Kaspersky, Group Ib e Positive Technologies. Sono queste le tre aziende informatiche russe finite nel mirino dell'Agenzia per la cybersicurezza nazionale (Acn), che per la prima volta, in una circolare del 21 aprile, ha messo nero su bianco i nomi delle tecnologie che devono essere rimosse dalla pubblica amministrazione italiana. Non che fosse un mistero che, su tutti, l'antivirus del gruppo Kaspersky, considerato uno dei migliori prodotti di cybersecurity sul mercato, fosse in cima alla lista degli “indesiderabili”.
Finora, però, l'Acn guidata dal direttore Roberto Baldoni si era trattenuta dal fare nomi. In una raccomandazione interna del 15 marzo, di cui Wired ha avuto visione, la nuova agenzia per la sicurezza informatica invitava gli enti pubblici italiani a “considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione russa”. “Tra queste, particolare rilevanza assumono quelle di sicurezza informatica per l’elevato livello di invasività rispetto ai sistemi su cui operano”, proseguiva il testo.
La circolare del 21 aprile, in Gazzetta ufficiale il 26, ordina agli enti pubblici italiani di procedere “alla diversificazione delle seguenti categorie di prodotti e servizi tecnologici di sicurezza informatica”: quelli di Kaspersky, di Group Ib e di Positive Technologies, “anche commercializzati tramite canale di rivendita indiretta e/o anche veicolati tramite accordi quadro o contratti quadro in modalità on-premise o da remoto”. Di fatto, con questa mossa l'ufficio di Baldoni si allinea alle strategie di Germania e Francia. A metà marzo l’omologa organizzazione per la cybersecurity tedesca, Bsi, ha consigliato “di sostituire le applicazioni del portafoglio di software di protezione antivirus di Kaspersky con prodotti alternativi”. Sulla stessa linea il Centro governativo di sicurezza informatica (Anssi) francese, che peraltro, come scrive Formiche, è proprio cliente di Positive Technologies.
Come ha ricostruito Wired nei giorni scorsi, alcuni enti pubblici italiani stanno già disinstallando Kaspersky. Tra questi, il ministero dell'Interno, l'Istituto superiore di sanità (Iss), il Consiglio nazionale delle ricerche (Cnr), l'Autorità garante per le comunicazioni (Agcom), l'università di Verona, l'Istituto nazionale di fisica nucleare (Infn) e l'Istituto per la protezione ambientale (Ispra). Altri uffici, come i ministeri degli Esteri e del Lavoro, che secondo la banca dati sugli appalti Contrattipubblici.org hanno licenze attive con Kaspersky, non hanno risposto alle domande di Wired. Altri ancora, come l'Università Sapienza, già negli anni scorsi sono passati ad altri fornitori: nel caso dell'ateneo a Bitdefender.
Nel complesso, stando ai dati di Contrattipubblici.org, dal 2013 2.462 enti tra ministeri, ospedali, scuole, università e società partecipate hanno acquistato licenze Kaspersky, per una spesa totale di 18 milioni di euro (con un media di 3mila euro a contratto). Il maggior numero di contratti è in vigore nel 2021: 724. A marzo erano 129 i contratti per licenze Kaspersky ancora attivi. La banca dati registra un solo contratto per Positive Technologies, peraltro già scaduto nel 2020, con Consap, la concessionaria per le assicurazioni pubbliche.
A marzo, invece, Adnkronos riferiva che Group-Ib ha vinto la gara per offrire servizi di intelligence contro le minacce informatiche al Computer emergency response team (Cert) finanziario italiano, guidato da Banca d'Italia e Associazione bancaria italiana (Abi) per alzare le difese informatiche del settore. Lo scorso settembre il 35enne fondatore dell'azienda, Ilya Sachkov, è stato arrestato dalle autorità russe con l'accusa di alto tradimento e di collaborazione con l'intelligence di paesi esteri non identificati.
In concreto, la circolare di Baldoni prescrive di “censire dettagliatamente i servizi e prodotti” di Kaspersky, Group-Ib e Positive Techonologies in casa, “analizzando gli impatti degli aggiornamenti degli stessi sull’operatività, quali i tempi di manutenzione necessari”. Poi “identificare e valutare i nuovi servizi e prodotti”, “definire, condividere e comunicare i piani di migrazione”. “Il piano di migrazione dovrà garantire che in nessun momento venga interrotta la funzione di protezione garantita dagli strumenti oggetto della diversificazione”, si legge nella nota, che inoltre raccomanda “autenticazione multi-fattore per tutti gli accessi privilegiati, attivazione dei soli servizi e funzioni strettamente necessari, adozione di principi di zero-trust”, controlli continui e processi di mitigazione del rischio.
A Wired Cesare D'Angelo, direttore generale per l'Italia di Kaspersky, che ha sempre respinto gli addebiti, ha spiegato in precedenza di essere “al corrente di alcuni clienti che hanno provveduto o provvederanno alla sostituzione. Un processo che tra valutazione del rischio, test, migrazione, può portar via dei mesi, esponendo aziende e amministrazioni a pericolose vulnerabilità. Alcuni enti, invece, stanno facendo le dovute valutazioni di risk assessment”. L'azienda ha anche rilasciato il suo rapporto sugli attacchi dei gruppi di cybercriminali che sfruttano Apt (minacce avanzate e persistenti) nei primi tre mesi del 2022. Per Kaspersky l'attività contro enti pubblici o aziende si è intensificata, trainata dalla crisi in Ucraina.
Gli analisi osservano che molti attacchi “tra febbraio e marzo molti erano rivolti ad entità ucraine, come HermeticRansom e DoubleZero. C’è stato un picco significativo nella quantità di nuove infrastrutture distribuite dai gruppi Apt Gamaredon e UNC1151 (Ghostwriter)", rispettivamente collegati a Russia e Bielorussia. Al tempo stesso “i ricercatori di Kaspersky hanno identificato tre campagne collegate al threat actor Konni", collegato ai gruppi cyber nordcoreani, "attivo da metà 2021 e impegnato a prendere di mira enti diplomatici russi”.
