Chi è Kaspersky?

Dal 1989 l’azienda russa Kaspersky offre soluzioni di sicurezza come l’antivirus e si posiziona come market leader, infatti il loro website parla di più di 400 milioni di utilizzatori nel mondo di cui 240.000 clienti business.  

Tra i clienti si trovano anche innumerevoli privati ed aziende in Italia e ben 2.700 collaborazioni con la pubblica amministrazione italiana, senza considerare gli altri software russi utilizzati abitualmente dagli stessi uffici. La PA presente nel portafoglio clienti comprende la Presidenza del Consiglio, i ministeri, i i comuni, le forze dell’ordine ed altri uffici, tutte le più alte cariche dello stato sono in qualche modo connesse con il software.

Cos’è successo?

A seguito dell’invasione della Russia in Ucraina la preoccupazione internazionale per la sicurezza cibernetica si è concentrata sui prodotti antivirus russi. Conseguentemente, il 22 marzo 2022 è entrato in vigore il Decreto-legge n. 21 che definisce delle “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”. Nel decreto-legge Ucraina bis si dispone che le amministrazioni pubbliche procedano «tempestivamente» a diversificare prodotti forniti da aziende legate alla Federazione Russa.

Qual è il pericolo dei programmi software russi?

I prodotti di sicurezza informatica, ad esempio gli antivirus, sono software molto sensibili e hanno lo scopo di tenere sotto controllo ogni minimo dettaglio del software che gira sul sistema operativo per intercettare e quindi bloccare l’azione di eventuali malware. A questo scopo girano con livelli di privilegio ed autorizzazione molto elevati più alti rispetto ad altri tipi di software. Durante la loro attività eseguono una serie di operazioni che sono perfette per mascherare eventuali operazioni di spionaggio. Se un programma di gestione invia dei dati sensibili all’esterno della propria rete solleva subito dei sospetti e segnali, se però la stessa azione viene effettuata da un antivirus si presuppone semplicemente che stia trasferendo dati da analizzare per la sicurezza.

Gli esperti di Cybersecurity sono particolarmente preoccupati per il fatto che l’antivirus si aggiorna – proprio per la sua funzione di protezione a nuove minacce – costantemente anche più volte al giorno. Basterebbe quindi inserire in uno di questi aggiornamenti un captatore che potrebbe fungere da vero e proprio strumento di spionaggio.

D’altro canto sarebbe ancora più pericoloso tenere nei sistemi un antivirus che non si aggiorna continuamente, lo renderebbe inefficace per il suo scopo di protezione.

Considerando che questo tipo di programma è utilizzato da tante aziende ma soprattutto proprio dalla PA, quindi ministeri, stazioni di polizia, carabinieri e sicurezza in generale, il potenziale pericolo e danno di un attacco cyber sarebbe inestimabile.

Una possibile intromissione del governo russo

Consideriamo anche un altro fatto: un produttore IT russo potrebbe svolgere lui stesso operazioni offensive oppure essere costretto contro la sua volontà ad attaccare i sistemi target di un cliente o una nazione ed essere utilizzato involontariamente ed in modo improprio come strumento per attacchi contro i propri clienti.

La paura è che lo stato russo, ad esempio in risposta alle sanzioni ricevute, possa sfruttare gli aggiornamenti online per creare una versione manipolata del software e installarlo sui dispositivi target come una specie di trojan di stato. Tutti i dati degli utenti verrebbero quindi resi accessibili: foto, messaggi di chat, coordinate bancarie e qualsiasi dato utile.

Kaspersky fuori dal governo statunitense già dal 2017

Nel 2017 l’azienda russa fu estromessa da tutte le forniture governative americane in seguito a preoccupazioni simili per la sicurezza nazionale. La critica secondo cui Kaspersky avesse collegamenti con i servizi segreti russi aveva accompagnato l’azienda già da 20 anni e si era intensificata in quell’anno portando il governo USA alla decisone di bannare i prodotti per la pubblica amministrazione dal suolo statunitense.

Kaspersky reagì alle accuse con cause in tribunale (che perse) ed istituendo alcuni “transparency center” a Zurigo, Madrid, Kuala Lumpur, São Paulo and New Brunswick (in Canada). In questi centri l’azienda permette ai propri clienti di analizzare il codice sorgente delle proprie soluzioni di sicurezza in modo da eliminare qualsiasi sospetto su possibili operazioni illecite nascoste nei propri prodotti, operazione però complicata e poco utilizzata.

Quali sono i prodotti incriminati?

Con la relativa circolare dell’Agenzia per la cybersicurezza nazionale italiana ha comunicato quali categorie di prodotti e servizi forniti da Kaspersky rientrano nella legge e dovranno quindi essere sostituiti, sono quelli volti ad assicurare le funzioni di:

• sicurezza dei dispositivi (ED – endpoint security, ovverosia protezione delle reti collegate da remoto ai dispositivi client), ivi compresi applicativi antivirus, antimalware ed «endpoint  detection and response» (EDR – endpoint detection and response, ovverosia una tecnologia di sicurezza informatica che monitora gli endpoints per mitigare le minacce informatiche);

• «web application firewall» (WAF – web application firewall, ovverosia una forma specifica di firewall per applicazioni che filtra, monitora e blocca il traffico HTTP da e verso un servizio web)”.

Cambiare Kaspersky: ma quanto tempo ci vorrà e quanto ci costerà?

Gli impatti della sostituzione dei software russi oggi non sono per niente chiari. Tempi e costi di transizione per la PA dovranno essere stabiliti, all’interno di una ri-organizzazione complessiva di tutto il comparto tecnologico richiesta dal Garante della Privacy.

La pubblica amministrazione e le aziende italiane devono adeguarsi allo scenario di rischio cambiato, anche se ad oggi non ci sono prove di manomissione dei sistemi.

È il momento giusto per ridisegnare la propria strategia di sicurezza, invece di cambiare semplicemente un prodotto con un altro, si dovrebbe utilizzare l’occasione per ampliare la sicurezza cibernetica di tutta l’azienda.

Esistono soluzioni come antivirus, endpoint protection, firewall di nuova generazione ed altri strumenti per la protezione delle reti che possono efficacemente proteggere i dati aziendali. Disegnare una nuova conformazione dell’architettura di sicurezza non è problematica se si dispone di prodotti performanti e della giusta competenza ed esperienza in ambito Cybersecurity.

Contattaci per conoscere le nostre soluzioni, siamo a tua disposizione per una consulenza e un’analisi della vulnerabilità dei tuoi sistemi totalmente gratuita.