Le crescenti tensioni sul fronte internazionale, precipitate con l’apertura del conflitto bellico tra Russia e Ucraina, hanno generato scenari inediti sul fronte della sovranità tecnologica, soprattutto per quanto concerne le applicazioni di cybersecurity. I legami commerciali stipulati con la globalizzazione si stanno sfaldando per via di una fragilità di fondo, che il dilagare delle cyberwar e degli attacchi nation-state aveva in qualche modo fatto intuire, anche se in parte si faceva finta di non vedere, d’altro canto pareva improbabile che la crisi potesse assumere i contorni di un vero conflitto globale.

Vediamo dunque cosa è successo nelle ultime settimane, quando le prime esplosioni nella guerra in Ucraina hanno aperto molti dubbi ed interrogativi in merito agli accordi commerciali che l’Occidente ha stipulato con la Russia. Oltre all’ampio quadro sanzionatorio adoperato contro vari asset dell’economia russa e dei suoi principali finanziatori, stiamo assistendo ad una netta presa di posizione nei confronti del software riconducibile all’ombra del Cremlino.

Il caso più evidente è manifestato da Kaspersky, soluzione leader nella sicurezza informatica, che vanta moltissimi clienti tra enti pubblici e aziende che gestiscono infrastrutture critiche e servizi strategici fondamentali in ambito militare. Con un rapido effetto domino, i governi occidentali stanno prendendo le distanze dai servizi offerti dall’azienda russa e al tempo stesso si apre un interrogativo più grande, in merito all’esigenza o meno di una vera e propria sovranità tecnologica per quanto riguarda l’information technology.

I giochi sono ampiamente aperti e una questione rimasta a lungo latente è esplosa in tutta la sua criticità prospettando scenari decisamente incerti per il futuro prossimo. Da un lato, è necessario capire come evolverà in effetti la vicenda legata direttamente a Kaspersky, in quanto costituirà comunque un precedente fondamentale. Ribaltando il punto di vista, è lecito che gli stati si pongano tutti i dubbi del caso in merito alla sovranità del software, ma al tempo stesso devono delineare linee guida e disposizioni concrete per evitare che la situazione precipiti nel caos.

L’antefatto: Kaspersky è russo, via dai nostri sistemi! Dagli USA agli stati europei, un coro quasi unanime

In Italia si stima che circa 2300 importanti soggetti pubblici siano clienti di Kaspersky, a cui da anni affidano le tecnologie cruciali per garantire la sicurezza dei propri sistemi informatici. Nella lista ritroviamo il Viminale, il Ministero della Giustizia, il Ministero della Difesa, Il Ministero degli Esteri, la Guardia di Finanza, l’Arma dei Carabinieri, l’Istituto di Fisica Nucleare, il CNR. L’AGCM, il CNR, l’Istat e moltissimi enti locali rilevanti.

Una collaborazione molto solida con il nostro Paese, che l’azienda fondata nel 1997 a Mosca, dove tuttora mantiene la propria sede centrale, ha saputo conquistare nel corso degli anni grazie a tecnologie che sono diventate un punto di riferimento sul mercato.

Le tensioni che hanno portato all’apertura del conflitto in Ucraina hanno visto la Russia diventare il nemico pubblico numero uno dell’Occidente, che si schiera su una posizione decisamente avversaria rispetto alle scelte di Vladimir Putin. Le sanzioni imposte dall’Occidente hanno finito per travolgere molte realtà economiche russe, che stanno subendo gravissime ricadute per via del fatto di aver visto troncati, in maniera unilaterale, da un giorno all’altro quegli accordi commerciali fondamentali per le sorti del loro business.

Il caso di Kaspersky vede l’azienda russa stretta in una morsa da cui risulta tremendamente complesso trovare una via d’uscita, soprattutto in virtù dello specifico della sua offerta, che si lega a stretto filo con la sicurezza dei dati e delle informazioni strategiche fondamentali presenti sui data center degli enti pubblici e delle società chiamate a gestire le infrastrutture critiche.

La criticità dell’operato di Kaspersky, come di qualsiasi brand che fornisce sistemi di sicurezza informatica, giustifica senz’altro l’allarmismo dei governi occidentali, che temono che, nel caso in cui la situazione geopolitica dovesse subire ulteriori tracolli, il Cremlino possa di fatto imporre alle aziende sotto la propria giurisdizione di assecondare precise intenzioni offensive nei confronti delle nazioni rivali, su tutte il cyberspionaggio e il sabotaggio delle infrastrutture critiche. Nel momento in cui scriviamo, nessuno avrebbe rilevato azioni anomale da parte dei sistemi di Kaspersky, che in molti casi non è nemmeno stata pubblicamente nominata, ma il timore di un’ingerenza da parte del governo russo è cresciuta di giorno in giorno.

La rilevanza mediatica assunta dal dibattito sull’affidarsi o meno al software russo ha talvolta dato luogo a siparietti a dir poco tragicomici, con vette di eccellenza che hanno visto Eugene Kaspersky additato di essere un infiltrato del KGB, la famigerata agenzia di sicurezza dell’Unione Sovietica, con cui potrà aver certamente collaborato in passato, ma la cui funzione è pubblicamente cessata nel 1991, ben prima della fondazione dell’omonima azienda.

Alcune uscite sono apparse talmente surreali al punto da far addirittura sospettare che alla base del discredito gettato addosso a Kaspersky vi fosse una “sponsorizzazione” di alcuni suoi competitor. Per capirci, il dubbio sorge abbastanza spontaneo quando in chiusura degli articoli relativi all’argomento appare un prospetto infografico, molto ordinato, con tanto di loghi e feature, dall’invitante titolo “Le migliori alternative a Kaspersky. Vai all’offerta”, con tutti gli affiliation link del caso.

Sul fronte politico, il dibattito innescato con alterna serietà dalla stampa generalista e di settore è invece proseguito in maniera determinata, arrivando a definire azioni e conseguenze importanti, che rischiano di creare un punto di svolta per quanto concerne l’attenzione sulla sovranità del software, come approfondiremo nel corso dei prossimi paragrafi.

In tempi non sospetti, più esattamente nel 2017, gli Stati Uniti con un’azione dichiaratamente politica, ha escluso la presenza di Kaspersky dai sistemi di sicurezza dei propri enti. La stessa decisione è stata assunta l’anno seguente dall’Olanda. L’apertura del conflitto ucraino ha generalizzato la questione, portando anche realtà come Italia, Francia e Germania ad occuparsi pubblicamente della questione, arrivando grosso modo alle medesime conclusioni: il software di Kaspersky non è più gradito a bordo dei sistemi informatici della PA e sarebbe opportuno sostituirlo al più presto.

Politica vs tecnologia: qual è la linea di confine? La “difesa” di Kaspersky

Lo scorso 15 marzo in Germania la BSI (Ufficio Federale per la Sicurezza dell’Informazione) ha ufficialmente consigliato di “sostituire le applicazioni del portafoglio software di protezione antivirus di Kaspersky con prodotti alternativi”. Tra le principali motivazioni legate al provvedimento, l’ente responsabile per la sicurezza informatica della Germania ha ribadito come: “Un produttore IT russo può eseguire lui stesso operazioni offensive, essere costretto ad attaccare i sistemi di destinazione contro la sua volontà, essere spiato a sua insaputa come vittima di un’operazione informatica o essere utilizzato in modo improprio come strumento per attacchi contro i propri clienti”.

Si tratta dell’ennesima riprova che l’oggetto del provvedimento non sia Kaspersky in quanto tale, ma il fatto che essere potenzialmente coinvolta da azioni di ingerenza del governo russo. Il timore è ovviamente condivisibile se pensiamo alla massiccia attività che la Russia avrebbe condotto per sostenere i gruppi cybercriminali nelle cyberwar contro l’Ucraina ed altre nazioni avversarie, a partire dagli Stati Uniti. A differenza dei cybercriminali, che lo fanno per lavoro, un’azienda russa non avrebbe mai un’intenzione volontaria nel compiere azioni malevole nei confronti dei propri clienti, ma cosa succederebbe se la Russia facesse ad esempio prevalere delle questioni di interesse nazionale, intervenendo con la forza?

La posizione di Kaspersky punta proprio sulla neutralità del proprio operato, ed emerge dal comunicato ufficiale, pubblicato dall’azienda, in risposta alla BSI, che ha di fatto improvvisamente bandito il suo software dai sistemi informatici della Germania: “Riteniamo che questa decisione non si basi su una valutazione tecnica dei prodotti Kaspersky, ma sia presa su basi politiche. Continueremo a garantire ai nostri partner e clienti la qualità e l’integrità dei nostri prodotti e lavoreremo con BSI per chiarimenti in merito alla sua decisione e per risolvere le sue preoccupazioni e quelle di altre autorità di regolamentazione. Riteniamo che la trasparenza e la continua implementazione di misure concrete per dimostrare il nostro impegno duraturo per l’integrità e l’affidabilità nei confronti dei nostri clienti siano fondamentali. Kaspersky è una società di sicurezza informatica globale privata e, in quanto società privata, non ha alcun legame con il governo russo o con qualsiasi altro governo”.

In merito alla neutralità della propria infrastruttura IT e dei servizi di consulenza garantiti ai clienti: “La nostra infrastruttura di elaborazione dei dati è stata collocata in Svizzera nel 2018. Da allora, i file infetti e sospetti condivisi dagli utilizzatori dei prodotti Kaspersky in Germania vengono elaborati in due data center a Zurigo, che dispongono di tecnologie tra le migliori al mondo, compliance con gli standard dell’industria, per assicurare i più elevati livelli di sicurezza. Oltre ai data center in Svizzera, le statistiche che i clienti inviano a Kaspersky vengono elaborati dai servizi dei Kaspersky Security Network, distribuiti in vari paesi del mondo, compresi Canada e Germania”.

Kaspersky rileva inoltre la propria conformità ad operare, certificata da soggetti super partes: “La sicurezza e l’integrità dei nostri sistemi e dei nostri servizi sui dati sono confermati da organi valutatori indipendenti, attaverso il SOC 2 Audit condotto da un Big Four auditor e attraverso la certificazione ISO 27001 e la più recente certificazione rilasciata da TÜV Austria”.

Il testo integrale dell’intervento di Kaspersky è disponibile, in lingua inglese, sul seguente articolo di Bleeping Computer. L’azienda ha inoltre affermato la volontà di avviare un dialogo costruttivo con BSI per superare lo scetticismo dell’ente tedesco grazie alla propria affidabilità tecnologica e alla trasparenza garantita dai propri software, che i clienti possono verificare direttamente sul codice sorgente. 

Cenni di sovranità tecnologica: sulla scia della sovranità dei dati

Recentemente intervistato da Open, Stefano Zanero, docente del Politecnico di Milano esperto in materia di sicurezza informatica, ha rilevato come: “Il tema emerso in questi giorni su Kaspersky apre a un discorso più ampio che è quello della sovranità tecnologica. Quando parliamo di software o hardware che vengono utilizzati in sistemi critici, bisognerebbe garantire che queste tecnologie non abbiano dipendenze con nazioni che sono fuori dalle nostre alleanze. In alcuni casi non si può fare a meno di utilizzare tecnologie prodotte all’esterno ma per quanto riguarda l’antivirus abbiamo un’ampia scelta di prodotti. Questi software devono essere sempre aggiornati e hanno un flusso di dati costante con l’azienda che li ha sviluppati”.

Zanero centra perfettamente la questione. Kaspersky è stato il casus belli di un fronte d’azione molto più ampio, che rischia ben presto di estendersi all’intera infrastruttura IT. Non sarà semplice prevederne le conseguenze, soprattutto perché lo scenario non è predisposto per assorbire in maniera indolore un cambiamento di prospettiva così evidente. Un dato è certo, la questione della sovranità tecnologica dovrebbe essere per lo meno oggetto di valutazioni più attente, sulla falsariga di quanto è avvenuto in merito alla sovranità dei dati.

La questione è del resto ampiamente nota. Per superare la dipendenza tecnologica dagli hyperscaler statunitensi, che detengono la stragrande maggioranza del mercato cloud cui i clienti europei fanno riferimento, la Commissione europea ha manifestato l’intenzione di una maggior resilienza, basata su infrastrutture con sede in Europa. Il problema della sovranità dei dati appare evidente quando i dati di un cliente europeo vengono ad esempio conservati su un server extra UE. Quale nazione detiene la sovranità in caso di contenziosi?

La situazione è stata ulteriormente ingarbugliata dal Cloud Act, che prevede per il governo americano la facoltà di chiedere ed ottenere i dati di clienti non americani dalle proprie aziende, bypassando qualsiasi accordo commerciale. Tale condizione, attuabile in un numero di casi molto limitato, evidenzia ancora una volta la difficoltà di operare globalmente in un mondo condizionato da evidenti divisioni sul piano politico.

L’intenzione di creare un ecosistema cloud europeo ha dato luogo ad iniziative come Gaia-X, un consorzio indipendente che si pone l’obiettivo di determinare una precisa azione di governance nell’interesse di un cloud europeo, per garantire al vecchio contenente le garanzie necessarie in materia di sovranità dei dati.

Per il software può valere un discorso analogo? Probabilmente si, ma come nel caso del cloud, appare complesso prospettare delle alternative credibili, almeno nel breve e nel medio periodo. È vero che di antivirus europei ce ne sono tanti, ma agire con provvedimenti impulsivi rischia soltanto di generare situazioni di incertezza che il mercato non merita, soprattutto nella prospettiva di una ripresa come quella concessa dai provvedimenti del PNRR.

Dal testo alle ricadute sul mondo reale: tanti dubbi sul futuro del Decreto “Kaspersky”.

Fermo restando i timori di natura politica, ciò che sorprende è una posizione a favore di una sovranità tecnologica da parte di un paese come l’Italia, che non ha mai avuto una sovranità tecnologica, soprattutto a livello strategico, nel rapporto che intercorre tra la Pubblica amministrazione e i propri fornitori di servizi informatici. Ciò accade sia per l’oggettiva assenza di aziende informatiche italiane capaci di garantire tecnologie in vari ambiti applicativi, sia per un impianto normativo che tende, almeno sulla carta, a privilegiare la trasparenza e l’equità per tutti i potenziali fornitori di servizi.

Il Decreto Kaspersky, come è stato diffusamente etichettato il comunicato n. 68 del Consiglio dei Ministri, relativo ai punti relativi alla cybersicurezza delle Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina, pubblicato lo scorso 19 marzo, si avvia a segnare un punto di svolta, introducendo un criterio di selezione geografico per quanto riguarda i servizi informatici: “Rafforzamento della disciplina sulla cybersicurezza. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, queste procedono tempestivamente alla diversificazione dei prodotti in uso, anche mediante procedure negoziate. Le procedure di acquisto riguarderanno determinate categorie di prodotti e servizi sensibili quali applicativi antivirus, antimalware, endpoint detection and response (EDR) e web application firewall (WAF)”.

Le disposizioni contenute nel decreto danno seguito a quanto anticipato nei giorni precedenti da Franco Gabrielli, Sottosegretario alla Presidenza del Consiglio con delega alla sicurezza nazionale, che aveva pubblicamente annunciato l’intenzione di “rimuovere le soluzioni Kaspersky dai server della Pubblica Amministrazione”, senza tuttavia entrare nel merito delle modalità, che verranno probabilmente chiarite in seguito.

Come nel caso dell’omologo tedesco, Kaspersky ha presentato una risposta circostanziata da una serie di dati oggettivi per dimostrare l’efficienza della propria cyber threat intelligence e sulle garanzie che un’infrastruttura collocata nei data center in Svizzera è in grado di offrire ai propri clienti. I dettagli sono riportati in questo esauriente servizio pubblicato dai colleghi di Security Open Lab

Alla luce di questo singolare fatto, un altro aspetto che dovrebbe far riflettere è come si sia arrivati a questo punto, a dover prendere decisioni tardive, impulsive e trascinate dall’onda emotiva, quando la questione era nota da diversi anni, rimanendo quasi del tutto ignorata da chi di dovere. Già in passato alcune associazioni attente ai temi della cybersicurezza rilevarono le potenziali criticità derivanti dalla massiccia adozione di servizi da parte di fornitori extra UE da parte della PA, ma le questioni sono puntualmente cadute nel dimenticatoio. Probabilmente l’attenzione mediatica non era tale da costringere il governo a prendersi apertamente delle responsabilità, su una questione oltretutto decisamente spinosa.

Nel frattempo, Kaspersky, ha continuato a guadagnare clienti nella Pubblica amministrazione, evidentemente soddisfatti del suo operato. Kaspersky, lo ricordiamo, è inoltre molto attiva anche sul fronte dell’incident response, ossia l’attività forense che segue l’incidente informatico e di cui la PA e le aziende operanti nell’ambito delle infrastrutture critiche sono soggette per legge (recepimento Normativa NIS) al soddisfacimento di determinati requisiti, a partire da una notifica obbligatoria.

Per quale motivo tutti finora si sono lavati le mani, scaricando adesso su altri quelle responsabilità che avrebbero dovuto essere inquadrate almeno da cinque anni a questa parte? E soprattutto, cosa dovranno fare ora le PA per adeguarsi al nuovo vento che soffia a favore della sovranità tecnologica?

Ci si augura innanzitutto che la Normativa NIS 2, attualmente in fase di formazione presso la Commissione europea, riesca a dare almeno qualche linea di indirizzo, in modo che i paesi membri siano costretti ad affrontare l’argomento quando verranno chiamati a recepirla nei propri disposti normativi.

Nel caso italiano, gli interrogativi sono molti.

Lo stesso Gabrielli promette la ricerca di un atteggiamento resiliente, che non venga condizionato da iniziative episodiche. Il problema è che al momento il Decreto Kaspersky si configura al momento quale un’iniziativa episodica. Non è chiaro chi ed in che modo eserciterà le competenze necessarie per garantire la necessaria sorveglianza di questa sovranità tecnologica. Né dove verranno recepite tali competenze per potenziare, come si presume, l’organico degli organi trust come l’Agenzia Nazionale per la Cybersicurezza, o di chi sarà chiamato a gestire la governance.

Si affaccia insomma lo spauracchio di ulteriori commissioni onerose per i contribuenti, che lasciano sempre qualche dubbio in merito all’effettiva concludenza del proprio operato, soprattutto alla luce delle straordinarie opportunità che il PNRR è in grado di prospettare. Opportunità che non aspettano.

Il pensiero scontato va alle famigerate selezioni di esperti che dovrebbero aiutare le pubbliche amministrazioni ad affrontare il loro percorso di trasformazione digitale. Nei giorni scorsi lo stesso ministro Brunetta ha ammesso che il bando per la selezione di 2200 esperti previsti per le PA mezzogiorno si è rivelato fallimentare, in quanto sarebbero stati “presi i peggiori”. Ora si renderà necessaria una ulteriore azione correttiva, che si tradurrà in ulteriori aggravi di costi e inconcludenti lungaggini.

Sperando ovviamente di sbagliarci, l’impressione è che presentarsi con un “dovreste cambiare l’antivirus perché è russo” non soltanto non risolva il problema dal punto di vista tecnologico, ma tenda a generare ulteriori complicazioni, se non esprime certezze nel tradurre le intenzioni politiche in strategie IT, e le stesse strategie in una operatività concreta, ciò di cui la PA davvero necessita per migliorare i servizi per la cittadinanza.

Caso Kaspersky, si va verso la sovranità tecnologica? Come e con quali rischi ultima modifica: 2022-03-21T10:18:47+01:00 da Marco Lorusso

LEAVE A REPLY

Please enter your comment!
Please enter your name here