- Nel decreto legge Ucraina bis si dispone che le amministrazioni pubbliche procedano «tempestivamente» a diversificare prodotti forniti da aziende legate alla Federazione Russa. C’è il rischio che tali aziende non siano in grado di fornire aggiornamenti.
- Prima del decreto, già l’agenzia per la Cybersicurezza nazionale aveva richiamato l’attenzione sulle «implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa». Agenzie di altri paesi hanno fatto espresso riferimento a Kaspersky.
- Il Garante per la protezione dei dati personali ha aperto d’ufficio «un’istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky».
Nel decreto legge Ucraina bis c’è una norma relativa ai rischi informatici legati alla guerra in corso. Le amministrazioni pubbliche - si legge nella disposizione - «procedono tempestivamente alla diversificazione dei prodotti in uso» al fine di «prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici». C’è il rischio, infatti, «che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti» - come i dispositivi “endpoint” (antivirus, antimalware ecc.) e “web application firewall”.
L’antivirus Kaspersky
Prima del decreto, già l’agenzia per la Cybersicurezza nazionale con una raccomandazione aveva richiamato l’attenzione sulle «implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa».
L’Agenzia aveva invitato chiunque, non solo i soggetti pubblici, a «procedere urgentemente a un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate»; nonché a «considerare l’attuazione di opportune strategie di diversificazione» per una serie di prodotti e servizi (antivirus, antimalware, protezione della posta elettronica, protezione dei servizi cloud ecc.).
L’agenzia afferma che non ci sono «evidenze oggettive dell’abbassamento della qualità dei prodotti e dei servizi tecnologici forniti». Tuttavia, il «mutato scenario» internazionale e i «nuovi elementi che hanno ridefinito lo scenario di rischio tecnologico» suggeriscono di adottare «misure di mitigazione».
Il timore è che prodotti e servizi informatici russi possano essere veicolo di attacchi. Sia la raccomandazione che il decreto legge sembrano riguardare, pur senza farvi espresso riferimento, l’antivirus di produzione russa Kaspersky, il più usato dalla pubblica amministrazione italiana e da molti privati.
Kaspersky è, invece, esplicitamente menzionato dall’Ufficio federale per la sicurezza dell'informazione (Bsi), in Germania, e dal Centro governativo di sicurezza informatica (Anssi), in Francia. In particolare, l’ente tedesco invita a «sostituire le applicazioni del portafoglio di software di protezione antivirus di Kaspersky con prodotti alternativi».
«Le azioni delle forze armate e/o di intelligence in Russia e le minacce mosse dalla Russia» - si legge nel comunicato dell’Agenzia tedesca - «sono associate a un rischio significativo di successo di un attacco informatico.
Un produttore di IT russo può eseguire lui stesso operazioni offensive, essere costretto ad attaccare i sistemi bersaglio contro la sua volontà, essere spiato a sua insaputa come vittima di un’operazione informatica o essere utilizzato in modo improprio come strumento per attacchi contro i propri clienti».
Tutti gli utenti del software antivirus possono essere interessati da tali operazioni, ma sono soprattutto a rischio «le imprese e le autorità con particolari interessi di sicurezza e gli operatori di infrastrutture critiche».
La sicurezza e il Garante
Il tema della sicurezza cibernetica si associa a quello della sicurezza dei dati personali. Come emerge da una interrogazione parlamentare del 28 febbraio scorso, «numerosi enti, fra cui agenzie di sicurezza italiane polizia, carabinieri, ministero dell’Interno, giustizia, difesa, utilizzano e acquisiscono software antivirus Kaspersky, un’azienda russa con sede a Mosca, specializzata nella produzione di software progettati per la sicurezza informatica».
Il rischio – si legge nell’interrogazione – è che Kaspersky possa essere costretta dal Servizio federale per la sicurezza della Federazione Russa (Fdb), a «sottrarre dati o perpetrare azioni distruttive di sabotaggio informatico a danno degli enti pubblici e privati rientranti nel “perimetro cibernetico”», inserendo un potenziale codice con finalità malevole in occasione di aggiornamenti dei software in uso.
Considerata la situazione in corso, il Garante per la protezione dei dati personali ha aperto d’ufficio «un’istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky».
L’iniziativa - si legge nel comunicato dell’Autorità - «si è resa necessaria in relazione agli eventi bellici in Ucraina», con riguardo al «possibile utilizzo di quel prodotto per attacchi cibernetici contro utenti italiani».
Il Garante ha chiesto a Kaspersky Lab di «fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza».
Dove vanno i dati
Kaspersky Lab dovrà inoltre chiarire se i dati trattati «siano trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a paesi terzi». Infine, il Garante vuole conoscere «il numero di richieste di acquisizione o di comunicazione di dati personali, riferiti a interessati italiani, rivolte alla società da parte di autorità governative di paesi terzi, a partire dal 1° gennaio 2021, distinguendole per paese e indicando per quante di esse Kaspersky abbia fornito un riscontro positivo».
Il Garante, ancora una volta, esercita i propri poteri al fine di verificare il rispetto delle regole a protezione dei dati personali (Gdpr). Al di là dei rischi determinati dagli eventi di questi giorni, sovente manca la necessaria consapevolezza da parte delle persone circa l’utilizzo che dei loro dati possono fare altri soggetti, in primis quelli che forniscono software e servizi informatici, talora con sede fuori dell’Italia.
L’indagine del Garante può anche essere utile a fornire all’opinione pubblica una corretta percezione del tema della “privacy”, che negli ultimi anni – per questioni legate all’emergenza pandemica, e non solo – è stato spesso oggetto da più parti di una rappresentazione distorta.
© Riproduzione riservata