei candidati viene soppesato in base ai dati ottenuti.
Per l’acquisto dei nuovi aerei da combattimento si tratta prima di tutto di assicurare l’integrazione nell’ambiente di sistema svizzero. I rischi informatici riconosciuti vengono controllati con le misure necessarie, in modo da garantire la sicurezza informatica in qualsiasi momento.

Quali nuove sfide comporta il tema della sicurezza informatica per quanto riguarda l’acquisto?
Per via della sua grande importanza, nel progetto legato ai nuovi aerei da combattimento ci occupiamo di questa tematica con un processo di sicurezza informatica completo che fornisce direttive chiare alla direzione del progetto e agli offerenti, che prevede che questi ultimi siano contemplati nel contratto d’acquisto.
Per quanto riguarda le minacce informatiche e la tecnologia informatica ci muoviamo in un ambiente estremamente dinamico e dobbiamo essere in grado di reagire anche nell’ambito dei nostri processi d’acquisto.
In ambito operativo abbiamo già maturato con l’F/A-18C/D esperienze con processi di sicurezza informatica consolidati sulle quali ci possiamo basare e che possiamo ulteriormente sviluppare.

Quali misure di protezione informatica devono essere adottate per l’utilizzo effettivo (ovvero quando l’aereo da combattimento sarà stato concretamente acquistato e sarà in uso)?
Gli aerei da combattimento verranno protetti integralmente contro possibili attacchi informatici. Dal punto di vista operativo verrà implementata un’ampia gamma di misure e procedure di sicurezza informatica.
Numerose misure di protezione sono in linea di principio simili a misure di sicurezza informatica e protezione dei dati (SIPD) note, ma vengono attuate in maniera molto intensiva: ad esempio la protezione dei velivoli è garantita da edifici appropriati, impianti d’allarme, sorveglianza, controllo degli accessi ecc. In ambito software vengono impiegate ad esempio come misure di sicurezza firme digitali, crittografia, accesso basato sul ruolo, antivirus e analisi in tempo reale del sistema in esecuzione. Queste numerose misure si basano su un’implementazione coordinata di una gestione dei rischi informatici integrata e sistematica.

Nel caso in cui il sistema di un aereo da combattimento subisca realmente un attacco cibernetico come si procede? Chi si occupa di cosa, quando lo fa e perché?
Ciò che conta è che gli attacchi informatici vengano riconosciuti per tempo. Per questo motivo i sistemi attivi vengono monitorati costantemente. In linea di principio, però, come descritto sopra, la prevenzione dagli attacchi informatici agli aerei da combattimento e ai sistemi a terra è molto ben strutturata.
Se viene rilevato un attacco, si applica un piano di emergenza cibernetica prestabilito. Questo definisce come si deve reagire all'attacco informatico e come il sistema interessato può poi essere "ripulito" e rimesso normalmente in servizio nel modo più rapido possibile.