Attenzione all’uso di tecnologie informatiche russe. L’Agenzia nazionale per la Cybersicurezza Nazionale ha appena pubblicato nuove linee guida e raccomandazioni urgenti. Anche se non cita espressamente Kaspersky, il riferimento è ovvio, dopo la recente posizione critica di Franco Gabrielli, sottosegretario di Stato alla Presidenza del Consiglio (Autorità delegata per la sicurezza della Repubblica), in merito in particolare all’uso dell’antivirus russo da parte delle PA. Ben 2700 quelle italiane a usarlo, con un rischio sul piano della sicurezza.
Il punto cardine del recente avviso, caratterizzato sul sito del CSIRT italiano proprio da un banner su sfondo arancione (a rimarcarne la rilevanza e l’urgenza), è l’urgente raccomandazione ad effettuare nuove valutazioni sul rischio, nell’adozione di tecnologie informatiche erogate da aziende russe o legate alla Federazione Russa.
Italia in pericolo con Kaspersky? Il parere degli esperti e le domande da porsi
Indice degli argomenti
Agenzia cyber su Kaspersky e tecnologie russe
Come tutta l’attività dell’Agenzia per la Cybersicurezza Nazionale, anche questo avviso è rivolto sicuramente a tutto il territorio nazionale. Va detto però che il campo di azione nel quale l’ACN opera, rivolge maggiore attenzione agli enti e le imprese italiane di rilevanza strategica per la sicurezza nazionale.
La base di questo alert è lo sfondo cyber che si sta delineando a causa della crisi ucraina nei confronti dei paesi non alleati e, per ciò che riguarda l’Italia, la Federazione Russa. Tenendo in considerazione infatti, i rapporti di fiducia sinora sempre rinnovati tra la pubblica amministrazione italiana e le tecnologie offerte da aziende sul territorio russo, si invita a un’urgente “analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione”. Tutto questo nonostante, scrive l’Agenzia, non ci siano evidenze di un “abbassamento qualitativo” di queste soluzioni, leggi minacce concrete.
Non si tratta dunque di una blacklist specifica che banna irrevocabilmente gli strumenti russi – come ha fatto gli Usa per quelli governativi dal 2016. Ma siamo di fronte a una seria e urgente raccomandazione a rivalutare i rischi di pregressi accordi, finora mai messi in discussione, durante il tempo di pace.
Gli ambiti a rischio
L’attenzione viene mantenuta alta per tutta una serie particolarmente sensibile di prodotti informatici, suddivisibili nelle seguenti categorie:
- sicurezza dei dispositivi: ci si riferisce qui ai prodotti antivirus, antimalware, protezione delle workstation, ovvero degli endpoints, la parte più periferica di una rete, quella su cui gli utenti (i dipendenti) operano;
- “web application firewall” (WAF): si parla dei dispositivi di protezione della rete, quelli che gestiscono le regole sui dati in entrata e in uscita;
- protezione della posta elettronica: software di filtraggio a livello server e anche in questo caso, a livello workstation;
- protezione dei servizi cloud: quei software che aiutano nel monitoraggio sui contenuti e sugli eventi di sicurezza nelle infrastrutture centralizzate di conservazione dei dati;
- servizi di sicurezza gestiti (managed security service).
Le raccomandazioni
L’Agenzia raccomanda nello specifico:
- di fare una nuova valutazione di rischio tenuto conto del mutato scenario geopolitico
- valutare diversificazioni (ergo software alternativi)
- comunque non rimanere sguarniti sul fronte della sicurezza in questo passaggio
Zanero: “documento equilibrato”
Commenta Stefano Zanero del Politecnico di Milano a Cybersecurity360: “Mi pare un documento estremamente bilanciato e sensato, che indica (correttamente) un punto di attenzione nell’uso di tecnologia fabbricata in Russia nelle more dell’attuale situazione geopolitica. Personalmente, ritengo che debba fare parte di una più ampia riflessione sulla necessità di una sovranità tecnologica europea che consenta di avere il controllo completo della supply chain per le tecnologie in uso nei settori critici”.
Kaspersky, cosa fare ora?
Sicuramente questo bollettino di sicurezza non può passare inosservato e chiunque abbia affidato finora, compiti di sicurezza informatica a prodotti/servizi erogati da aziende della Federazione Russa, non può astenersi dall’intraprendere una riflessione in merito.
Riteniamo utile a tal proposito l’intervista di Pierluigi Paganini, proprio del 14 marzo, a SkyTG24 che sulla vicenda Kaspersky riferisce di “evitare eccessivi allarmismi, valutando la propria esposizione al rischio in relazione all’attuale inesistenza di prove riguardo il malfunzionamento di tali prodotti”.
L’esperto di cyber security sottolinea “l’importanza della protezione delle supply chain. Alcune supply chain straniere impongono il replacement di software russi e quindi occorre adeguarsi previa esclusione da importanti filiere”. Paganini sottolinea anche “l’importanza della sovranità tecnologica e della capacità di qualifica di sistemi hardware e software. Un software antivirus, se compromesso, può consentire a un attaccante di compromettere la macchina. Occorre, quindi, essere in grado di certificare l’assenza di backdoor in un software e di sincerarsi che aggiornamenti successivi (voluti e oggetto di supply chain attack) non alterino il comportamente del software favorendo infezioni o consentendo attività di spionaggio e/o sabotaggio. Non sono sufficienti test standalone, ma parliamo di un processo continuo di validazione che richiede una padronanza specifica del prodotto e dei meccanismi di aggiornamento”.
Nell’individuale analisi sull’esposizione al rischio per la propria realtà è sicuramente da considerare il fenomeno della migrazione e anche su questo, la nota dell’ACN riferisce di prestare la massima attenzione, proprio al fine che non si verifichino spiacevoli interruzioni nei sistemi di protezione, proprio durante la fase di un eventuale cambio di utilizzo.
Le prime e sicuramente le più importanti riflessioni che vanno fatte da queste linee guida, interessano proprio la nostra pubblica amministrazione che come noto, ha affidato massivi incarichi lato sicurezza a prodotti riconducibili proprio alla Federazione Russa. Questi prodotti, adottati dai più eterogenei enti italiani, riferendoci al grado di rilevanza strategica, spaziano da software antivirus, fino alle consulenze forensi in caso di attacco informatico, condotte proprio anche da aziende russe.
