Due giorni fa, l’Agenzia Nazionale per la Cybersicurezza (ANC, di recentissima costituzione) ha diramato il suo primo comunicato ufficiale che contiene delle indicazioni relative alla crisi in Ucraina che, come ben sappiamo, ha dei risvolti importanti sotto il profilo della sicurezza informatica.
Il comunicato (che può essere letto qui) recita in particolare:
L’evoluzione della situazione internazionale e del quadro geopolitico che ne consegue ha fatto emergere nuovi elementi che hanno ridefinito lo scenario di rischio tecnologico. Ciò ha reso, in particolare, opportuno considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa.
La questione si concentra in primo luogo proprio sui software per la protezione informatica, in particolare l’Antivirus kaspersky, di produzione Russa, largamente diffuso in Italia in ambito privato e in moltissimi enti pubblici, nelle istituzioni governative e nelle forze armate.
Il prodotto dell’azienda fondata da Eugene Kaspersky era stato bandito dai sistemi federali deli Stati Uniti già nel 2017 e poco dopo dalle infrastrutture pubbliche dell’Inghilterra (messa in allarme anche da una campagna commerciale che proponeva l'antivirus in sconto del 50% per le forze armate inglesi). In Unione Europea si discute della questione dal 2019, su proposta dell’europarlamentare belga Gerolf Annemans (l’Olanda ha bandito kaspersky nel 2018).
La Commissione Ue aveva comunque approvato l’utilizzo delle soluzioni di cybersecurity dell’azienda russa sul territorio europeo: “La Commissione non è in possesso di prove relative a potenziali problemi connessi all’uso dei prodotti di Kaspersky Lab”.
Nel nostro paese, secondo dati del 2018 (pubblicati da EuroNews), si parla di 500 enti che utilizzano le soluzioni kaspersky, svariati ministeri (Attività Culturali e Turismo, Giustizia, Infrastrutture, Economia, Interno, Istruzione, Sviluppo Economico), l’Agcom, l’Enav, il CNR e la Direzione centrale dei Servizi Elettorali.
Il Ministero della Difesa avrebbe invece già abbandonato kaspersky nel 2015, sia per le reti classificate che per quelle non classificate. Va riportato che il MISE ha rilasciato una certificazione di sicurezza CC EAL2+ (protocollata il 22 gennaio 2022) che rende il software Kaspersky idoneo ad essere eseguito su ambienti classificati.
La crisi ucraina, le sanzioni in atto contro la Federazione Russa e l’allarme per la cyberwarfare in corso direttamente correlata alla crisi (ne abbiamo parlato in questo articolo) ha rapidamente spinto le agenzie di sicurezza ad accelerare la non adottabilità di questa soluzione antivirus, e con essa di altre piattaforme software che si possano in qualche modo ricondurre alla Russia. In particolare va riportata la posizione della BSI (agenzia per la sicurezza della Germania) che dice: “Il software antivirus, inclusi i servizi cloud in tempo reale associati dispone di autorizzazioni di sistema estese e, a causa del sistema (almeno per gli aggiornamenti), deve mantenere una connessione permanente, crittografata e non verificabile ai server del produttore. Pertanto, la fiducia nell’affidabilità e nell’autoprotezione di un produttore, nonché nella sua autentica capacità di agire, è fondamentale per l’uso sicuro di tali sistemi. In caso di dubbi sull’affidabilità del produttore, il software di protezione antivirus rappresenta un rischio particolare per la protezione dell’infrastruttura IT”.
In Italia, il 15 marzo l’ANC raccomandava “di procedere urgentemente ad un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione per quanto riguarda, in particolare, le seguenti categorie di prodotti e servizi: sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed endpoint detection and response (Edr)”
La raccomandazione naturalmente non riguarda solo le soluzioni antivirus ed endpoint ma comprende anche server, datacenter, soc.
Ma quella che solo fino a due giorni fa era solo una raccomandazione, oggi si configura come una probabile azione normativa del governo finalizzata a eliminare i prodotti kaspersky (ed tutte le altre piattaforme sviluppate da aziende russe) dalla pubblica amministrazione.
Il Governo, ha spiegato Franco Gabrielli (sottosegretario con delega per la sicurezza della Repubblica), si appresta a fare una norma per consentire che non solo l’antivirus in questione, ma anche altre piattaforme informatiche, vengano poste fuori dall’ambito dell’attività delle Pubbliche amministrazioni.
Da un punto di vista tecnico ad oggi non si segnalano problemi di sicurezza per le infratrutture che usano i prodotti kaspersky. L’azienda ha già ampiamente ribadito la sua neutralità e indipendenza dal Cremlino e ha anzi promosso una interessante campagna di informazione sulla cyberwarfare legata alla crisi Ucraina.
Ma indipendentemente dalla qualità e affidabilità delle soluzioni di cybersecurity dell’azienda (kaspersky è tra i migliori prodotti sul mercato, almeno fino ad ora) lo scenario estremamente probabile è che qualsiasi ente pubblico che abbia un contratto di fornitura con la kaspersky Lab (e non solo) debba recedere da esso e provvedere ad una completa pulitura dei propri sistemi e successiva sostituzione con altre soluzioni di sicurezza informatica di origine non russa.
Si tratta di una operazione tecnica non di poco conto, che implica un investimento in termini professionali (la scelta del prodotto alternativo e del partner tecnico che provveda a importare la nuova infrastruttura di sicurezza) ed economici (ma la norma del governo conterrà probabilmente dei provvedimenti di sostegno in tal senso).
Esistono numerose alternative sul mercato, soprattutto se ci si riferisce al singolo applicativo antivirus: McAfee (USA), Norton (USA), Avira (Germania), Panda (Spagna), Avast e AVG (Repubblica Ceca), BitDefender (Romania), Eset (Slovachia). Sono tutte soluzioni utilizzate sia da privati che imprese.
In ambito specificatamente Enterprise e governativa abbiamo la suite di sicurezza Trend Micro (di provenienza Giapponese e USA). S&NT è Gold Partner Trend Micro e garantisce tramite questa soluzione l’infrastruttura di sicurezza di molteplici aziende private e pubbliche amministrazioni italiane.
In qualità di fornitori, ma soprattutto in quanto tecnici che per primi abbiamo selezionato questa suite di prodotti, riteniamo che Trend Micro si qualifichi ad essere una soluzione privilegiata da considerare per la transizione software che molti enti pubblici (e anche aziende private) sono chiamati ora ad affrontare.
ADDENDUM
Come anticipato, diventa ufficiale il decreto che spinge le Pubbliche Amministrazioni a sostituire i software sviluppati nella Federazione Russa. Il provvedimento, inserito all'interno del D.L 14/2022 anche detto "Decreto Ucraina", stabilisce dunque la necessità della diversificazione del software.
Va detto che l'urgenza della sostituzione di software russo non è derivante da un rischio di potenziali azioni di spionaggio informatico, ma piuttosto dall'eventuale difficoltà per le aziende russe di fornire gli aggiornamenti di sicurezza.
Riportiamo il testo:
"Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso."