Rischio cybersicurezza
La sicurezza italiana in mano a Kaspersky, l’azienda: “Nessun legame con Putin”. Ma i conti non tornano…
Seppur timidamente in Italia la questione del software russo Kaspersky sta emergendo in tutta la sua gravità. Quello che secondo alcuni esperti di cybersecurity sarebbe un “cavallo di troia” ben impiantato nel cuore della pubblica amministrazione e della sicurezza italiana, oltre che in qualche milione di dispositivi privati, è diventato tema politico con l’invasione russa dell’Ucraina. La denuncia fatta da Il Riformista – con l’intervista a Fabio Pietrosanti– ha causato un’interrogazione parlamentare del gruppo ambientalista alla Camera con primo firmatario Paolo Romano.
L’antivirus russo gira sui dispositivi della Pubblica amministrazione e nel cuore della sicurezza nazionale: dalla Regione Emilia Romagna, alla Sanità e al Viminale fino alla Finanza. Kaspersky peraltro è main sponsor della Ferrari, di cui cura anche la sicurezza informatica. Una vetrina sempre più difficile da mantenere con l’avvio delle sanzioni contro Putin e i suoi oligarchi.
Nelle scorse ore abbiamo posto quattro precise domande al colosso russo.
In contemporanea il fondatore Eugene Kaspersky ha rotto il silenzio con un tweet che ha sollevato molte risposte piccate. L’ex-studente dell’Accademia del Kgb diventato uno degli oligarchi più potenti al mondo ha fatto un generico appello alla pace senza mai utilizzare la parola guerra.
Il Riformista ha chiesto all’azienda russa quali sono i rapporti con il Cremlino e il ministero della Difesa russo, se hanno avuto disdette dopo l’invasione dell’Ucraina e soprattutto se sarebbe in grado di opporsi ad una richiesta del governo di Mosca di intervenire sui suoi prodotti installati in ogni angolo del globo.
Le risposte non fanno chiarezza, anzi. Kaspersky sostiene che “l’azienda è una società internazionale privata, la cui holding è registrata nel Regno Unito“. Rimane incontrovertibile, come riporta il sito ufficiale del colosso russo, che il quartier generale si trova a Mosca: stando al profilo Linkedin della società risulterebbe che oltre 3.500 delle 3.619 persone lavorano nella capitale. Le risposte non sono altro che un copia/incolla delle Faq dal sito della casa madre. Kaspersky nega di aver avuto disdette a causa dello scoppio della guerra – “le operazioni procedono normalmente” – sostenendo di non aver “legami politici con nessun governo e collaborando con le forze di polizia internazionali nella lotta al cybercrimine“.
Sul tema più spinoso, quello di un concreto rischio che l’azienda possa essere il volano di una cyber guerra su richiesta del Cremlino la risposta è secca e anche qui si tratta di un copia/incolla: “La sicurezza e la privacy dei propri utenti e clienti è una priorità fondamentale. L’accesso ai dati degli utenti o all’infrastruttura dell’azienda non vengono fornite neanche alle forze dell’ordine o a organizzazioni governative. Kaspersky non è soggetta al Sistema russo di misure investigative operative (SORM) o altre legislazioni simili e non è quindi obbligata a fornire informazioni“.
Va da sé che “il sistema russo” a cui si fa riferimento non ha nessuna valenza in tempo di allerta militare o guerra: il rischio quindi che il regime di Putin possa imporre e ottenere l’uso dei prodotti di Kaspersky c’è, eccome.
Nessun legame infine ci sarebbe con la Difesa russa e più direttamente con Vladimir Putin, sostiene la nota. E questo come abbiamo detto non solo non è credibile ma non risponde a verità.
Secondo Stefano Quintarelli, uno dei pionieri della Rete in Italia, l’azienda russa “protegge” il sito del Ministero della Difesa di Mosca. Il link è diretto. Che Kasperskay sia un prodotto di successo è innegabile come è innegabile che fin dal 2017 è stato messo al bando in Cina e negli Usa e il Parlamento europeo lo ha definito “malicious“, dannoso, pericoloso.
Ma come è stato possibile che il software di un oligarca russo sia finito nel cuore dello Stato italiano? La risposta a questa semplice domanda l’ha rinvenuta Umberto Rapetto, uno dei più noti cyber-investigatori già alto ufficiale della Finanza, e si trova in un paper del Mise a cura della Direzione generale per le tecnologie e la sicurezza informatica.
Il responsabile che firma il rapporto per la certificazione per l’utilizzo dell’antivirus Kaspersky vanta nel suo cv queste quattro capacità nell’uso delle tecnologie informatiche: Windows, Office, posta elettronica e navigazione su internet. Forse abbiamo un problema.
Ecco di seguito il nostro carteggio con Kaspersky.
Kaspersky è una società internazionale privata, la cui holding è registrata nel Regno Unito. Come società privata, non ha legami politici con nessun governo e collabora con le autorità di molti paesi, nonché con le forze di polizia internazionali e le organizzazioni private e statali nella lotta al cybercrime. Nell’ambito di un’iniziativa denominata Global Transparency, dal 2018, i file dannosi e sospetti, condivisi volontariamente dagli utenti Kaspersky in Europa, Stati Uniti, Canada e svariati paesi dell’Asia Pacifica, vengono processati in due data center situati a Zurigo, in conformità con gli standard del settore garantendo i più elevati livelli di sicurezza.
L’azienda ha ricevuto disdette da clienti italiani dopo lo scoppio della guerra in Ucraina?
Le operazioni commerciali di Kaspersky procedono normalmente. L’azienda garantisce le sue attività verso i partner e i clienti, compresa la consegna e il supporto ai prodotti.
Kaspersky, laddove ricevesse richieste dalle autorità russe di intervenire sui prodotti installati in un paese, quale tipologia di reazione avrebbe a tutela dei propri clienti? Sarebbe nella condizione di opporsi e/o di renderlo noto?
Per Kaspersky la sicurezza e la privacy dei propri utenti e clienti è una priorità fondamentale. L’accesso ai dati degli utenti o all’infrastruttura dell’azienda non vengono fornite neanche alle forze dell’ordine o a organizzazioni governative. Kaspersky non è soggetta al Sistema russo di misure investigative operative (SORM) o altre legislazioni simili e non è quindi obbligata a fornire informazioni. Inoltre, la sicurezza e l’integrità dei suoi servizi dati e le pratiche di ingegneria sono state confermate da valutazioni di terze parti indipendenti, due organizzazioni di audit esterne indipendenti: attraverso l’audit SOC 2 (Service Organization Control for Service Organizations) di un revisore Big Four, che ha confermato la sicurezza del processo di Kaspersky per lo sviluppo e il rilascio di aggiornamenti AV contro il rischio di modifiche non autorizzate. I servizi dati di Kaspersky sono stati anche certificati da TÜV AUSTRIA secondo ISO/IEC 27001:2013.
Quali sono i rapporti tra l’azienda e il ministero della Difesa russo?
Kaspersky è un’azienda internazionale privata e non ha legami con nessun governo o agenzia governativa. È orgogliosa di collaborare con le autorità di molti paesi e con le forze dell’ordine internazionali nella lotta contro il crimine informatico. Kaspersky lavora con le autorità nel migliore interesse della sicurezza informatica internazionale, fornendo consulenze tecniche o analisi di esperti di programmi malevoli i per supportare le indagini sul crimine informatico e in conformità con le leggi applicabili.
Quali sono i rapporti dei vertici dell’azienda con il Presidente Putin?
Kaspersky, e il suo top management, non hanno alcun legame con il governo russo o qualsiasi altro governo, compresi i loro leader. Come anticipato invece collabora con le autorità di molti paesi, nonché con le forze di polizia internazionali e le organizzazioni private e statali nella lotta al cybercrime.
Kaspersky è una società internazionale privata, la cui holding è registrata nel Regno Unito. Come società privata, non ha legami politici con nessun governo e collabora con le autorità di molti paesi, nonché con le forze di polizia internazionali e le organizzazioni private e statali nella lotta al cybercrime. Nell’ambito di un’iniziativa denominata Global Transparency, dal 2018, i file dannosi e sospetti, condivisi volontariamente dagli utenti Kaspersky in Europa, Stati Uniti, Canada e svariati paesi dell’Asia Pacifica, vengono processati in due data center situati a Zurigo, in conformità con gli standard del settore garantendo i più elevati livelli di sicurezza.
P.S. Su un aspetto Kaspersky avrebbe avuto ragione a lagnarsi. Nel nostro pezzo di lunedì abbiamo riportato che il fondatore è stato un ufficiale del Kgb. Non è così: Kaspersky è stato allievo dell’Accademia del servizio segreto sovietico. Almeno su questo poteva correggerci ma non l’ha fatto: lo facciamo noi per rispetto dei fatti.
© Riproduzione riservata