Arriva oggi, probabilmente, un decreto sulla sovranità tecnologica, sollecitato dalla crisi Ucraina, e c’è dentro anche la cyber security e il caso Kaspersky – oltre a un potenziamento del golden power 5g, come annunciato dal sottosegretario alla presidenza del Consiglio, Franco Gabrielli. Intanto la Commissione Ue avvia una consultazione pubblica per la futura direttiva sulla cyber-resilienza, la cosiddetta NIS 2 che andrà di pari passo con la direttiva CER sulla resilienza cinetica delle entità essenziali dei Paesi Membri.
L’attuale conflittualità tra Russia e Ucraina ha accesso i riflettori sulle possibili conseguenze cyber ai danni dei paesi dichiarati ostili da Mosca, tra cui l’Italia. Relativamente a ciò, il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega alla sicurezza nazionale, Prefetto Franco Gabrielli ha dichiarato come sia essenziale non essere più vincolati alla tecnologia russa.
Baldoni: “Come stiamo gestendo la crisi Ucraina e i prossimi passi dell’Agenzia cyber”
Indice degli argomenti
Sempre meno Russia nella cyber occidentale
A seguito delle crescenti tensioni tra il Cremlino e i paesi occidentali, già nel 2017, gli Stati Uniti hanno deciso di disinstallare il programma dai dispositivi governativi per motivi di sicurezza, seguiti un anno dopo dai Paesi Bassi. E qualche giorno fa dalla Germania.
Analogamente in Francia l’Agenzia nazionale per la sicurezza dei sistemi informativi ha invitato a rivedere l’uso del software Kaspersky, sebbene un divieto esplicito non sia stato ancora emanato. In tale crescente livello di conflitto internazionale, non si può prescindere da una rivalutazione del rischio che tenga conto del mutato scenario e che consideri la conseguente adozione di misure di mitigazione.
Caso Kaspersky
In Italia, il software di Kaspersky è utilizzato da 2.297 acquirenti, tra cui il Viminale, il Ministero della Difesa, il Ministero della Giustizia, il Comando Generale della Guardia di Finanza, il Ministero Affari Esteri e Cooperazione Internazionale, l’Arma dei Carabinieri, l’Istat, il CNR, l’Istituto di Fisica Nucleare, l’AGCM, oltre a migliaia di altri enti pubblici e privati. Molti di questi rientrano nel perimetro di sicurezza nazionale cibernetica e la compromissione dei loro software potrebbe causare gravi danni. [i]
Il “caso Kaspersky” è in cima ai dossier del Comitato Parlamentare per la Sicurezza della Repubblica (Copasir), che ha esaminato l’impiego di prodotti informatici realizzati da aziende russe nel panorama tecnologico del nostro Paese e le eventuali criticità. A fronte di tale analisi, nel medio termine gli enti pubblici potrebbero dover considerare una strategia di diversificazione delle soluzioni di cybersecurity.
Agenzia cyber, diversificare se avete tecnologie russe
L’ACN, sentito il Nucleo per la Sicurezza Cibernetica, ha emesso una raccomandazione a procedere urgentemente ad un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione per quanto riguarda, in particolare, le seguenti categorie di prodotti e servizi:
- sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
- “web application firewall” (WAF);
- protezione della posta elettronica;
- protezione dei servizi cloud;
- servizi di sicurezza gestiti (managed security service).
A rendere ancora più delicata la questione, si riporta che il 31/01/2022, l’Italia ha certificato Kaspersky secondo lo standard Common Criteria EAL2+, requisito necessario alla fornitura di tecnologie negli ambiti “Classificati”. Ciò ha reso il software utilizzabile anche da enti dell’intelligence e per tale motivo la possibilità che attraverso Kaspersky la Russia possa diffondere un attacco cyber all’Italia desta diverse preoccupazioni. Pertanto è stata fatta un’interrogazione parlamentare presentata al Governo il 28 febbraio dall’On. Paolo Nicolò Romano [ii] indirizzata al Presidente del Consiglio, Mario Draghi, e ai Ministri per l’Innovazione tecnologica e la transizione digitale, Affari esteri, Interni, Pubblica amministrazione e Sviluppo economico per chiedere delucidazioni in merito all’utilizzo diffuso dell’antivirus di Kaspersky in seno a diverse PA italiane.
Il Deputato sottolinea che “se i dati fossero confermati vorrebbe dire che su molti computer delle più importanti agenzie di sicurezza italiane, è presente un software prodotto in Russia, che ogni giorno si collega a server di Mosca per scambiare dati e scaricare eventuali aggiornamenti su cui non vi sarebbe alcuna possibilità né di controllo né di verifica preventiva, a prescindere dalle eventuali certificazioni di sicurezza ottenute”.
La posizione di Gabrielli e del Governo: via software “straniero” dalle PA
Il Governo, attraverso Gabrielli, ha espresso volontà di chiedere, con un decreto, alle PA di eliminare “non solo l’antivirus citato (Kaspersky, ndr.) ma anche altre piattaforme informatiche”, si intende di Paesi non “amici”. Ricordiamo che la Golden Power 5G si applica per ora su aziende cinesi come Huawei e Zte, sulla scorta di quanto fatto dagli Stati Uniti.
Secondo le dichiarazioni rilasciate dalla società russa, Kaspersky non sarebbe soggetta al Russian System of Operational Investigative Measures (SORM) o ad altre legislazioni simili e non è quindi obbligata a fornire informazioni al Governo russo. Al contrario, secondo alcuni esperti di settore la società potrebbe ricevere pressioni da Mosca non tanto per condurre uno spionaggio attivo, quanto per immettere un malware che il software potrebbe volontariamente lasciar passare. A quel punto, il virus potrebbe operare indisturbato nei dispositivi colpiti, cancellando, bloccando o “esfiltrando” dati, oppure controllando da remoto i computer infettati [iii].
Sovranità tecnologica
La questione relativa all’utilizzo di antivirus, software o hardware di aziende estere, ha fatto emergere un ulteriore dibattito in merito alla sovranità tecnologica e alla possibilità di dotarsi, in particolare per la pubblica amministrazione, di prodotti sviluppati in Italia. La dipendenza da altri Paesi sta facendo rendere conto della possibilità di essere fortemente vulnerabili e a rischio di compromissione, soprattutto in relazione ad eventi geopolitici rilevanti che potrebbero far mutare gli equilibri internazionali.
Attualmente l’Unione Europea dipende da produttori esterni come Stati Uniti, Russia, Cina e Israele: sarebbe quindi necessario creare le condizioni per la realizzazione di un mercato europeo della sicurezza digitale.
Nonostante in alcuni casi non si possa fare a meno di utilizzare tecnologie prodotte fuori dai confini dell’Unione Europea, nell’ambito degli antivirus esistono prodotti di valore ampiamente sviluppati da diversi Paesi Europei che potrebbero rappresentare delle alternative valide.
Cyber resilienza europea
La sovranità tecnologica va di pari passo con la cyber-resilienza. Una Europa più unità per contrastare le minacce cyber.
Già è migliorata molto la collaborazione – attraverso gli Csirt nazionali – ma si può fare di più. Lo dicono gli stessi ministri europei.
“I recenti attacchi informatici che hanno colpito l’Ucraina, in un contesto di crescenti tensioni geopolitiche, hanno dimostrato l’importanza della dimensione cibernetica nei conflitti contemporanei. Le possibili ricadute di tali attacchi informatici sulle reti europee evidenzia al contempo la necessità che l’UE elabori un piano ambizioso e completo per la propria cybersicurezza”. Comincia così la dichiarazione congiunta dei ministri delle telecomunicazioni dei 27 Paesi dell’Unione Europea, a marzo.
Proposto tra l’altro un fondo di emergenza per fare fronte alle conseguenze di un attacco su larga scala.
Nis2
La consultazione pubblica, che scade il 25 maggio 2022, quindi brevissima, servirà a integrare il quadro normativo Nis con la cyber resilienza.
“Per fronteggiare i sofisticati attacchi informatici odierni, così diversificati, abbiamo bisogno di tecnologie avanzate, infrastrutture sicure e maggiore cooperazione operativa, unite a un approccio comune su parametri di cibersicurezza per prodotti e servizi – ha spiegato Thierry Breton, Commissario per il Mercato interno -. Attendiamo con interesse il contributo di organizzazioni e cittadini interessati per aiutarci a dare forma alla nuova legge sulla ciberresilienza, che diventerà parte fondamentale del quadro strategico e legislativo europeo in tema di cibersicurezza”.
L’Europa – come l’Italia – si è svegliata: speriamo non sia troppo tardi.
NOTE
[i] Portale Contrattipubblici.org https://contrattipubblici.org/search?q=kaspersky
[ii] Interrogazione al Governo il 28 febbraio dall’On. Paolo Nicolò Romano https://aic.camera.it/aic/scheda.html?numero=4/11474&ramo=CAMERA&leg=18
[iii] La sicurezza nazionale e il “caso Kaspersky” https://www.ilsoftware.it/articoli.asp?tag=Kaspersky-e-sicuro-La-domanda-che-tutti-pongono-in-questo-periodo_24222
