Con il rischio di cyber war sempre più concreto, l'Italia programma la dismissione dei prodotti russi con particolare attenzione a Kaspersky. Dello stesso avviso i governi tedesco e francese.

L'Italia potrebbe subire una cyber war

Il primo a fare menzione dei pericoli a cui il conflitto ucraino potrebbe esporre gli utenti italiani è stato Franco Gabrielli, sottosegretario alla Presidenza del Consiglio con delega alla sicurezza nazionale:

"Esiste una guerra visibile, con le drammatiche immagini di morti, feriti e distruzioni che giungono dall’Ucraina, e ne esiste una invisibile (per adesso solo temuta) che potrebbe abbattersi sui sistemi informatici che regolano la nostra vita quotidiana. Sono due fronti che destano la nostra preoccupazione nel senso etimologico del termine»

ha dichiarato ai giornali qualche giorno fa.

In concreto ha spiegato che l'Italia è esposta, come ormai tutta Europa, ad una cyber war che potrebbe colpire istituzioni governative, infrastrutture, aziende. Il 6 Marzo ad esempio l'Agenzia per la cyber security nazionale (ACN) ha lanciato un alert specifico, perchè v'erano tutti i segnali di un potenziale attacco contro l'Italia.

Per approfondire > Cybersecurity in Italia: chi sono CISRT e CERT, gli angeli custodi del nostro cyber spazio

L'allarme sui prodotti made in Russia (leggi Kaspersky)

Ma l'attenzione di Gabrielli si è concentrata su Kaspersky, il famoso software antivirus russo. Questo è installato sui sistemi informatici di molte Pubbliche Amministrazioni (2348 enti) e aziende. Gabrielli ha parlato apertamente di dipendenza dalla tecnologia russa e spiegato come si stia già progammando la dismissione di soluzioni russe nella PA.

Il concetto è stato ribadito dall'Agenzia per la Cyber sicureza nazionale che ha spiegato come "programmi e prodotti tecnologici made in Russia potrebbero essere usatri come veicolo di attacco" contro l'occidente.

"Tra le implicazioni di sicurezza derivanti dalla situazione del momento particolare rilevanza assumono quelle di sicurezza informatica per l’elevato livello di invasività rispetto ai sistemi su cui operano. Stante la necessità di disporre di tali soluzioni tecnologiche, non si esclude che gli effetti del conflitto ne possano pregiudicare l’affidabilità e l’efficacia, potendo per esempio influire sulla capacità delle aziende fornitrici legate alla Federazione russa di assicurare un adeguato supporto ai propri prodotti e servizi”.

ha precisato l’Acn.

Non è un caso che il Decreto Ucraina, con il quale lo stato italiano ha preso una serie di provvedimenti per fronteggiare la crisi, preveda "di diversificare l'uso di sistemi informativi nelle PA", ovvero di rimuovere Kaspersky ed acquistare prodotti diversi.

Quali rischi in concreto?

L' Agenzia per la Cybersicurezza Nazionale ha emesso una raccomandazione per la PA (la cui validità però riguarda anche le aziende) nel quale specifica che è urgente procedere ad una valutazione dei rischi derivanti da soluzioni di sicurezza informatica con particolare attenzione a:

• sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
• “web application firewall” (WAF);
• protezione della posta elettronica;
• protezione dei servizi cloud;
• servizi di sicurezza gestiti (managed security service).

Non si cita mai Kaspersky, ma i riferimenti sono chiari. I pericoli, spiegano, sono di vedere l'antivirus trasformato in un trojan, oppure trovarsi esposti a rischi nel caso in cui, per motivi geopolitici, vengano interrotti gli update e in generale qualsiasi flusso di dati dai server russi.

Il punto è chiaro, come ha spiegato Aaron Visaggio professore associato di Ingegneria dell'Università del Sannio:

“Per loro natura, gli antivirus sono software che decidono cosa è bene e cos'è male, cosa può passare e cosa dev’essere fermato, e lo fanno sulla base di liste di malware che sono conosciute solo dagli sviluppatori del software. Inoltre, gli antivirus acquisiscono la fotografia completa del dispositivo su cui lavorano: un processo che nasce per mantenere sicura la macchina ma che può diventare un’arma formidabile nelle mani di un malintenzionato”.

Non solo: la caratteristica nota degli antivirus, che cosente loro di funzionare, è la possibilità e necessità di disporre di un livello di permissioni elevato. Un attacco tramite soluzioni antivirus potrebbe eseguire praticamente qualsiasi azione, disponendo di adeguate permissioni.

Un attacco supply chain sarebbe devastante

La paura maggiore è di subire attacchi di tipo supply chain, come quelli Solarwind o Kaseya. In questi due casi gli attaccanti hanno violato non le singole reti dove erano installati queste soluzioni, ma direttamente i sistemi tramite i quali questi due prodotti distribuiscono dai propri server ai sistemi gli aggiornamenti. Violando quindi un solo obiettivo, gli attaccanti sono riusciti a distribuire malware a centinaia di migliaia di clienti tramite update compromessi.

Per saperne di più > Malware e tecniche di attacco:come cambiano gli strumenti dei cyber criminali contro le aziende

Come a dire che se Mosca decidesse di usare gli update di per la tecnologia russa per distribuire malware o, come già successo contro l'Ucraina, un wiper i danni sarebbero ingenti.

Il governo francese e tedesco diramano gli stessi alert

Il governo italiano non è l'unico preoccupato sui prodotti russi. Il Governo tedesco è stato estremamente esplicito: la Federal Office for Information Security tedesca ha esortato PA e utenti privati a non utilizzare prodotti russi:

"un produttore IT russo può condurre esso stesso operazioni offensive, può essere costretto ad attaccare i sistemi di destinazione contro la sua volontà, diventare vittima di un’operazione informatica a sua insaputa o essere utilizzato in modo improprio come strumento per attaccare i propri clienti”

si legge.

Per il governo tedesco i rischi sono relativi anche al fatto che i software antivirus solitamente hanno alti livelli di privilegi su Windowws. Mantengono inoltre una connessione permanente, criptata e non verificabile col vendor per aggiornare continuamente le definizioni antivirus. La società Kaspersky quindi, volente o nolente, potrebbe trovarsi a dover usare le proprie soluzioni come armi:

L'alert del governo francese invece si concentra sul fatto che la situazione geopolitica attuale potrebbe condurre alla frammentazione dell'Internet globale in tanti mini web nazionali. Fattoi che finirebbe per impedire gli update e, come si sa, un antivirus obsoleto è una bomba con innesco pronta ad esplodere.

Si attiva anche il Garante italiano

L'ultima novità in ordine cronologico è la decisione del Garante di aprire un'istruttoria per verificare i potenziali rischi ai quali prodotti russi potrebbero esporre i dati personali.

"Il Garante per la protezione dei dati personali ha aperto un’istruttoria per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky"

si legge nel comunicato stampa diramato dal Garante qualche giorno fa.

Il Garante ha già richiesto a Kaspersky di fornire:

• numero dei clienti;
• tipologia dei clienti;
• informazioni dettagliate sul trattamento dei dati personali effettuato dai vari porodotti Kaspersky, compresi quelli di telemetria e diagnosi;
• il chiairmento riguardo ad eventuale trasferimento dei dati personali al di fuori dell'UE o comunque l'accessibilità da parte dei paesi terzi.

Insomma, l'invito dei governi europei impone di pensare fin da ora a soluzioni alternative per evitare di trovarsi con i propri dati ed il proprio traffico protetti da un software russo nel mezzo di uno scontro di alto profilo che vede la Russia al centro della scena.