antivirus

Italia in pericolo con Kaspersky? Il parere degli esperti e le domande da porsi

L’Italia sta prendendo rapidamente posizione contro l’uso di Kaspersky, associandolo a un Paese ora nemico, la Russia. E sospettando la presenza di uno spysoftware nell’antivirus. Vediamo quali sono i rischi in campo e quali domande è giusto porsi come Italia

18 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

A pochi giorni dall’invasione russa dell’Ucraina in Italia si è accesa la discussione sugli antivirus. La questione riguarda nuovamente il caso Kaspersky e il suo utilizzo all’interno dei nostri confini nazionali.

  1. Pesante, da ultimo e soprattutto, il parere ieri di Franco Gabrielli, sottosegretario alla Presidenza del Consiglio con delega alla Sicurezza Nazionale, che invita a prendere le distanze dall’antivirus e in particolare ha chiesto di toglierlo dai server della PA, tema su cui annuncia anche a breve un decreto specifico.
  2. Il 18 marzo aperta anche istruttoria dal Garante Privacy.

Baldoni: “Come stiamo gestendo la crisi Ucraina e i prossimi passi dell’Agenzia cyber”

Kaspersky, i punti critici

Kaspersky è utilizzato da 2.700 amministrazioni, tra ministeri, Comuni, forze dell’ordine e grandi aziende private. 

Il punto: in virtù  degli eventi geopolitici, infatti, la Russia è diventata a tutti gli effetti una nazione nemica (alla quale vengono inflitte sanzioni sia da Stati Uniti che da Unione Europea) del nostro continente e quindi di conseguenza anche della nostra nazione.  

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
  • Bisognerebbe quindi eliminare Kaspersky perché è associabile a un nemico?
  • Addirittura, si può temere che l’antivirus contenga un software spia o una backdoor del Governo russo, sospetto analogo a quello che da anni affligge Huawei?
  • Il governo e l’Agenzia cyber nazionale hanno più volte ribadito la necessità di sviluppare una indipendenza tecnologica – a prescindere dai rischi per la sicurezza – per aumentare le nostre competenze tecnologiche (cyber e non solo) e favorire la crescita economica associata. Ma quest’obiettivo a quali misure può estendersi?

Interrogativi non facili. 

Se da una parte non è corretto identificare il Governo Russo con i russi o le aziende russe, dall’altra la situazione sul caso Kaspersky è particolarmente delicata. Cerchiamo di analizzarla.

Kaspersky, sostituite la tecnologia russa: gli inevitabili consigli dell’Agenzia cyber

L’evoluzione della discussione su Kaspersky

Ricordiamo com’è cominciata.

Il 27 febbraio Stefano Quintarelli, informatico ex deputato e da sempre in prima linea sul fronte innovazione digitale e pubblica amministrazione (ideatore di SPID), ha firmato un articolo su Il Post con il quale instrada una discussione, che presto diventerà di pubblico dominio, sul rapporto tra il software antivirus Kaspersky e l’Italia.

Nella giornata seguente viene presentata, a livello politico, un’interrogazione parlamentare promossa dal deputato del Gruppo Misto Paolo Nicolò Romano, il cui contenuto spingerà a un gradino successivo la questione appena prima sollevata sul software Kaspersky.

A questo punto il centro del dibattito vede coinvolto un grande interrogativo: è giusto preoccuparsi per un software antivirus Made in Russia, utilizzato ormai da diversi anni in gran parte della pubblica amministrazione italiana, in un momento storico di tensione geopolitica della Russia nei confronti dell’occidente?

Per rispondere, o meglio per avere gli strumenti utili a farci una personale idea della risposta a questo tema, bisogna analizzare alcuni dati fattuali. Nello specifico un software, qualsiasi esso sia (seppur a codice sorgente chiuso), è sempre conoscibile. Non è necessario leggere il codice sorgente per studiare il comportamento di un software durante la sua esecuzione. Altro elemento da considerare è che Kaspersky (azienda russa), è un’azienda molto strutturata, multinazionale e per i propri clienti europei, disloca i propri datacenter (nei quali sono contenuti i server che effettuano il lavoro di analisi richiesto dal software antivirus) in Svizzera.

Kaspersky, dall’antivirus russo sabotaggio all’Italia? Il timore

Come già detto Kaspersky è un’azienda con sede legale in Russia, questo è uno degli elementi di maggior esposizione delle preoccupazioni finora riportate sul tema. Oltre a questo si aggiungono riferimenti storici che vedono in Eugene Kaspersky (CEO e fondatore dell’omonima azienda), relazioni e legami, certamente riferiti ormai ad un lontano passato, con il KGB russo.

La crisi prodotta dall’invasione russa dell’Ucraina, ha notevolmente incrementato le preoccupazioni nei confronti del software antivirus prodotto da Kaspersky, in relazione al fatto che l’attuale governo russo (che giorno dopo giorno mette sempre più a rischio la propria reputazione democratica con l’intervento armato in Ucraina), per il tramite dei servizi di sicurezza statali, possa incidere sull’operato dell’azienda visto il settore strategico nel quale opera, al fine di operare del sabotaggio informatico o spionaggio contro i paesi (suoi clienti) non alleati alla Russia.

Questa ipotesi, che finora non riceve ancora alcun riscontro su lato pratico, lo spiega bene Corrado Giustozzi, esperto di cyber security al Corriere della Sera: “è plausibile che nel contesto attuale, l’azienda possa ricevere pressioni o minacce dal governo russo. Non penso tanto a uno scenario di spionaggio attivo, quando piuttosto a un malware creato dagli stessi russi che l’antivirus potrebbe volontariamente non rilevare e lasciar passare”.

Questo scenario dunque vedrebbe il diffondersi della minaccia informatica, mirata nei confronti delle strutture critiche italiane, agendo con tutte le capacità di un malware ed eventualmente se necessario esfiltrando dati riservati verso il paese nemico.

Gabrielli

A rincarare la dose, la questione arriva ai più alti vertici italiani. Come detto Franco Gabrielli, sottosegretario alla Presidenza del Consiglio con delega alla Sicurezza Nazionale, infatti sempre al Corriere della Sera rilascia il proprio commento secondo cui “dobbiamo liberarci da una dipendenza dalla tecnologia russa. Per esempio quella dei sistemi antivirus prodotti dei russi e utilizzati dalle nostre pubbliche amministrazioni, per evitare che da strumento di protezione possano diventare strumento di attacco”.

L’Agenzia cyber nazionale

L’Agenzia cyber, meno tranchant, ha consigliato alle aziende e PA con tecnologia russa (senza citare l’antivirus), in alcuni ambiti (inclusa la sicurezza informatica) di

  • fare analisi del rischio
  • diversificare (insomma cambiare fornitore)

E questo non per un timore di sabotaggio, ma perché la situazione geopolitica potrebbe diminuire la capacità dei fornitori russi di fornire un buon livello di qualità del servizio, nonostante la loro buona volontà, come spiegato dal direttore in una nostra intervista.

Insomma, non è una questione di spionaggio o sabotaggio ma di indipendenza tecnologica per essere meno soggetti all’inaffidabilità generale di un fornitore “straniero” e crescere come Paese in questo campo.

Attenti a tecnologia russa come Kaspersky, ecco i consigli dell’Agenzia cyber nazionale

Il Garante Privacy

Il 18 marzo il Garante Privacy ha aperto una istruttoria. Ha chiesto a Kaspersky Lab di fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza, inclusi quelli di telemetria o diagnostici. La società dovrà inoltre chiarire se, nel corso del trattamento, i dati siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi.

Kaspersky Lab dovrà infine indicare il numero di richieste di acquisizione o di comunicazione di dati personali, riferiti a interessati italiani, rivolte alla società da parte di autorità governative di Paesi terzi, a partire dal 1° gennaio 2021, distinguendole per Paese e indicando per quante di esse Kaspersky Lab abbia fornito un riscontro positivo.

La Francia

Analogamente in Francia l’Agenzia nazionale per la sicurezza dei sistemi informativi (Anssi) ha invitato a “mettere in discussione” l’uso del software Kaspersky, anche se un divieto esplicito ancora non c’è.

Usa e Olanda

Stati Uniti e Olanda invece hanno bandito Kaspersky dai computer governativi già cinque e quattro anni fa rispettivamente.

Germania  

Anche la Germania interviene espressamente con un bando, il 15 marzo, a Kaspersky e software russi.

Il parere degli esperti sull’antivirus russo

Per aggiungere elementi utili a creare un quadro completo sulla vicenda, analizziamo i pareri tecnici degli esperti in merito all’utilizzo, in questa fase storica, dell’antivirus Kaspersky. Sempre Giustozzi evidenzia come il problema non sia fine a sé stesso, ma segua un’impronta più politica e di regolamentazione, non solo italiana ma addirittura europea, vista la complessità su cui si fonda la sicurezza. “Certi Stati hanno un potere di coercizione sulle aziende private, ma questo non vale solo per quelli non democratici. È giusto preoccuparsi anche del cloud che è tutto in mano a grandi nomi americani, così come dei sistemi operativi di pc e smartphone”.

Come vediamo, dunque, un problema che non coinvolge solo un software antivirus, ma gran parte della tecnologia che quotidianamente fa parte delle nostre vite e non tanto una questione tecnica ma molto orientata alla risoluzione politica tra Stati.

Dell’avviso abbastanza similare è anche Stefano Zanero, professore associato del Politecnico di Milano che, valutandone evidentemente i rischi, riferisce di recente a Open che “Il tema emerso in questi giorni su Kaspersky apre a un discorso più ampio che è quello della sovranità tecnologica. Quando parliamo di software o hardware che vengono utilizzati in sistemi critici, bisognerebbe garantire che queste tecnologie non abbiano dipendenze con nazioni che sono fuori dalle nostre alleanze. In alcuni casi non si può fare a meno di utilizzare tecnologie prodotte all’esterno ma per quanto riguarda l’antivirus abbiamo un’ampia scelta di prodotti. Questi software devono essere sempre aggiornati e hanno un flusso di dati costante con l’azienda che li ha sviluppati”.

Cosa emerge dal dibattito sul potenziale rischio Kaspersky?

Ciò che possiamo concludere, assistendo a questo dibattito, che ormai ha raggiunto come abbiamo visto, la dimensione nazionale, viene identificato nel rapporto tra pubblica amministrazione italiana e tecnologia.

Pare proprio che, appunto, non ci sia in Italia una tradizione di sovranità tecnologica in ambito strategico, e il fatto che la questione venga sollevata in un momento storico così delicato sul fronte geopolitico, è emblematico. Va detto infatti che Fabio Pietrosanti, presidente del Centro Hermes per la Trasparenza e i Diritti Umani Digitali, sollevò la questione (senza poi un seguito concreto al lato pratico) già dal 2018 con un’inchiesta per Euronews nella quale evidenziava come Polizia, Carabinieri, Ministero dell’interno, Giustizia, Difesa, Servizi segreti, utilizzano e acquisiscono software antivirus Kaspersky.

Inoltre, a questi fatti si aggiunge l’analisi che pensiamo sia lecito esporre, non ancora presa in considerazione, secondo cui la stessa azienda Kaspersky operi per conto della pubblica amministrazione italiana, non solo vendita di software, ma soprattutto consulenza forense post attacco. Una pratica sempre più richiesta, vista anche l’incidenza degli attacchi ransomware rivolti a strutture strategiche del paese almeno negli ultimi due anni, che ci fa domandare se sia più preoccupante un software, conoscibile seppur closed, oppure un servizio di consulenza, affidato non a macchine ma a umani che di fatto vengono remunerati per scavare nei dettagli più profondi delle nostre infrastrutture tecnologiche?

Difficile a questo punto non chiedersi come mai ci sia voluta una guerra e un’invasione guidata da principi del tutto anti democratici, a far scattare all’Italia il campanello d’allarme sulla questione Kaspersky, puntando peraltro unicamente al software antivirus che, al momento, non ha mai presentato indici di anomalia riferibili ai rischi potenziali esposti? E’ vero che la prevenzione è sempre più utile della cura di un male, però durante tutto il periodo pandemico la nostra pubblica amministrazione e nello specifico il settore sanitario, ha sofferto di grandi incidenti informatici, i quali più importanti, trattati proprio con i servizi forensi espletati anche da tecnici Kaspersky, oltre che la statunitense FBI.

La risposta di Kaspersky

Dal canto suo l’azienda prende le distanze da queste accuse e ai media riferisce che “Kaspersky è una società internazionale privata e non ha legami con nessun governo o agenzia governativa. È orgogliosa di cooperare con le autorità di molti Paesi e con le forze dell’ordine internazionali nella lotta contro il crimine informatico”.

Anche noi abbiamo chiesto un parere all’azienda e lo attendiamo.

Inoltre, lo ricordiamo, Kaspersky svolge cooperazione, ormai quasi decennale, anche con Polizia Olandese, Europol e Intel Security, senza commento per il momento sulla questione emergente dalla guerra ucraina. Più di una volta ha cercato di dimostrare la propria indipendenza da Mosca, con la Global Transparency Initiative e poi con il trasferimento a Zurigo del datacenter.

Pubblicato il 14 marzo, aggiornato il 18 marzo

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly
@RIPRODUZIONE RISERVATA

Articolo 1 di 3