Nel decreto legge Ucraina bis c’è una norma relativa ai rischi informatici legati alla guerra in corso. Le amministrazioni pubbliche – si legge nella disposizione – «procedono tempestivamente alla diversificazione dei prodotti in uso» al fine di «prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici». C’è il rischio, infatti, «che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti» – come i dispositivi “endpoint” (antivirus, antimalware ecc.) e “web application firewall”.
LA RACCOMANAZIONE DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE
Prima del decreto, già l’agenzia per la Cybersicurezza nazionale con una raccomandazione aveva richiamato l’attenzione sulle «implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa».
L’Agenzia aveva invitato chiunque, non solo i soggetti pubblici, a «procedere urgentemente a un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate»; nonché a «considerare l’attuazione di opportune strategie di diversificazione» per una serie di prodotti e servizi (antivirus, antimalware, protezione della posta elettronica, protezione dei servizi cloud ecc.).
L’agenzia afferma che non ci sono «evidenze oggettive dell’abbassamento della qualità dei prodotti e dei servizi tecnologici forniti». Tuttavia, il «mutato scenario» internazionale e i «nuovi elementi che hanno ridefinito lo scenario di rischio tecnologico» suggeriscono di adottare «misure di mitigazione».
Il timore è che prodotti e servizi informatici russi possano essere veicolo di attacchi. Sia la raccomandazione che il decreto legge sembrano riguardare, pur senza farvi espresso riferimento, l’antivirus di produzione russa Kaspersky, il più usato dalla pubblica amministrazione italiana e da molti privati.
CASO CASPERSKY, LE MOSSE DI ITALIA E FRANCIA A CONFRONTO
Kaspersky è, invece, esplicitamente menzionato dall’Ufficio federale per la sicurezza dell’informazione (Bsi), in Germania, e dal Centro governativo di sicurezza informatica (Anssi), in Francia. In particolare, l’ente tedesco invita a «sostituire le applicazioni del portafoglio di software di protezione antivirus di Kaspersky con prodotti alternativi».
COSA SCRIVE IL BSI TEDESCO
«Le azioni delle forze armate e/o di intelligence in Russia e le minacce mosse dalla Russia» – si legge nel comunicato dell’Agenzia tedesca – «sono associate a un rischio significativo di successo di un attacco informatico.
Un produttore di IT russo può eseguire lui stesso operazioni offensive, essere costretto ad attaccare i sistemi bersaglio contro la sua volontà, essere spiato a sua insaputa come vittima di un’operazione informatica o essere utilizzato in modo improprio come strumento per attacchi contro i propri clienti».
Tutti gli utenti del software antivirus possono essere interessati da tali operazioni, ma sono soprattutto a rischio «le imprese e le autorità con particolari interessi di sicurezza e gli operatori di infrastrutture critiche».
L’ISTRUTTORIA AVVIATA DAL GARANTE PRIVACY IN ITALIA
Considerata la situazione in corso, il Garante per la protezione dei dati personali ha aperto d’ufficio «un’istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky».
L’iniziativa – si legge nel comunicato dell’Autorità – «si è resa necessaria in relazione agli eventi bellici in Ucraina», con riguardo al «possibile utilizzo di quel prodotto per attacchi cibernetici contro utenti italiani».
Il Garante ha chiesto a Kaspersky Lab di «fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza».
Kaspersky Lab dovrà inoltre chiarire se i dati trattati «siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a paesi terzi». Infine, il Garante vuole conoscere «il numero di richieste di acquisizione o di comunicazione di dati personali, riferiti a interessati italiani, rivolte alla società da parte di autorità governative di paesi terzi, a partire dal 1° gennaio 2021, distinguendole per paese e indicando per quante di esse Kaspersky abbia fornito un riscontro positivo».
Il Garante, ancora una volta, esercita i propri poteri al fine di verificare il rispetto delle regole a protezione dei dati personali (Gdpr). Al di là dei rischi determinati dagli eventi di questi giorni, sovente manca la necessaria consapevolezza da parte delle persone circa l’utilizzo che dei loro dati possono fare altri soggetti, in primis quelli che forniscono software e servizi informatici, talora con sede fuori dell’Italia.
(Estratto di un articolo pubblicato sul quotidiano Domani, qui la versione integrale)
Articoli correlati
Perché in Germania gli industriali sbuffano contro il governo Scholz
Spie russe in Germania e Polonia, che cosa sta succedendo
Come va l’Azienda-Italia? Report Infocamere
Difesa, ecco come la Cina si infiltra in Africa
