Il caso Kaspersky, installato sui pc di Ministeri, Esercito e Forze dell’Ordine, spinge a farsi qualche domanda sulla vulnerabilità dei nostri sistemi - e sulla consapevolezza di essere in balia di attori esterni su cui non si esercita il controllo
Riflettere sull’opportunità di avvalersi del software antivirus russo Kaspersky per proteggere i pc della Pubblica Amministrazione - in cui possono essere contenute alcune tra le più sensibili informazioni per la sicurezza nazionale - costringe a porsi delle domande ancora più importanti.
Chi stabilisce se va bene o no installare un antivirus russo sui computer dove sono contenuti dati strategici? E alla luce di quale normativa? Più in generale: quanto è vulnerabile la nostra pubblica amministrazione ad attacchi esterni? Quanto dipende dai grandi fornitori per la sua sicurezza?
Italia “colabrodo” per la cybersecurity della Pubblica Amministrazione
Dopo l’attacco informatico che avrebbe violato la posta elettronica della Farnesina nel febbraio dell’anno scorso, il vicepresidente del Copasir Giuseppe Esposito disse in un’intervista che “dal punto di vista della cyber security siamo un colabrodo e non per colpa dei servizi che sono chiamati a occuparsi di altro.
Siamo privi di una struttura di coordinamento: è necessario mettere mano il prima possibile a un intervento legislativo in tal senso. Oggi, ad esempio, con troppa facilità vengono affidati appalti a società russe, americane e cinesi senza prendere in considerazione che in Italia esistono ottime aziende che posseggono il know-how necessario per risolvere le falle dei sistemi informatici del Paese. Serve un registro unico delle imprese di sicurezza per tutta la pubblica amministrazione, ma nemmeno questo basterà”.
Tutti i programmi installati sui pc con la capacità di comunicare in rete o mandare informazioni a un cloud, come per esempio Dropbox, non sono esenti da rischi anche se non hanno privilegi da amministratore. A maggior ragione se installati su computer con dati sensibili.
Skype è esempio lampante: si aggancia all’audio, è sempre attivo, comunica sulla rete ma lo controlla Microsoft.
“Manca in Italia una commissione che valuti gli antivirus. Ci sono commissioni interne, non pubbliche, che stabiliscono cosa bisogna usare”, commenta Paolo Dal Checco, consulente informatico forense.
“La sicurezza andrebbe affrontata a 360°. I pc di qualunque dipendente pubblico magari hanno la password sullo schermo” oppure “ci sono anche dipendenti attaccati alla rete aziendale” con i propri dispositivi.
Non solo cyberdifesa, ma anche strumenti legali di sorveglianza, quindi cyberattacco. Dal Checco sottolinea come il problema investa anche le intercettazioni. “Se voglio installare un trojan, deve essere approvato. Ma chi lo approva? Quale installo? Dove manda i dati, se sviluppato da un’azienda privata?”
Corrado Giustozzi, consulente strategico e esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale per lo sviluppo del Computer Emergency Response Team della PA, parla a euronews a titolo personale.
Anch’egli, come Dal Checco, non si dice particolarmente preoccupato dall’uso di Kaspersky - non più di altri prodotti utilizzati in ambiti industriali, pubblici e privati, che vengono da altri Paesi “non esattamente amici” come la Cina (si pensi alle infrastrutture per le comunicazioni). “La realtà è che tutti i Paesi spiano tutti”.
Regole e standard nel Belpaese e in Europa
A livello internazionale tecnicamente esistono degli standard di sicurezza, detti common criteria. Non solo gli antivirus, ma anche i sistemi operativi usati in ambito NATO non li superano “perché i produttori non hanno interesse a far sottoporre i propri software a questo tipo di analisi che richiede anche l’ispezione del codice”, riferisce Giustozzi. Tanto che “c’è un Paese della NATO che sta valutando di passare a un sistema operativo sviluppato a partire da un nucleo open source e customizzato secondo le proprie esigenze per evitare backdoor”.
In Italia l’Autorità Nazionale per la Sicurezza (ANS) stabilisce le regole per la sicurezza, dettando le regole tecniche e organizzative da seguire quando si tratta di informazioni classificate. Per quelle non coperte da livelli di classifica, non esistono norme specifiche che dicono come devono essere trattate le informazioni. Per queste ultime, c’è dunque libertà di acquisto da parte di ciascun operatore per i prodotti ritenuti più soddisfacenti senza un meccanismo di certificazione - è anche una questione di costi/benefici.
“La sicurezza è una catena: le comunicazioni vengono veicolate da delle reti e le reti devono essere sicure. Per esserlo, o costruiamo da noi i dispositivi di rete, o se compriamo router o uno switch dobbiamo fidarci che in esse non siano stati inserite backdoor da parte del costruttore”, ritiene Giustozzi.
“La territorialità non è più un criterio accettabile”
Al momento, la PA italiana ha antivirus di tutte le nazionalità perché non ci sono barriere, chiunque vende sul MEPA ha gli stessi diritti.
“Il problema viene affrontato male: gli americani lo affrontano di pancia, l’Europa e l’Italia non lo affrontano proprio nel senso che non ci sono direttive nazionali né potrebbero esserci in assenza di una normativa di legge, perché altrimenti sarebbe un abuso, un modo di mascherare un embargo commerciale”, dice Giustozzi.
Servirebbe allora “una legge che deve essere sostanziata da motivazioni tecniche molto forti altrimenti c’è il rischio che sia una normativa che sotto la facciata di una norma tecnica nasconda un embargo commerciale molto forte e ci si può aspettare una serie di ricorsi da parte dei produttori presso tutti i tribunali fino alla Corte Europea contro una pratica commerciale scorretta”, secondo Giustozzi.
Le grandi aziende di telecomunicazioni continueranno a comprare cinese “perché costa la metà”, è l’esempio che porta l’esperto di cybersecurity. Per farla semplice, non si può legiferare per impedire l’acquisto di dispositivi di un determinato Paese ma solo di quelli che non passano i test di sicurezza svolti da laboratori certificati e indipendenti.
“La territorialità non è più un criterio accettabile” conclude Giustozzi citando il caso dello scandalo CriptoAG, uno dei più autorevoli e attendibili produttori di cifranti con sede in Svizzera che permetteva lo spionaggio diplomatico di 130 paesi tramite macchine truccate e chiavi di accesso consegnate ai servizi segreti americani, britannici e tedeschi. “È un mondo in cui tutti hanno interesse a giocare questo gioco, le crociate insospettiscono anche se fatte in buona fede, il rischio è quello della strumentalizzazione. O siamo tutti cattivi o siamo tutti buoni, l’importante è saperlo”.
Serve una risposta “di sistema”
Secondo Stefano Zanero, professore associato di sicurezza informatica al Politecnico di Milano, esperto nel board del circuito di conferenze Black Hat, il forum più importante al mondo sulla cybersecurity, “servirebbe una risposta di sistema” che coinvolga la UE o la NATO, per “investire e creare alternative rispetto ai fornitori monopolisti di alcuni software”.
“Al giorno d’oggi, i maggiori software per fare acquisizione forense da dispositivi mobili sono di matrice israeliana. Non è la Russia, ma tecnicamente non è neanche NATO. La nostra dipendenza critica in questo campo da quel software potrebbe avere un impatto negativo: i nostri servizi segreti che devono analizzare un iPhone dipendono da un software fuori dal controllo nazionale”.
Eppur qualcosa si muove
Ultimamente l’Italia e l’Europa stanno lanciando una serie di iniziative tese ad aumentare il livello di sicurezza dei propri sistemi informatici (qui per approfondire). A maggio, insieme al GDPR, entra in vigore la Direttiva sulla sicurezza delle reti e dell’informazione (NIS). L’Italia è in ritardo con l'iter di recepimento e l'attuale situazione di stallo politico non aiuta.
Nell’ottobre scorso, inoltre, la Commissione ha proposto una serie di misure ulteriori per rafforzare la cyberstrategia e i poteri dell’Agenzia dell’Unione per la cybersecurity (ENISA): il cosiddetto “Pacchetto Juncker”.
Il suo scopo è quello di creare un mercato unico europeo per i prodotti e servizi di sicurezza generati in Europa “e non essere sudditi di produttori extra-europei”, continua Giustozzi. Nel Pacchetto Juncker è prevista l’istituzione di una serie di centri tecnici di valutazione che dovranno verificare le corrispondenze di prodotti e servizi a una serie di norme tecniche.
Sarà compito di ENISA sviluppare i meccanismi di certificazione e stabilire le norme. In Italia si stanno componendo i centri di valutazione in seno al Ministero dello Sviluppo Economico. Ci vorranno anni, non certo settimane, ma nell’ambiente è giudicata positivamente la nomina di Roberto Baldoni, profilo di elevato livello accademico, a vicedirettore generale del Dipartimento delle Informazioni per la Sicurezza (Dis) con delega alla cyber security.
Scrive Formiche che tra i suoi compiti ci sarà anche la certificazione di soluzioni software e hardware, istituendo presso il Mise un centro di valutazione e certificazione nazionale per la verifica dell’affidabilità della componentistica Information and Communication Technology (Ict) destinata ad infrastrutture critiche e strategiche.
Sui contratti in essere con Kaspersky, la nostra testata ha inviato delle richieste di accesso civico per richiedere copia delle fatture e dei documenti di valutazione alle amministrazioni pubbliche.
Sono oltre 500 gli enti unici della PA che hanno comprato, a vario titolo, prodotti e licenze Kaspersky Lab negli ultimi tre anni tramite il portale acquisti in rete della Pubblica Amministrazione Consip.
La direzione competente del Ministero degli Interni non ha risposto alla richiesta di commento avanzata da euronews.