Il laureato
La gestione elettronica della qualità può e deve essere protetta dagli hacker? La Zecca federale Swissmint, l'Ufficio federale dell'informatica e la IQS AG di Zofingen pensano: sì, ne vale la pena. E come!
Quando nell'estate del 2015 Rolf Lorenz ha assunto il suo incarico di responsabile specializzato per i sistemi di gestione presso la zecca Swissmint di Berna, all'inizio era un po' a disagio in un settore: "Ho dato un'occhiata alla gestione elettronica della qualità, ho visto la versione di IQSoft dell'allora IQS AG di Zofingen e ho pensato: Oh cielo, un database Access! »
Aumentare la consapevolezza della sicurezza
È passato molto tempo; IQSoft ora funziona con SQL presso Swissmint, e quest'anno IQS AG e la zecca bernese festeggiano 20 anni di cooperazione di successo: "Il tutto si è sviluppato positivamente. Sono una persona che vuole sapere perché qualcosa funziona in quel modo. L'ho capito molto bene con IQSoft".
Due decenni di assistenza elettronica di qualità presso Swissmint sono anche un interessante riflesso dell'evoluzione del pensiero sulla sicurezza a livello federale. Hans-Peter Kost, presidente del consiglio di amministrazione della IQS AG: "Quando nel 2000 ci è stato permesso di implementare IQSoft presso Swissmint, nessuno al di fuori della zecca era interessato. Abbiamo anche fatto aggiornamenti regolari. Ad un certo punto, l'Ufficio federale dell'informatica (BIT) è venuto a conoscenza del nostro strumento. Da allora in poi abbiamo riferito: C'è un cambiamento di rilascio e l'ufficio l'ha approvato. Anche questo non era complicato.
Ostacolo inaspettato
Nel 2016, Rolf Lorenz tornò da un workshop di IQS a Zofingen ed era piuttosto entusiasta della soluzione basata sul web che era stata appena lanciata: "Il mio obiettivo era che il nostro personale interrogasse tutti i documenti elettronicamente. Abbiamo deciso di introdurre questa applicazione web".
Marius Haldimann, direttore di Swissmint, ricorda: "Non appena l'emissione è stata registrata presso l'UFIT, l'ufficio federale ha richiesto un test di stress radicale". Il motivo: la nuova versione IQSoft basata sul web è diventata un potenziale punto di attacco per gli hacker a causa della sua capacità del browser e della connessione al web.
Attacco simulato
Il test è stato eseguito con WebInspect. Questo strumento di Microfocus simula gli attacchi degli hacker e riporta i risultati in dettaglio. WebInspect bombarda tutti i campi di input del programma di destinazione con routine speciali per vedere cosa sta facendo il sistema operativo.
Eccessiva prudenza?
Niente affatto. Swissmint, insieme all'Ufficio centrale di compensazione ZAS (responsabile dell'AVS/AI/OE), appartiene all'Amministrazione federale delle finanze FFA. Rolf Lorenz: "Il nostro contenuto IQSoft è piuttosto piccolo rispetto a dipartimenti o aziende più grandi. Ma naturalmente non volevamo essere una porta digitale con il programma".
Marius Haldimann aggiunge: "L'UFIT gestisce i server dell'amministrazione federale. È stato esaminato se fosse possibile accedere al livello dei computer federali tramite una backdoor utilizzando campi della linea di comando".
minaccia di vulnerabilità
Attenzione, il test con WebInspect non ha mai riguardato la funzionalità del software di gestione della qualità. IQSoft funziona in Swissmint come in molte centinaia di altre PMI e istituzioni svizzere - senza errori. La gestione dei documenti così come i moduli risorse operative, risorse di test, audit e il modulo opportunità di miglioramento sono attualmente utilizzati.
Quindi ci sono state violazioni della sicurezza? Sì, c'erano. WebInspect ha generato un registro degli errori lungo diverse centinaia di pagine. Rolf Lorenz lo ha inviato alla IQS AG con il commento: "Dobbiamo superare questo ostacolo. Guarda qui".
rimboccarsi le maniche
Lorenz era preoccupato. Ha visto il pericolo che la IQS AG potesse gettare la spugna. Swissmint sarebbe rimasta letteralmente con le gambe dei pantaloni tagliate per quanto riguarda la gestione elettronica della qualità. È successo il contrario: la IQS AG si è rimboccata le maniche.
Hans-Peter Kost: "Naturalmente, siamo rimasti abbastanza stupiti da quante opzioni di attacco ci sono. Abbiamo ottimizzato intensamente ed è migliorato drasticamente. Doveva farlo. Conosciamo e apprezziamo molto Swissmint come partner, e abbiamo avuto solo tre tentativi dal BIT per raggiungere il livello desiderato in termini di sicurezza".
Test di maturità superato "È stata un'esperienza enormemente eccitante che è durata diversi mesi. La funzionalità di IQSoft è ora supportata ovunque nella gamma di comandi più profonda. Ogni campo che può essere lavorato in qualche modo è stato testato. Questo ci ha fatto avanzare molto professionalmente". Secondo Kost, hanno naturalmente tenuto conto dei risultati nello sviluppo della versione attuale, IQSoft 7.9. Da questo punto di vista, si chiede spesso come gli altri fornitori di software garantiscano la sicurezza: "I loro strumenti non sono quasi mai sottoposti a uno stress test così severo.
A Zofingen, l'azienda è convinta che la grande comunità di utenti IQSoft (di cui oltre 100 sono in aree strettamente regolamentate) beneficerà "incredibilmente" di questo sviluppo: "Quello che possiamo offrire con IQSoft a questo livello di sicurezza per ogni browser - qualcuno deve farlo prima".
Gestione della qualità e della sicurezza da un'unica fonte
Swissmint e IQS AG, come partner di lunga data e sotto l'occhio vigile dell'UFIT, hanno posto una pietra miliare qualitativa che fa onore a tutte le parti coinvolte. Hans-Peter Kost è contento di questa collaborazione: "Abbiamo sempre preferito sviluppare IQSoft in collaborazione con i clienti".
Al manager della qualità Lorenz piace approfittare dell'agilità degli specialisti IT di Zofingen: "Arrivo con una richiesta di cambiamento. La IQS AG offre una soluzione. Inoltre non devo mai chiedere. Tu mandi la tua richiesta e poi arriva una mail: 'È fatta'". La conclusione del business manager Haldimann è simile: "IQSoft è uno strumento dietro il quale c'è un enorme impegno". IQSoft è, dice Haldimann, "simpatica, svizzera, indipendente". Con il quale - probabilmente inconsciamente - descrive esattamente anche la 'sua' azienda. Dopo tutto (non c'è niente di più svizzero e indipendente di questo), il 10-Räppler è stato coniato dal 1879 ed è ora la più antica moneta del mondo che è ancora in uso senza modifiche.
Testato dal BIT e trovato buono
La zecca di Berna e la software house di Zofingen: si conoscono, si apprezzano e ampliano la loro cooperazione in modo mirato. Non c'è da meravigliarsi. Dopo tutto, dal loro sforzo congiunto per una gestione della qualità a prova di hacker, Swissmint e IQS AG possono giustamente affermare: "Siamo approvati dal BIT.
