La gestione integrata delle mansioni di sicurezza e della cyber security è un requisito di base per un esercizio ferroviario sicuro. Nell’ambito della sicurezza integrata del Gruppo, la cyber security non si limita soltanto a una funzione puramente strategica e di controllo, ma le FFS monitorano anche il traffico di rete 24 ore su 24 per proteggersi efficacemente dagli attacchi provenienti dal cyber spazio.

Le crescenti minacce rendono i trasporti pubblici in Svizzera un’infrastruttura critica, che deve soddisfare non solo le disposizioni in materia di puntualità e affidabilità, ma anche le aspettative relative alla sicurezza informatica. Le nuove tecnologie, la digitalizzazione e l’automazione sono imprescindibili per garantire il collegamento e l’approvvigionamento della Svizzera attraverso la ferrovia. Senza un’infrastruttura informatica sicura, sui binari oggi non circolerebbe più alcun treno in sicurezza.

Allo stesso tempo, la cybercriminalità si evolve costantemente come un affare da miliardi di franchi, e le FFS, la sua clientela e i suoi partner non sono immuni da rischi. Oltre ad attori di Stati esteri, sono soprattutto le organizzazioni private di hacker professionisti a cercare di trarre profitto dagli attacchi alle aziende. Con la cyber security le FFS si assicurano che la loro infrastruttura informatica sia sufficientemente protetta contro gli attacchi dal cyber spazio, evitando che il sistema ferroviario resti bloccato per giorni o addirittura settimane a causa di un attacco informatico.

Gestione del rischio su più livelli

Le FFS realizzano applicazioni digitali affidabili e resilienti per sistemi, impianti e veicoli. Gestiscono inoltre il proprio centro di difesa informatica, con il quale monitorano 24 ore su 24 il proprio traffico di rete. In caso di evento, questo centro adotta le contromisure necessarie.

Per le proprie soluzioni digitali, le FFS valutano e gestiscono i rischi relativi alla sicurezza delle informazioni attraverso l’Information Security Management System (ISMS), certificato nel settore delle applicazioni operative secondo la norma ISO 27001.

Le FFS si impegnano a fornire il proprio contributo allo sviluppo tecnologico e sociale della Svizzera, partecipano alle iniziative di cyber security e si impegnano nella formazione continua di specialisti in materia. Il dialogo e la collaborazione con altre aziende, partner e con il mondo scientifico sono fondamentali in tal senso.

L’ISMS: sistema di gestione certificato per la protezione delle infrastrutture informatiche.

FFS SA utilizza un sistema di gestione della sicurezza delle informazioni (ISMS) conforme ai requisiti della norma internazionale ISO/IEC 27001:2013.

La sicurezza delle informazioni rientra nelle attività quotidiane delle FFS, con l’obiettivo di garantire che i sistemi IT critici per l’azienda e i dati necessari siano adeguatamente protetti dalle situazioni di rischio.

L’ISMS («Information Security Management System») consente di gestire e controllare la sicurezza delle informazioni in maniera sistematica. Contribuisce a soddisfare i requisiti normativi e contrattuali relativi alla compliance, oltre che a documentare e misurare la qualità della sicurezza delle informazioni per tutti gli asset delle FFS. L’obiettivo dell’ISMS è migliorare continuamente i livelli di sicurezza negli ambiti certificati. Il sistema supporta il raggiungimento degli obiettivi di sicurezza definiti per i valori FFS in relazione a riservatezza, integrità e disponibilità.

La certificazione ISO 27001 si applica alla Digital Zone delle FFS per il seguente ambito: «Pianificazione, sviluppo e gestione di soluzioni digitali nell’ambito delle applicazioni commerciali di FFS Informatica».

L’ISMS è gestito nel quadro della sicurezza del Gruppo ed è controllato e ulteriormente sviluppato dal team responsabile della sicurezza delle informazioni delle FFS.