cybersicurezza e sovramità

Kaspersky: diversificare o sostituire? La strategia per limitare la dipendenza tecnologica

Nel cosiddetto decreto Kaspersky non si parla di sostituzione ma di diversificazione e diversificare non necessariamente implica sostituire, La risposta più efficace e fattiva che l’Europa può dare al problema della dipendenza tecnologica è insistere sulla “diversità e compatibilità”.

24 Mar 2022
Danilo Bruschi

Professore ordinario, Dipartimento di Informatica Giovanni degli Antoni

Kaspersky

Nell’ambito del decreto-legge che introduce misure urgenti per contrastare gli effetti economici e umanitari della guerra in Ucraina approvato nel Consiglio dei ministri n.68 il 18 marzo 2022 ritroviamo all’articolo 28 il testo che impone alle pubbliche amministrazioni che hanno adottato soluzioni commerciali di cybersicurezza di provenienza russa, in particolare prodotti di End Point Detection & Response (EDR) e Web Application Firewall (WAF) di procedere ad una loro diversificazione.

La stragrande maggioranza degli addetti ai lavori ha voluto leggere questo articolo come una estromissione della società Kaspersky dal mercato della cybersicurezza italiano. Ma, a nostro modo di vedere, il testo invece si presta ad interpretazioni molto meno banali e scontate.

Ecco il decreto “Kaspersky”, perché è chiave la sovranità tecnologica

Cosa dice l’articolo 28 del decreto “Ucraina”

Letteralmente l’articolo di legge recita: “…le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso.”

Nell’articolo 28 quindi non si parla di sostituzione ma di diversificazione e diversificare non necessariamente implica sostituire. Una pubblica amministrazione che affiancasse a prodotti software EDR e WAF di provenienza russa, soluzioni EDR e WAF sviluppate da altri fornitori non solo non violerebbe il dettato di legge ma rafforzerebbe il proprio sistema di sicurezza.

WEBINAR
5 best practice per un cloud journey di successo!

Premesso che il legislatore ha escluso a priori il fatto che i prodotti in questione possano essere utilizzati per veicolare azioni di sabotaggio cibernetico specificando chiaramente che il rischio considerato è “che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti ”non c’è ragione di dismettere questi prodotti tout-court, affiancargli però un “gemello” che ne verifichi il corretto funzionamento e in ogni momento possa subentrargli è una strategia che può risultare vincente e che dovrebbe essere considerata anche in altri contesti.

Ridondanza e fault tolerance nei sistemi critici

Si chiama ridondanza, è molto nota e usata nel contesto della fault tolerance in sistemi critici, impiegata diffusamente a livello hardware viene usata solo in contesti molto specifici a livello software.

Volendo banalizzare, consiste nell’avere all’interno di un sistema, per ogni funzionalità critica, almeno due programmi diversi che la svolgono. In caso di malfunzionamento di un programma l’altro può continuare a lavorare. Il tutto si basa sul presupposto che la probabilità che due programmi realizzati da team di sviluppo diversi presentino le stesse “debolezze” è del tutto trascurabile.

Detto in altro modo, è il principio della diversità biologica applicato al digitale. Se vogliamo avere la garanzia che un sistema digitale sopravviva a varie forme di attacco/malfunzionamento, la strategia migliore che possiamo adottare è quella di garantire che al suo interno una serie di funzionalità sia svolta da una diversità di sistemi e applicazioni. Difficilmente un attacco informatico è in grado di compromettere contemporaneamente applicazioni e/o piattaforme diverse, ovvero un malfunzionamento si presenterà contemporaneamente nei due ambiti.

Golden Power, super poteri al Governo: ecco gli impatti del decreto Ucraina

Le implicazioni (economiche e non solo) del raddoppiamento delle installazioni software

Certo sono soluzioni che vanno accuratamente studiate. Come sicuramente il lettore avrà intuito, stiamo parlando di soluzioni che richiedono un notevole sforzo economico e gestionale dovendo raddoppiare le installazioni software. Vanno ovviamente ristrette a sistemi e funzionalità più critiche, ma sicuramente l’impatto sia sul budget che sul management non è trascurabile. Un altro problema molto serio da considerare è legato all’incompatibilità tra prodotti, ad esempio nel caso che stiamo analizzando non vedo problemi per soluzioni WAF ridondate, ne vedo per soluzioni EDR che spesso sono mutuamente incompatibili, cioè spesso non è possibile far operare sullo stesso endpoint soluzioni di due vendor diversi.

Il problema della dipendenza tecnologica

Fatti quindi i dovuti distinguo, credo valga la pena approfondire questa strategia che se correttamente applicata consentirebbe di risolvere il problema della dipendenza tecnologica di cui il “caso Kaspersky” è forse il primo caso concreto che il nostro paese si trova ad affrontare, ma che in futuro potrebbe riguardare altri prodotti per i quali magari il mercato non offre alternative immediate come invece accade per il caso in questione. In questi casi, difficilmente si sarebbe potuto pubblicare un articolato come quello che stiamo discutendo, e necessariamente si sarebbe dovuto scendere a patti con il “nemico”. Il caso “gas naturale” insegna.

Non sono poche le voci, sia a livello europeo che a livello nazionale, che si sono sollevate auspicando come unica via d’uscita dal problema della dipendenza tecnologica la cosiddetta “sovranità digitale”. Un obiettivo che però non credo possa essere raggiunto in un arco di 30/40 anni, ammettendo che ci si incominci a lavorare seriamente già dalla prossima settimana.

L’Italia a partire dalla dismissione della Ing. C. Olivetti non ha più esibito alcun piano di sviluppo industriale mirato alle tecnologie ICT e l’Europa nel suo complesso non ha mai stimolato questo tipo di attività. Di fronte all’onda della rivoluzione digitale che ha caratterizzato la fine del secolo scorso sia Europa che Italia sono state alla finestra a guardare. Per guadagnare il tempo perduto sarebbero necessari investimenti significativi, l’apertura di centri di ricerca specializzati, e soprattutto persone capaci e motivate. Vedo molto poco di tutto questo.

Insistere sulla “diversità e compatibilità”

La risposta più efficace e fattiva che l’Europa può dare al problema della dipendenza tecnologica è insistere sulla “diversità e compatibilità”. Sfruttando il suo ruolo di grande acquirente di prodotti ICT, l’Europa deve da una parte esercitare pressione sui produttori affinché per tutta una serie di funzioni tipiche dei sistemi ICT esistano più prodotti in grado di svolgerle e dove questi esistano richiedere la loro compatibilità. Dall’altra deve promuovere tra gli stati membri l’adozione di prodotti software ridondati, per tutti i sistemi che svolgono funzioni critiche. Negli anni addietro si era già tentato di raggiungere almeno in parte questi obiettivi con il ricorso e la promozione dei prodotti open source, nel corso degli anni questo slancio è venuto meno, ma potrebbe essere un ambito da rilanciare sulla scorta di quando sinora detto.

Se si dovesse percorrere questa linea, nel medio termine si potrebbe significativamente ridimensionare il problema della dipendenza tecnologica, si migliorerebbe la qualità dei prodotti incrementando la competitività tra i produttori, si avrebbero sistemi più sicuri e si eviterebbero progetti faraonici dall’esito se non scontato molto incerto.

L’augurio finale è che non vi sia più alcuna guerra per cui ricorrere alla “diversificazione” di servizi e sistemi, ma solo la ricerca del continuo miglioramento della rete e dei suoi servizi per il benessere di tutte le popolazioni.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4