Negli Stati Uniti si riapre il caso Kaspersky: il Bureau of Industry and Security (BIS) del Department of Commerce degli Stati Uniti ha, infatti, diramato un comunicato stampa per annunciare il divieto di vendita dei prodotti e servizi di cyber security forniti da Kaspersky Lab. Inc. e sussidiarie (si ricorda che Kasperky Lab. Inc. è la filiale americana della casa madre russa Kasperky Lab ZAO) sul territorio americano e ai cittadini americani a causa degli elevati rischi in essere per la sicurezza nazionale.
Oltre a ciò, si legge nel comunicato stampa, è stato preso un ulteriore provvedimento restrittivo relativo alle aziende AO Kaspersky Lab, OOO Kaspersky Group (con sede in Russia) e Kaspersky Labs Limited (con sede nel Regno Unito).
Queste, accusate di aver effettuato attività di supporto di cyber intelligence agli apparati militari e di intelligence russi, sono state inserite nell’Entity List del BIS, ossia una raccolta governativa di individui, aziende e organizzazioni straniere ritenute un rischio per la sicurezza nazionale e, pertanto, ora soggette a restrizioni rilevanti, quali l’impossibilità di esportazione negli Stati Uniti per il mancato ottenimento dei requisiti di licenza per determinate tecnologie e beni.
Indice degli argomenti
Kaspersky vietato negli USA: i perché della decisione
La decisione, emessa con la Final Determination: Case No. ICTS-2021-002 e pubblicata il 24 giugno sul sito del Bureau of Industry and Security, è stata presa a seguito di una lunga e approfondita investigazione da parte delle autorità americane che hanno rilevato una notevole capacità del Cremlino di influenzare le attività della Kaspersky Lab. Inc. e al contempo di utilizzare i dati e le informazioni sensibili fin qui raccolti dall’azienda per scopi di cyber offense e di miglioramento delle proprie capability.
Sempre nel comunicato stampa, viene spiegato che tramite i prodotti e i servizi forniti da Kaspersky Lab. Inc., il Cremlino è in grado di raccogliere preziose informazioni commerciali statunitensi, inclusa la proprietà intellettuale e di raccogliere dati sensibili di persone statunitensi ad uso malevolo, il che rappresenta “un rischio indebito o inaccettabile per la sicurezza nazionale”.
Tra le motivazioni che hanno portato il Bureau of Industry and Security a ritenere Kaspersky un “rischio indebito o inaccettabile” per la sicurezza nazionale sono state evidenziate:
- la sudditanza alla giurisdizione del governo russo, motivo per cui l’azienda e lo stesso fondatore e Ceo Eugene Kaspersky sono obbligati a fornire dati e informazioni sensibili presenti nei server, database o dispositivi quando richiesti;
- l’ampio accesso e i privilegi amministrativi sulle informazioni dei clienti attraverso la fornitura di software di cybersicurezza e antivirus, come l’indirizzo IP, la posizione fisica, le informazioni sull’hardware e sul software del computer, i file scaricati, alcuni siti web visitati, le applicazioni in esecuzione e i nomi degli account utente. Il personale di Kaspersky potrebbe potenzialmente trasferire tali dati in Russia, dove sarebbero accessibili al Governo e gli apparati di sicurezza in virtù della normativa vigente;
- la capacità di utilizzare i suoi prodotti per installare software dannosi sui computer dei clienti statunitensi o per negare selettivamente gli aggiornamenti, lasciando le persone e le infrastrutture critiche statunitensi vulnerabili al malware e allo sfruttamento;
- l’integrazione o la concessione in licenza del software di Kaspersky in prodotti e servizi di terze parti attraverso la rivendita del software, le quali creerebbero circostanze in cui il codice sorgente del software è sconosciuto. In tale caso aumenterebbe la probabilità che Kaspersky possa essere involontariamente introdotto in dispositivi o reti contenenti dati e/o informazioni di persone o organizzazioni altamente sensibili.
Come si è arrivati al ban di Kaspersky negli USA
Bisogna anche ricordare, come riportato esplicitamente nel comunicato stampa, che la decisione di bloccare le attività di sicurezza informatica e di espansione commerciale di Kaspersky negli Stati Uniti va ricondotta a una serie più lunga di azioni del Governo USA, partendo dall’amministrazione Trump nel settembre 2017 quando il 13 settembre il Department of Homeland Security emise una direttiva richiedente alle agenzie federali di rimuovere e interrompere l’uso dei prodotti a marchio Kaspersky sui propri sistemi informatici.
Successivamente, tra metà settembre e inizio ottobre 2017 furono rivelati dai quotidiani due fatti rilevanti che poterono spiegare il perché della direttiva del Homeland Security: la Federal Bureau of Investigation (FBI) aveva avviato da tempo un’indagine mirata sia a rivelare dei possibili legami tra l’azienda e il Cremlino sia a scovare possibili spie tra i dirigenti aziendali e il Wall Street Journal riportò che nel 2015 la National Secuirty Agency (NSA) aveva subito un furto di dati riguardanti le modalità di penetrazione nelle reti informatiche straniere, il codice informatico che utilizza per questo tipo di spionaggio e come difende le reti all’interno degli Stati Uniti.
Alla luce di ciò, con il National Defense Authorization Act (NDAA) per l’anno fiscale 2018 – è un atto legislativo che norma gli stanziamenti finanziari annuali destinati all’U.S. Department of Defense e quindi al settore della Difesa – l’uso di Kaspersky nei sistemi informatici e informativi del Governo federale fu vietato.
Un passaggio successivo è il 25 marzo 2022: la U.S. Federal Communications Commission aggiunse alla sua “Lista delle apparecchiature e dei servizi di comunicazione che costituiscono una minaccia per la sicurezza nazionale” i prodotti, le soluzioni e i servizi di sicurezza informatica forniti, direttamente o indirettamente, da AO Kaspersky Lab.
Si giunge quindi ad aprile 2023: il Wall Street Journal rese note le intenzioni dell’Amministrazione Biden di attivare le prime azioni di contenimento e limitazioni derivanti dalle leggi sulla sicurezza cibernetica.
L’ultimo passaggio è rappresentato dalla Final Determination del Bureau of Industry and Security, la quale è stata definita come “l’ultima azione del governo statunitense nell’ambito di uno sforzo continuo per proteggere la sicurezza nazionale dei cittadini statunitensi”.
La risposta di Kaspersky non si è fatta attendere
La risposta di Kaspersky è stata immediata, infatti, il portavoce Sawyer VanHorn ha affermato che l’azienda intende contestare la decisione del Governo degli Stati Uniti poiché a loro difesa dichiarano che “Kaspersky non è impegnata in attività che minacciano la sicurezza nazionale degli Stati Uniti e, di fatto, ha dato un contributo significativo con le sue segnalazioni e la sua protezione da una serie di minacce che hanno preso di mira gli interessi e gli alleati degli Stati Uniti”.
Una decisione con importanti ricadute geopolitiche
In conclusione, una breve riflessione sembra utile.
Sul piano della politica internazionale risulta al momento difficile delineare una chiara direttrice delle conseguenze derivanti dall’esclusione di Kaspersky dal mercato americano, soprattutto quale possa essere la risposta di Mosca, anche se è plausibile ritenere una consistente campagna di disinformazione sulle varie piattaforme social, in generale nello spazio cibernetico, nel periodo antecedente le elezioni presidenziali previste per novembre 2024.
Al contrario, è nettamente definita la postura (geoeconomica) protezionista degli Stati Uniti assunta sul piano commerciale, in particolare, se si tengono in considerazione anche altri settori strategici per l’economia americana, come, a esempio, la (necessaria) produzione interna, o in Paesi alleati, di semiconduttori o di prodotti destinati alle energie rinnovabili.
A prescindere dallo schieramento politico che uscirà vincitore alle prossime elezioni presidenziali, Democratico o Repubblicano che sia, chi guiderà il Paese dal 2025 manterrà costanti, se non addirittura aumenterà, gli interventi protezionistici volti a salvaguardare l’interesse nazionale americano dalle ingerenze esterne di Cina e Russia in primis.
Tuttavia, è plausibile che con tale postura si origini un effetto spillover sull’economie dell’Unione europea e dei Paesi membri.
Come cita il comunicato stampa del Bureau Industry and Security del Department of Commerce “è stata la prima decisione nel suo genere” e forse, involontariamente o meno, si è voluto avvertire del futuro percorso intrapreso dagli Stati Uniti per prepararsi a un cambiamento economico-sociale, non solo legato al decoupling dalle economie inaffidabili o rivali, sempre più vicino.
