Retrospettiva

A causa di una falla di sicurezza presso un fornitore di servizi IT incaricato, un gruppo di criminali professionisti è riuscito ad accedere ai sistemi informatici della CC Swissmem. L’attacco informatico è stato accertato dal responsabile IT della CC Swissmem nella notte del 4 gennaio 2025. Il sistema informatico è stato subito bloccato e sono state prese misure immediate. La stessa notte è stato richiesto il supporto esterno di un team di esperti qualificato del settore, che insieme agli specialisti informatici interni ha avviato un lavoro di analisi completo nonché adottato misure supplementari di sicurezza e di ripristino. Gli specialisti sono stati in grado di determinare in modo rapido e affidabile la causa dell’incidente di sicurezza menzionata prima.

Le autorità competenti per questo tipo di evento – l’Ufficio federale della cibersicurezza (UFCS), l’Ufficio federale delle assicurazioni sociali (UFAS) e l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) – sono state informate immediatamente e le loro indicazioni sono state integrate nelle decisioni. Tutte le 1400 aziende associate sono state informate dell’incidente e a loro volta hanno provveduto a informare i 200 000 dipendenti, mentre i 60 000 beneficiari di pensioni e prestazioni dirette e i non occupati sono stati informati per posta (cifre approssimate). Parallelamente alla comunicazione è stata istituita una linea telefonica diretta, così come è stato possibile formulare in qualsiasi momento singole richieste specifiche tramite il consulente interno per la protezione dei dati.

È stata presentata una denuncia penale alla polizia cantonale di Zurigo, che ha immediatamente avviato un’indagine sui responsabili. Le tracce delle indagini conducono in Russia. La CC Swissmem ha dovuto far fronte anche a richieste finanziarie da parte degli autori del reato, alle quali non è stato dato seguito. Come previsto, i dati copiati durante l’attacco sono stati poi pubblicati nell’internet anonimo. Stando alle nostre informazioni, la ricerca dei responsabili da parte della polizia finora non ha dato risultati.

Nell’ambito dell'analisi, la percentuale di dati sensibili rubati ha potuto essere fortemente limitata e le aziende colpite sono state informate individualmente. Inoltre, non vi è stato alcun deflusso di denaro e il versamento delle pensioni nonché di altri pagamenti non ha mai subito ritardi, così come la gestione dei conteggi. Altri sistemi delle aziende associate o dei partner non sono stati interessati dall’incidente in nessun momento. Il fatto che i sistemi di backup funzionassero, che i dati venissero ripristinati in modo rapido e completo e che le attività potessero riprendere pienamente dopo soli tre giorni lavorativi, sia internamente che esternamente, è stato un grande vantaggio. Grazie all’intervento rapido e coraggioso di tutti gli attori interni ed esterni, l’entità complessiva dei danni è stata relativamente contenuta.

Misure e standard di sicurezza aggiornato

Gli standard di sicurezza della CC Swissmem erano già ad un livello elevato prima che si verificasse l’incidente. Malgrado ciò, si è verificato un attacco informatico, un rischio che non si può mai escludere del tutto nonostante la massima attenzione. Subito dopo l’incidente sono state adottate misure complete per innalzare il livello delle precauzioni di sicurezza nonché per consentire alla CC Swissmem di reagire meglio alle future minacce, oltre i normali standard di sicurezza del settore.

In relazione al ripristino del sistema informatico, è stato immediatamente attuato un progetto IT per il passaggio a una soluzione digitale (cloud). Questo passaggio di sistema aumenta anche lo standard di sicurezza informatica dell’applicazione principale e del portale clienti per le aziende associate. L’applicazione principale è il fulcro dell’infrastruttura IT attraverso la quale viene amministrato e anche archiviato circa l’80 % dei dati e delle informazioni. I server si trovano in Svizzera e sono gestiti nonché sorvegliati in diverse sedi in conformità ai più elevati standard di sicurezza. Tutti i dati sono inoltre salvati su più sistemi di backup localmente separati. Il fornitore di questa soluzione dispone di numerose certificazioni riconosciute a livello internazionale.

È stata introdotta una centrale di sicurezza in funzione 24/7 con monitoraggio permanente e allarme automatico, costantemente sorvegliata da una persona (non solo durante il servizio di picchetto su chiamata). Tutti i fornitori di servizi IT sono stati sottoposti a una procedura di rivalutazione e in alcuni casi sostituiti. Dove necessario, sono state adottate misure supplementari mirate. In generale, i requisiti richiesti ai nostri fornitori di servizi sono stati incrementati e gli intervalli di ispezione ridotti. Per mettere alla prova la sicurezza potenziata della CC Swissmem nella pratica, ogni anno vengono eseguiti test di sicurezza completi, in modo da individuare, gestire e implementare con costanza possibili miglioramenti. Tutto il personale, in particolare quello del settore IT, viene sistematicamente formato e regolarmente sensibilizzato affinché diventi sempre più consapevole degli aspetti di sicurezza informatica.

Numerosi feedback ci confermano che con le misure illustrate stiamo rispondendo alle aspettative dei nostri associati e assicurati e che da questa particolare situazione potremo uscire complessivamente rafforzati.

 

Cordiali saluti

Cassa di compensazione Swissmem