Dalla politica alle autorità è stretta sui software russi (tra tutti antivirus Kaspersky) nel nostro paese.
Il 18 marzo “il Garante per la protezione dei dati personali ha aperto un’istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky”.
L’iniziativa — ha spiegato in un comunicato l’Autorità — “si è resa necessaria in relazione agli eventi bellici in Ucraina, allo scopo di approfondire gli allarmi lanciati da numerosi enti italiani ed europei specializzati in sicurezza informatica sul possibile utilizzo di quel prodotto per attacchi cibernetici contro utenti italiani”.
Il riferimento è all’allarme lanciato dall’Agenzia per la cybersicurezza nazionale. Secondo l’Acn è “opportuno considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”.
Da Palazzo Chigi al Ministero della Difesa, dal Ministero della Giustizia al Ministero dell’Interno, l’antivirus Kaspersky è attualmente installato su tutti i principali sistemi informatici delle istituzioni italiane.
Ma presto le 2700 Pa che si affidano al software Kaspersky potrebbero sostituirlo: il niet della Consip delinea uno scenario di questo genere. Sempre il 18 marzo il Consiglio dei Ministri ha votato il decreto legge che prevede la diversificazione dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche.
Con questa norma il Governo stanzierà fondi alle Pa per acquistare uno nuovo software (e sostituire così quello Kaspersky).
Quindi si difende l’azienda con sede a Mosca. “Kaspersky è un’azienda privata di cybersecurity globale e, come azienda privata, non ha alcun legame con il governo russo o con qualsiasi altro governo” aveva dichiarato la società in una nota ufficiale.
E ora Kaspersky rilancia l’allarme. “Con la migrazione delle amministrazioni su altre piattaforme di protezione, soprattutto senza test e verifiche, si lascerebbe l’Italia meno difesa” ha evidenziato Cesare D’Angelo, general manager di Kaspersky in Italia a Repubblica.
Tutti i dettagli sulla posizione di Kaspersky in Italia.
L’ALLARME DELL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE
La guerra in Ucraina ha dimostrato che “esiste un conflitto ibrido, parallelo” che “è in grado di fare malissimo”, ha spiegato al Messaggero la vicedirettrice dell’Agenzia cibernetica italiana Nunzia Ciardi. Per questo motivo il governo ha deciso di mettere fuori mercato Kaspersky. “Il problema – ha sottolineato Ciardi – è che la società che lo produce ha sede in un Paese che ha messo l’Italia nella lista delle nazioni ostili. La questione non è tecnica ma geopolitica” ha affermato la vicedirettrice, per la quale non si può correre il “rischio che una società entri sistematicamente nei computer delle nostre amministrazioni”.
COSA PREVEDE IL DECRETO VARATO DAL CDM
Da qui il decreto cosiddetto Kaspersky varato dal Consiglio dei ministri lo scorso 18 marzo.
“Rafforzamento della disciplina sulla cybersicurezza. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, queste procedono tempestivamente alla diversificazione dei prodotti in uso, anche mediante procedure negoziate. Le procedure di acquisto riguarderanno determinate categorie di prodotti e servizi sensibili quali applicativi antivirus, antimalware, endpoint detection and response (EDR) e web application firewall (WAF)”. È quanto si legge nel testo del Comunicato stampa del Consiglio dei Ministri n. 68, al capitolo cybersicurezza, pubblicato dal Governo a seguito del Cdm del 19 marzo 2022.
Dunque le pubbliche amministrazioni sono chiamate a provvedere alla diversificazione degli strumenti sopra menzionati. Un chiaro colpo per i software russi, fra tutti Kaspersky. L’azienda in Italia vanta circa 2.700 partnership con il settore pubblico e circa 10 mila clienti attivi nel mondo business.
COME SI DIFENDE KASPERSKY
“Questa notizia ci lascia in apprensione perché creerebbe un precedente anti concorrenziale in un mercato libero come quello italiano”, ha dichiarato nei giorni scorsi Cesare D’Angelo, general manager di Kaspersky in Italia, in un’intervista a Repubblica.
CONTRO ALLARME
“Non esiste un dato oggettivo che ci faccia ritenere i nostri prodotti meritevoli di tale attenzione”, ha aggiunto. “Ma queste vicende rischiamo di avere un impatto anche per i clienti e i fornitori. Non essendo operazioni pianificate, da questa sostituzione c’è da attendersi un periodo di vulnerabilità”, ha detto il numero uno di Kaspersky in Italia.
Pertanto “la pubblicità di questa iniziativa già sta attirando l’attenzione dei cybercriminali e potrebbe rendere la PA italiana più vulnerabile”, ha sottolineato D’Angelo a Reppublica.
LA CERTIFICAZIONE OTTENUTA DAL MISE
Inoltre, proprio a fine gennaio l’azienda russa ha ricevuto anche la certificazione del Mise. “Abbiamo ottenuto i massimi livelli di certificazione da advisor esterni in merito all’integrità e qualità dei nostri processi di sviluppo delle soluzioni e dei nostri data center – ricorda D’Angelo al Corriere della Sera –, abbiamo introdotto processi di controllo di tutti gli aggiornamenti che vengono condivisi con i clienti, in modo da impedire l’eventualità di qualsiasi alterazione”.
I DATI ITALIANI GESTITI IN SVIZZERA DA KASPERSKY
Per quanto riguarda le richieste sollevate dal Garante Privacy, Kaspersky sottolinea a Repubblica che “I dati italiani sono gestiti da Zurigo, in Svizzera, paese europeo non comunitario ma conformi al GDPR con i livelli più alti di privacy al mondo”.
“Non mettiamo a disposizione di governi terzi informazioni relative ai nostri clienti”, ha precisato D’Angelo.
A PROPOSITO DELL’AGGIORNAMENTO DEI PRODOTTI
Tuttavia, come ha spiegato Kaspersky a Security Open Lab “i prodotti Kaspersky sono sviluppati e testati nei centri di ricerca e sviluppo dell’azienda, situati in Russia”.
Ma ha precisato che gli aggiornamenti sono “distribuiti ai nostri clienti attraverso l’infrastruttura globale dell’azienda, che è distribuita in tutto il mondo (ad esempio, in Svizzera, Germania, Cina, Canada, ecc.). Ciò consente al prodotto un funzionamento ininterrotto, inclusa la distribuzione tempestiva degli aggiornamenti. L’attuale processo diversificato ci consente di garantire sia l’integrità che la continuità della distribuzione del prodotto ai nostri utenti”.
COSA EMERGE DAL TRANSPARENCY REPORT DELL’AZIENDA
Infine, “Kaspersky non fornisce mai l’accesso ai dati degli utenti o all’infrastruttura dell’azienda. Forniamo informazioni su tali dati su richiesta, nell’ambito dell’attività di supporto alle forze dell’ordine internazionali, regionali e nazionali nelle indagini sui crimini informatici”, sottolinea l’azienda a Security Open Lab.
Come parte del suo impegno verso una maggiore trasparenza, Kaspersky ha condiviso pubblicamente le informazioni sulle richieste ricevute da parte di enti governativi, forze dell’ordine e utenti riguardo a dati e competenze tecniche relative al 2020 e al 2021.
Dall’ultimo Transparency Report emerge che Kaspersky ha ricevuto 109 richieste da parte di governi e forze dell’ordine di 12 Paesi. Di queste 78 provengono dalla Russia, di cui tutte e 17 richieste per i dati degli utenti. Tutte le richieste di dati sugli utenti (in totale 17) sono state elaborate e respinte a causa dell’assenza di dati o del mancato rispetto dei requisiti di verifica legale.
I BORBOTTII IN KASPERSKY SUI SOCIAL
Eppure, almeno sui social, si notano borbottii dentro l’azienda contro la decisione delle istituzioni italiane: “Un paese democratico dovrebbe dare a tutti la possibilità di difendersi, lo si è fatto anche con gli assassini, qui siamo solo attaccati, siamo pericolosi e non più affidabili perché azienda legata alla Federazione Russa, perché non fate un testo di laboratorio? Perché nessuno ci chiede di testare in maniera approfondita il tutto?”, ha scritto su Linkedin Edoardo Di Meo, enterprise senior account di Kaspwrsky.