Il primo ad annunciare pubblicamente il divorzio dall'antivirus russo Kaspersky è stato il ministero dell'Interno. A due settimane dalla raccomandazione con l'Agenzia per la cybersicurezza nazionale (Acn) sollecitava gli enti pubblici a rivedere i rapporti con tecnologia made in Russia a causa dell’invasione dell’Ucraina, il 31 marzo Viminale ha comunicato di aver tagliato alcune licenze del software, uno dei migliori antivirus sul mercato e molto diffuso negli appalti dello Stato italiano. Altri lo hanno fatto o lo stanno facendo. Un mese dopo l'allerta, Wired è in grado di dare conto di altri enti pubblici che hanno chiuso o stanno chiudendo i rapporti con Kaspersky. Come l'Istituto superiore di sanità (Iss), il Consiglio nazionale delle ricerche (Cnr), l'Autorità garante per le comunicazioni (Agcom), l'università di Verona, l'Istituto nazionale di fisica nucleare (Infn) e l'Istituto per la protezione ambientale (Ispra).
Altri uffici, come i ministeri degli Esteri e del Lavoro, che secondo la banca dati sugli appalti Contrattipubblici.org hanno licenze attive con Kaspersky, non hanno risposto alle domande di Wired in tempo per la pubblicazione. “Siamo al corrente di alcuni clienti che hanno provveduto o provvederanno alla sostituzione. Un processo che tra valutazione del rischio, test, migrazione, può portar via dei mesi, esponendo aziende e amministrazioni a pericolose vulnerabilità. Alcuni enti, invece, stanno facendo le dovute valutazioni di risk assessment”, spiega a Wired Cesare D'Angelo, direttore generale per l'Italia di Kaspersky.
Cosa sta succedendo:
- Fuori Kaspersky dalla pubblica amministrazione
- Chi ha messo l'antivirus alla porta
- Strategia di uscita
- Appalti in extremis
- Nubi all'orizzonte
Se sei a conoscenza di problemi con la rescissione dei contratti di Kaspersky e vuoi comunicare in modo sicuro, usa WiredLeaks - Clicca qui
È il 15 marzo, l'invasione dell'Ucraina da parte della Russia è in corso da tre settimane. L'Acn, la nuova agenzia nazionale preposta a dettare la linea italiana in materia di sicurezza informatica guidata dal direttore Roberto Baldoni, affronta in una circolare interna invita a "considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione russa”. “Tra queste, particolare rilevanza assumono quelle di sicurezza informatica per l’elevato livello di invasività rispetto ai sistemi su cui operano - precisa l’Acn -. Stante la necessità di disporre di tali soluzioni tecnologiche, non si esclude che gli effetti del conflitto ne possano pregiudicare l’affidabilità e l’efficacia, potendo per esempio influire sulla capacità delle aziende fornitrici legate alla Federazione russa di assicurare un adeguato supporto ai propri prodotti e servizi”.
A differenza di quanto fa l'omologa tedesca Bsi nelle stesse ore, che in una nota pubblica “consiglia di sostituire le applicazioni del portafoglio di software di protezione antivirus di Kaspersky con prodotti alternativi”, o il Centro governativo di sicurezza informatica (Anssi) in Francia, l'Acn non nomina mai esplicitamente Kaspersky, l’azienda con sede a Mosca che produce l’omonimo antivirus. Ma quando nella circolare fa riferimento a“sicurezza dei dispositivi, ivi compresi applicativi antivirus e antimalware”, tutti fanno l'associazione con il gruppo fondato nel 1997 da Eugene Kaspersky e dall’ex moglie Natalya (anche lei programmatrice). A nulla sono servite le rassicurazioni del fondatore. Né le garanzie che l'azienda continua a presentare. D'Angelo spiega: “La sicurezza e l'integrità dei nostri prodotti e data service e delle pratiche di ingegneria sono state confermate da valutazioni di terze parti indipendenti”.
Il ministero dell'Interno è stato il primo organo dello Stato a comunicare l'addio a Kaspersky. Il 31 marzo il sottosegretario Nicola Molteni, in quota Lega, risponde per iscritto a un'interrogazione urgente del giorno prima, firmata da Renate Gebhard del Partito popolare sudtirolese e da Paolo Romano ed Elisa Siragusa di Europa Verde. Molteni spiega che il Dipartimento per gli affari interni e territoriali del Viminale “ha comunicato l'avvenuta ultimazione della disinstallazione dei prodotti Kaspersky da tutti i sistemi «server» e «client» dipartimentali e la sostituzione con software di diversa provenienza”. Quello che presiede vigili del fuoco, soccorso pubblico e difesa civile “sta provvedendo all'attuazione di quanto prescritto”, adottando anche “i necessari accorgimenti tecnici finalizzati ad impedire azioni di sottrazione di dati o azioni di sabotaggio informatico”. E mentre i dipartimento per la pubblica sicurezza e le libertà civili non ne fanno uso, quello per l'amministrazione generale ha l'antivirus russo solo su alcuni apparati, per i quali “sono già state avviate le attività amministrative e contrattuali per la sostituzione”.
Il Viminale, però, per quanto rilevante, è solo la punta dell'iceberg. Secondo la startup Contrattipubblici.org, che cura una banca dati degli acquisti della pubblica amministrazione, dal 2013 2.462 enti tra ministeri, ospedali, scuole, università e società partecipate hanno acquistato licenze Kaspersky, per una spesa totale di 18 milioni di euro (con un media di 3mila euro a contratto). Il maggior numero di contratti è in vigore nel 2021: 724. Non tutte queste realtà avevano o hanno ancora l'antivirus installato, perché in alcuni casi gli accordi sono scaduti e non sono stati rinnovati. È così per il consorzio informatico Csi Piemonte, Consip, la società statale per gli acquisti pubblici, il gruppo Sport e Salute, l'Istat o Anas, il gruppo di gestione stradale che tra luglio e ottobre 2021 è passato a McAfee.
A marzo, stando alla stessa banca dati, erano 129 i contratti per licenze Kaspersky ancora attivi. Wired ne ha chiesto conto agli interessati, per sapere come si stanno muovendo, a quale altro antivirus si sono rivolti e a quali costi (eventuali penali per la rescissione anticipata comprese). Se alcuni enti hanno risposto sul cambio di contratto, pochi hanno menzionato il nuovo software e l'importo speso.
L'Istituto superiore di sanità (Iss)ha detto a Wired di aver “attivato le procedure per la diversificazione dei prodotti, nei tempi necessari a garantire la più alta sicurezza informatica e l’efficienza dei servizi”. “Per quanto riguarda i costi dell’operazione essi sono ancora in fase di definizione in quanto si sta procedendo per step all’attuazione delle nuove procedure che sono comunque in fase conclusiva”, ha aggiunto l'ufficio stampa dell'Iss. L'Università di Verona ha risposto che “sta procedendo secondo quanto indicato dalla norma, senza oneri aggiuntivi”. L'Agcom invece “si appresta a terminare le attività di analisi tecniche volte all’individuazione di un prodotto alternativo a Kaspersky, il cui contratto con la società fornitrice del servizio è in scadenza”. L'Autorità che sorveglia il mondo delle comunicazioni avverte che “la sostituzione del prodotto avverrà quanto prima e terrà conto della diversificazione dei prodotti in uso”.
Il contratto con Kaspersky di Ispra scadrebbe naturalmente a fine anno, ma dopo la circolare dell'Acn la “direzione informatica sta valutando, mediante analisi di mercato e valutazioni tecniche, la possibilità di acquisire, in tempi rapidi, un differente sistema di protezione antivirus compatibile con la nostra infrastruttura”. Lo stesso, a quanto apprende Wired, vale per la Guardia di finanza, le cui licenze di Kaspersky scadono a fine anno. Le fiamme gialle sono già all'opera per trovare un'alternativa. Mentre l'Autorità nazionale per la sicurezza delle ferrovie e delle infrastrutture stradali e autostradali (Ansfisa) fa sapere che il tema è “all’ordine del giorno” e “sta decidendo in questi giorni come procedere”. Wired ha appreso che anche Enpam, l'ente di previdenza dei medici, sta valutando la situazione. Ufficialmente la Fondazione ha detto di non poter “fare commenti sulle misure adottate a tutela dei nostri iscritti e delle loro pensioni”.
L'Istituto nazionale di fisica nucleare (Infn) e il Consiglio nazionale delle ricerche (Cnr) hanno fornito le ricostruzioni più complete sulle strategie adottate. Il primo riferisce a Wired che ha “iniziato subito la rimozione di Kaspersky e ad oggi è stato rimosso da quasi tutti i computer”. Nel mancano pochi esemplari che si collegano, a detta dell'ente, raramente alla rete. Per tamponare la situazione sui Mac è stato installato l'antivirus Eset, mentre per Windows si viaggia con Defender, in attesa di scegliere una “soluzione definitiva, in via di valutazione”. L'Infn fa sapere che “non sono state pagate penali, ma si è avviata una pratica con il rivenditore di Kaspersky per cercare di ottenere il rimborso per il periodo non utilizzato della licenza”.
Roberto Puccinelli, dirigente del settore informatico del Cnr, spiega a Wired che già prima dello scoppio della guerra in Ucraina il Consiglio “ha iniziato a valutare altre soluzioni, perché le licenze di Kaspersky erano in scadenza ad aprile”. Stando ai calcoli del dirigente, fatto cento le licenze per gli antivirus, tre quarti sono con Kasperksy e un quarto con l'americana Sentinel One. “Abbiamo colto la palla al balzo - dice Puccinelli - e fatto un ordine di altre licenze con Sentinel One, senza rinnovare Kaspersky. Abbiamo dato ordine alle sedi periferiche di fare altrettanto". Siccome cambia il programma e l'offerta, basata sul cloud, il Cnr pagherà circa un 10% sul prodotto rispetto al costo di quello russo. “La nostra scelta è stata indipendente e legata a ragionamenti tecnici”, aggiunge l'ingegnere. Il passaggio è avvenuto per step, valutando prima la nuova soluzione su un campione di macchine e poi estendendone l'uso.
Wired ha interpellato anche altri enti che si proteggono con Kaspersky, ma al momento della pubblicazione di questo articolo non ha ricevuto risposte sulla loro strategia. Tra questi, il ministero del Lavoro e quello degli Esteri, la società informatica partecipata dalla Regione Emilia Romagna, Lepida, l'Azienda sanitaria delle Marche (Asur), Invalsi (l'istituto che valuta i sistemi di formazione e istruzione e che eroga i test per gli esami scolastici), l'Autorità antitrust, la città metropolitana di Reggio Calabria e il Comune di Catanzaro, l'Anpal (l'agenzia per il lavoro che si occupa dei percettori del reddito di cittadinanza).
Dalla banca dati di Contrattipubblici.org si scopre che il 15 marzo, mentre l'Acn preparava la circolare di allerta sulle tecnologie russe, il Comune di Pisa chiudeva un'indagine di mercato per il rinnovo di 750 licenze triennali di Kaspersky. E anche Regione Piemonte e Asur Marche si sono interessate all'acquisto del software a inizio 2022. D'Angelo precisa che la sua azienda serve “nella maggior parte dei casi enti di pubblica amministrazione locale” e che “si è messa a disposizione delle pubbliche autorità per rispondere alle domande, richieste di informazioni e per rappresentare in maniera trasparente e condivisa il suo punto di vista”. Inoltre assicura che che un revisore esterno “ha confermato la sicurezza del processo di Kaspersky per lo sviluppo e il rilascio di aggiornamenti antivirus contro il rischio di modifiche non autorizzate”. “Inoltre - aggiunge - gestiamo transparency center in tutto il mondo, che servono come strutture per i partner fidati e le parti interessate del governo per esaminare il codice dell'azienda, gli aggiornamenti del software e le regole di rilevamento delle minacce”, diffondendo la documentazione tecnica essenziale e offrendo anche l'accesso da remoto.
Per il dirigente italiano è presto per quantificare l'impatto che questo stop avrà sul bilancio 2022: “Di certo ci sarà un contraccolpo, che non riguarda solo noi, ma includerà tutta la filiera”, ossia i fornitori che vendono il software. L'azienda, dice D'Angelo, “al momento non prevede ristrutturazioni o riorganizzazioni di alcun tipo”. “La situazione internazionale ha cambiato lo scenario su tutti i Paesi, compresi il nostro; ma l’azienda è solida e vuole continuare a investire e lavorare in Italia - afferma D'Angelo -. Vogliamo ribadire la nostra disponibilità a lavorare con le istituzioni e continuare a proteggere l’Italia dalla minacce attuali ricordando che come azienda di cybersecurity abbiamo scoperto il maggior numero di Apt [minacce avanzate persistenti, ndr] di origine russa e siamo un player fondamentale per la sicurezza nazionale e globale”. “L’azienda, in tutte le sue articolazioni mondiali, opera pubblicamente e secondo policy di business, e non di geopolitica - spiega il responsabile -. Il conflitto militare in corso è un fatto storico che ha impattato, per forza di cose, non solo Kaspersky, ma su tanti altri operatori economici, ma non è un dies a quo, dal quale si ricomincia a contare il tempo”.
Non si preannunciano tuttavia schiarite per Kaspersky in Italia. Formiche riferisce che in audizione alla Commissione Finanze al Senato, il direttore dell'AcnBaldoni ha anticipato una circolare con cui l'agenzia spiegherà ad aziende e uffici pubblici come rimpiazzare le tecnologie russe. Una spinta ulteriore a mettere alla porta Kaspesky. D'Angelo auspica che “il governo italiano prosegua con questo approccio della valutazione del rischio e dell’analisi preventiva dei dati/fatti. Perché i rischi di cybersicurezza, per scelte poco meditate ed emotive, non corroborate cioè da technical assessment, potrebbero aumentare, e non diminuire, con conseguenze delicate e potenzialmente assai dannose”. La linea di Palazzo Chigi, però, sembra andare nell'altra direzione, dicendo addio a Kaspersky.
