il commento

Ecco il decreto “Kaspersky”, perché è chiave la sovranità tecnologica

La crisi Ucraina può rendere le aziende russe meno capaci di fornire servizi cyber di qualità, ecco perché tutte le PA devono sostituirle, secondo un decreto odierno. Dietro e più a fondo ci sono opportunità di sovranità tecnologica

18 Mar 2022
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

La crisi Ucraina costringe il Governo a rafforzare la sovranità tecnologica dell’Italia. Per la prima volta anche nella cyber security. Questo il senso del decreto “Kaspersky”, che riguarda tutti i software e prodotti di cyber security legati alla Federazione Russa.

Per la guerra un rischio di inaffidabilità della cyber russa

Nel decreto, che non a caso estende anche il potere della Golden Power sul 5G, un articolo dedicato al rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie endpoint detection and response e web application firewall.

WHITEPAPER
Il Manifatturiero diventa Intelligente grazie all'ERP. Un caso concreto
ERP
IoT

Tutte le PA costrette a rimuovere tecnologia cyber russa: il decreto per la sovranità tecnologica

Le pubbliche amministrazioni vengono chiamate a provvedere alla diversificazione degli strumenti di cui alle categorie suddette.

Non viene evocato insomma un rischio spionaggio o sabotaggio, pure ipotizzato da vari esperti e da figure del Governo nei giorni scorsi.

Una questione di sovranità digitale

Il decreto prevede, come detto, anche nuovi adempimenti per chi opera sul 5G e intende acquisire tecnologia extra Europea, sintetizzabili nella proposta di un piano di acquisizioni annuale da presentare alle Istituzioni competenti; incluso il cloud con misure della stessa natura.

Un argomento molto caro alla Agenzia per Cyber security Nazionale – vedi intervista del direttore Roberto Baldoni a Cybersecurity360 – è la sovranità nazionale in tema digitale. Questo concetto esprime una posizione autarchica che va contestualizzata e perimetrata: una autarchia hard, ossia tecnologica, implica una capacità autonoma di produzione che copra tutto il flusso della catena del valore, comprese materie prime e logistica, comprese le fonderie dei microchip, e così via. Il perimetro di tale autonomia non può che essere europeo, ma anche in questo caso dovrà necessariamente comprendere punti di fornitura extra europei per le materie prime, cosa che apre il concetto di sistema chiuso legato all’autarchia.

Esiste poi una sovranità digitale “soft” che non considera solo il software, ma anche la parte “human soft”, ossia i cervelli e la loro formazione. Qui il perimetro è molto chiaro secondo la ACN, è prettamente italiano e richiama addirittura cervelli dall’estero con la promozione di un flusso “di rientro” per i nostri laureati con competenze altamente specializzate.

La logica dell’autarchia parte dal perimetro e dagli ambiti di applicazione. E automaticamente ci si accorge che è impossibile creare sistemi chiusi, completamente avulsi dal contesto. In qualche modo questo viene detto anche dal Teorema di Gödel in termini di logica, con il famoso esempio del barbiere. Naturalmente l’ACN non parla di autarchia in termini di sistema chiuso, ma di sovranità nazionale in termini di capacità di espressione di una posizione aggiornata e tecnologicamente avanzata da parte dell’Italia. Posizione che richiede presenza di capacità industriale e scientifica, presenza di aziende tecnologicamente avanzate e persone preparate a tutti i livelli, tattici, operativi e strategici, in quantità sufficiente da coprire le richieste del mercato. Il sistema scolastico e universitario è dunque il primo chiamato in causa per promulgare curricula tecnici e, in modo diffuso e uniforme, competenze tecniche anche nelle discipline più remote dai tecnicismi.

Nis 2

Il decreto, come detto, segue l’annuncio del sottosegretario alla presidenza del Consiglio, Prefetto Franco Gabrielli, e la discussione nel COPASIR. Intanto la Commissione UE avvia una consultazione pubblica sul Cyber Resilience Act che completa la NIS 2 che andrà di pari passo con la direttiva CER sulla resilienza cinetica delle entità essenziali dei Paesi Membri.

Con la NIS 2 si prevede l’introduzione delle categorie di “entità essenziali” ed “entità importanti”. Fra le prime dovrebbero rientrare settori quali energia, trasporti, banche, mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, Pubblica Amministrazione e spazio. Nelle entità importanti, invece, fanno il loro ingresso i seguenti settori: servizi postali, manifatturiero, provider di servizi digitali, smaltimento rifiuti, industria chimica e alimentare. A tale distinzione si accompagna una previsione di carattere dimensionale che riporta tutte le medie e grandi imprese, come definite dalla raccomandazione della Commissione Europea 2003/361/CE, nel campo di applicazione della NIS 2.

Questa direttiva nasce dalle lezioni apprese durante la pandemia. Vediamo quali variazioni verranno apportate in sede di discussione a valle del recente conflitto.

L’antefatto, il caso Kaspersky

A seguito delle crescenti tensioni tra il Cremlino e i paesi occidentali, già nel 2017, gli Stati Uniti hanno deciso di disinstallare il programma dai dispositivi governativi per motivi di sicurezza, seguiti un anno dopo dai Paesi Bassi. Analogamente in Francia l’Agenzia nazionale per la sicurezza dei sistemi informativi ha invitato a rivedere l’uso del software Kaspersky, sebbene un divieto esplicito non sia stato ancora emanato. In tale crescente livello di conflitto internazionale, non si può prescindere da una rivalutazione del rischio che tenga conto del mutato scenario e che consideri la conseguente adozione di misure di mitigazione.

Kaspersky, il Garante Privacy chiede garanzie sull’accesso ai dati degli italiani

In Italia, il software di Kaspersky è utilizzato da 2.297 acquirenti, tra cui il Viminale, il Ministero della Difesa, il Ministero della Giustizia, il Comando Generale della Guardia di Finanza, il Ministero Affari Esteri e Cooperazione Internazionale, l’Arma dei Carabinieri, l’Istat, il CNR, l’Istituto di Fisica Nucleare, l’AGCM, oltre a migliaia di altri enti pubblici e privati. Molti di questi rientrano nel perimetro di sicurezza nazionale cibernetica e la compromissione dei loro software potrebbe causare gravi danni. [i]

Il “caso Kaspersky” è in cima ai dossier del Comitato Parlamentare per la Sicurezza della Repubblica (Copasir), che ha esaminato l’impiego di prodotti informatici realizzati da aziende russe nel panorama tecnologico del nostro Paese e le eventuali criticità.

Le indicazioni dell’Agenzia

L’ACN, sentito il Nucleo per la Sicurezza Cibernetica, ha emesso una raccomandazione per tutte le organizzazioni, anche private, a procedere urgentemente ad un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione per quanto riguarda, in particolare, le seguenti categorie di prodotti e servizi:

  • sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
  • “web application firewall” (WAF);
  • protezione della posta elettronica;
  • protezione dei servizi cloud;
  • servizi di sicurezza gestiti (managed security service).

A rendere ancora più delicata la questione, si riporta che il 31/01/2022, l’Italia ha certificato Kaspersky secondo lo standard Common Criteria EAL2+, requisito necessario alla fornitura di tecnologie negli ambiti “Classificati”. Ciò ha reso il software utilizzabile anche da enti dell’intelligence e per tale motivo la possibilità che attraverso Kaspersky la Russia possa diffondere un attacco cyber all’Italia desta diverse preoccupazioni. Pertanto è stata fatta un’interrogazione parlamentare presentata al Governo il 28 febbraio dall’On. Paolo Nicolò Romano [ii] indirizzata al Presidente del Consiglio, Mario Draghi, e ai Ministri per l’Innovazione tecnologica e la transizione digitale, Affari esteri, Interni, Pubblica amministrazione e Sviluppo economico per chiedere delucidazioni in merito all’utilizzo diffuso dell’antivirus di Kaspersky in seno a diverse PA italiane. Il Deputato sottolinea che “se i dati fossero confermati vorrebbe dire che su molti computer delle più importanti agenzie di sicurezza italiane, è presente un software prodotto in Russia, che ogni giorno si collega a server di Mosca per scambiare dati e scaricare eventuali aggiornamenti su cui non vi sarebbe alcuna possibilità né di controllo né di verifica preventiva, a prescindere dalle eventuali certificazioni di sicurezza ottenute”.

Secondo le dichiarazioni rilasciate dalla società russa, Kaspersky non sarebbe soggetta al Russian System of Operational Investigative Measures (SORM) o ad altre legislazioni simili e non è quindi obbligata a fornire informazioni al Governo russo. Al contrario, secondo alcuni esperti di settore la società potrebbe ricevere pressioni da Mosca non tanto per condurre uno spionaggio attivo, quanto per immettere un malware che il software potrebbe volontariamente lasciar passare. A quel punto, il virus potrebbe operare indisturbato nei dispositivi colpiti, cancellando, bloccando o “esfiltrando” dati, oppure controllando da remoto i computer infettati [iii].

Note

[i] Portale Contrattipubblici.org https://contrattipubblici.org/search?q=kaspersky

[ii] Interrogazione al Governo il 28 febbraio dall’On. Paolo Nicolò Romano https://aic.camera.it/aic/scheda.html?numero=4/11474&ramo=CAMERA&leg=18

[iii] La sicurezza nazionale e il “caso Kaspersky” https://www.ilsoftware.it/articoli.asp?tag=Kaspersky-e-sicuro-La-domanda-che-tutti-pongono-in-questo-periodo_24222

WHITEPAPER
Smart Logistic: semplificare, velocizzare e aumentare l'efficienza della logistica
IoT
Logistica/Trasporti
@RIPRODUZIONE RISERVATA

Articolo 1 di 3