il commento

Ecco il decreto “Kaspersky”, perché è chiave la sovranità tecnologica

La crisi Ucraina può rendere le aziende russe meno capaci di fornire servizi cyber di qualità, ecco perché tutte le PA devono sostituirle, secondo un decreto odierno. Dietro e più a fondo ci sono opportunità di sovranità tecnologica

18 Mar 2022
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

decreto kaspersky russia

La crisi Ucraina costringe il Governo a rafforzare la sovranità tecnologica dell’Italia. Per la prima volta anche nella cyber security. Questo il senso del decreto “Kaspersky”, che riguarda tutti i software e prodotti di cyber security legati alla Federazione Russa.

Per la guerra un rischio di inaffidabilità della cyber russa

Nel decreto, che non a caso estende anche il potere della Golden Power sul 5G, un articolo dedicato al rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie endpoint detection and response e web application firewall.

INFOGRAFICA
Manufacturing 5.0: ecco i vantaggi della monetizzazione dei dati!
Big Data
IoT

Tutte le PA costrette a rimuovere tecnologia cyber russa: il decreto per la sovranità tecnologica

Le pubbliche amministrazioni vengono chiamate a provvedere alla diversificazione degli strumenti di cui alle categorie suddette.

Non viene evocato insomma un rischio spionaggio o sabotaggio, pure ipotizzato da vari esperti e da figure del Governo nei giorni scorsi.

Una questione di sovranità digitale

Il decreto prevede, come detto, anche nuovi adempimenti per chi opera sul 5G e intende acquisire tecnologia extra Europea, sintetizzabili nella proposta di un piano di acquisizioni annuale da presentare alle Istituzioni competenti; incluso il cloud con misure della stessa natura.

Un argomento molto caro alla Agenzia per Cyber security Nazionale – vedi intervista del direttore Roberto Baldoni a Cybersecurity360 – è la sovranità nazionale in tema digitale. Questo concetto esprime una posizione autarchica che va contestualizzata e perimetrata: una autarchia hard, ossia tecnologica, implica una capacità autonoma di produzione che copra tutto il flusso della catena del valore, comprese materie prime e logistica, comprese le fonderie dei microchip, e così via. Il perimetro di tale autonomia non può che essere europeo, ma anche in questo caso dovrà necessariamente comprendere punti di fornitura extra europei per le materie prime, cosa che apre il concetto di sistema chiuso legato all’autarchia.

Esiste poi una sovranità digitale “soft” che non considera solo il software, ma anche la parte “human soft”, ossia i cervelli e la loro formazione. Qui il perimetro è molto chiaro secondo la ACN, è prettamente italiano e richiama addirittura cervelli dall’estero con la promozione di un flusso “di rientro” per i nostri laureati con competenze altamente specializzate.

La logica dell’autarchia parte dal perimetro e dagli ambiti di applicazione. E automaticamente ci si accorge che è impossibile creare sistemi chiusi, completamente avulsi dal contesto. In qualche modo questo viene detto anche dal Teorema di Gödel in termini di logica, con il famoso esempio del barbiere. Naturalmente l’ACN non parla di autarchia in termini di sistema chiuso, ma di sovranità nazionale in termini di capacità di espressione di una posizione aggiornata e tecnologicamente avanzata da parte dell’Italia. Posizione che richiede presenza di capacità industriale e scientifica, presenza di aziende tecnologicamente avanzate e persone preparate a tutti i livelli, tattici, operativi e strategici, in quantità sufficiente da coprire le richieste del mercato. Il sistema scolastico e universitario è dunque il primo chiamato in causa per promulgare curricula tecnici e, in modo diffuso e uniforme, competenze tecniche anche nelle discipline più remote dai tecnicismi.

Nis 2

Il decreto, come detto, segue l’annuncio del sottosegretario alla presidenza del Consiglio, Prefetto Franco Gabrielli, e la discussione nel COPASIR. Intanto la Commissione UE avvia una consultazione pubblica sul Cyber Resilience Act che completa la NIS 2 che andrà di pari passo con la direttiva CER sulla resilienza cinetica delle entità essenziali dei Paesi Membri.

Con la NIS 2 si prevede l’introduzione delle categorie di “entità essenziali” ed “entità importanti”. Fra le prime dovrebbero rientrare settori quali energia, trasporti, banche, mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, Pubblica Amministrazione e spazio. Nelle entità importanti, invece, fanno il loro ingresso i seguenti settori: servizi postali, manifatturiero, provider di servizi digitali, smaltimento rifiuti, industria chimica e alimentare. A tale distinzione si accompagna una previsione di carattere dimensionale che riporta tutte le medie e grandi imprese, come definite dalla raccomandazione della Commissione Europea 2003/361/CE, nel campo di applicazione della NIS 2.

Questa direttiva nasce dalle lezioni apprese durante la pandemia. Vediamo quali variazioni verranno apportate in sede di discussione a valle del recente conflitto.

L’antefatto, il caso Kaspersky

A seguito delle crescenti tensioni tra il Cremlino e i paesi occidentali, già nel 2017, gli Stati Uniti hanno deciso di disinstallare il programma dai dispositivi governativi per motivi di sicurezza, seguiti un anno dopo dai Paesi Bassi. Analogamente in Francia l’Agenzia nazionale per la sicurezza dei sistemi informativi ha invitato a rivedere l’uso del software Kaspersky, sebbene un divieto esplicito non sia stato ancora emanato. In tale crescente livello di conflitto internazionale, non si può prescindere da una rivalutazione del rischio che tenga conto del mutato scenario e che consideri la conseguente adozione di misure di mitigazione.

Kaspersky, il Garante Privacy chiede garanzie sull’accesso ai dati degli italiani

In Italia, il software di Kaspersky è utilizzato da 2.297 acquirenti, tra cui il Viminale, il Ministero della Difesa, il Ministero della Giustizia, il Comando Generale della Guardia di Finanza, il Ministero Affari Esteri e Cooperazione Internazionale, l’Arma dei Carabinieri, l’Istat, il CNR, l’Istituto di Fisica Nucleare, l’AGCM, oltre a migliaia di altri enti pubblici e privati. Molti di questi rientrano nel perimetro di sicurezza nazionale cibernetica e la compromissione dei loro software potrebbe causare gravi danni. [i]

Il “caso Kaspersky” è in cima ai dossier del Comitato Parlamentare per la Sicurezza della Repubblica (Copasir), che ha esaminato l’impiego di prodotti informatici realizzati da aziende russe nel panorama tecnologico del nostro Paese e le eventuali criticità.

Le indicazioni dell’Agenzia

L’ACN, sentito il Nucleo per la Sicurezza Cibernetica, ha emesso una raccomandazione per tutte le organizzazioni, anche private, a procedere urgentemente ad un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l’attuazione di opportune strategie di diversificazione per quanto riguarda, in particolare, le seguenti categorie di prodotti e servizi:

  • sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
  • “web application firewall” (WAF);
  • protezione della posta elettronica;
  • protezione dei servizi cloud;
  • servizi di sicurezza gestiti (managed security service).

A rendere ancora più delicata la questione, si riporta che il 31/01/2022, l’Italia ha certificato Kaspersky secondo lo standard Common Criteria EAL2+, requisito necessario alla fornitura di tecnologie negli ambiti “Classificati”. Ciò ha reso il software utilizzabile anche da enti dell’intelligence e per tale motivo la possibilità che attraverso Kaspersky la Russia possa diffondere un attacco cyber all’Italia desta diverse preoccupazioni. Pertanto è stata fatta un’interrogazione parlamentare presentata al Governo il 28 febbraio dall’On. Paolo Nicolò Romano [ii] indirizzata al Presidente del Consiglio, Mario Draghi, e ai Ministri per l’Innovazione tecnologica e la transizione digitale, Affari esteri, Interni, Pubblica amministrazione e Sviluppo economico per chiedere delucidazioni in merito all’utilizzo diffuso dell’antivirus di Kaspersky in seno a diverse PA italiane. Il Deputato sottolinea che “se i dati fossero confermati vorrebbe dire che su molti computer delle più importanti agenzie di sicurezza italiane, è presente un software prodotto in Russia, che ogni giorno si collega a server di Mosca per scambiare dati e scaricare eventuali aggiornamenti su cui non vi sarebbe alcuna possibilità né di controllo né di verifica preventiva, a prescindere dalle eventuali certificazioni di sicurezza ottenute”.

Secondo le dichiarazioni rilasciate dalla società russa, Kaspersky non sarebbe soggetta al Russian System of Operational Investigative Measures (SORM) o ad altre legislazioni simili e non è quindi obbligata a fornire informazioni al Governo russo. Al contrario, secondo alcuni esperti di settore la società potrebbe ricevere pressioni da Mosca non tanto per condurre uno spionaggio attivo, quanto per immettere un malware che il software potrebbe volontariamente lasciar passare. A quel punto, il virus potrebbe operare indisturbato nei dispositivi colpiti, cancellando, bloccando o “esfiltrando” dati, oppure controllando da remoto i computer infettati [iii].

Note

[i] Portale Contrattipubblici.org https://contrattipubblici.org/search?q=kaspersky

[ii] Interrogazione al Governo il 28 febbraio dall’On. Paolo Nicolò Romano https://aic.camera.it/aic/scheda.html?numero=4/11474&ramo=CAMERA&leg=18

[iii] La sicurezza nazionale e il “caso Kaspersky” https://www.ilsoftware.it/articoli.asp?tag=Kaspersky-e-sicuro-La-domanda-che-tutti-pongono-in-questo-periodo_24222

WHITEPAPER
IoT Platform: trasforma le promesse del 4.0 in realtà
IoT
Integrazione applicativa
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3