“Decreto Kaspersky”: grande attesa per la circolare ACN che ha il lcompito di fare chiarezza in ambito sicurezza e pubblica amministrazione.
Sulla scia dei provvedimenti annunciati ed intrapresi da altri Paesi europei, nel contesto della pubblicazione del D.L. 14/2022 – Disposizioni urgenti sulla crisi in Ucraina, il Governo italiano ha notificato a tutti gli enti pubblici l’esigenza di differenziare le forniture informatiche provenienti da aziende con evidenti legami con la Russia, ai fini di evitare condizionamenti e scongiurare il rischio di attacchi nation-state commissionati dal Cremlino.
Tuttavia, come abbiamo avuto occasione di evidenziare nel servizio dedicato a quello che nell’ambito IT è stato confidenzialmente adottato quale “Decreto Kaspersky”, il DL 14/2022 ha prospettato una condizione di emergenza sul piano politico, cavalcando un’evidente onda emotiva, senza tuttavia fornire alcuna indicazione su come provvedere concretamente ad una “diversificazione” tutt’altro che semplice da implementare ed inquadrare in maniera coerente con gli altri disposti normativi.
Nel corso di un’audizione alla Commissione Finanze del Senato, avvenuta martedi 12 aprile, Roberto Baldoni, direttore generale dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha annunciato la prossima pubblicazione di una circolare esplicativa, utile a fare finalmente chiarezza sugli aspetti procedurali che gli enti pubblici dovranno osservare per mettersi al sicuro dalla possibile minaccia informatica proveniente dalla Russia, che nel frattempo ha ufficialmente incluso l’Italia nell’elenco dei suoi “paesi ostili”.
Il compito che attende l’ACN nel pubblicare l’atteso documento esplicativo è di non semplice soluzione, tali e quanti sono gli aspetti che ruotano intorno a questa spigolosa vicenda, soprattutto considerando l’effettiva capacità operativa ed organizzativa che contraddistingue gli enti pubblici in materia informatica. Occorre inoltre considerare che l’eccessiva genericità in merito dello stesso DL 14/2022 ha finito per creare confusione anche tra i privati, alimentando un clima di far west senza precedenti, in cui molti vendor si stanno proponendo direttamente alle aziende per “diversificare” le forniture provenienti da aziende aventi legami con la Russia.
Dove eravamo rimasti con il “Decreto Kaspersky”?
Il passaggio chiave del DL 14/2022 che la circolare promessa da Baldoni dovrà approfondire in merito agli aspetti pratici ed operativi è il seguente: “Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso”.
Anche se il DL 14/2022 non lo cita mai espressamente, i principali indiziati alla diversificazione son le soluzioni di sicurezza di Kaspersky, che ad oggi è fornitore ufficiale di circa 2300 enti pubblici, tra cui figurano la Guardia di Finanza, l’Arma dei Carabinieri, il Ministero della Difesa, il Ministero della Giustizia, il Ministero degli Esteri, l’Istat, il CNR, l’AGCM e l’Istituto di Fisica Nucleare. Si tratta ovviamente di organizzazioni in possesso di dati strategici per la sicurezza nazionale, che dovrebbero essere sempre tenuti al di fuori di ogni ragionevole dubbio in fatto di integrità e sicurezza.
La domanda fondamentale: come diversificare le soluzioni Kaspersky?
La circolare esplicativa dell’ACN dovrà dare una risposta concreta ad un numero così importante di istituzioni pubbliche, che secondo le disposizioni del DL 14/2022 dovrà ovviare alla presenza sui propri sistemi di sicurezza informatica attualmente garantiti da Kaspersky. Secondo Baldoni, il documento esplicativo entrerà nel merito dei criteri secondo cui scegliere i prodotti di sicurezza da diversificare. Secondo quanto già disposto dall’ACN, l’elenco della spesa prevederà almeno i seguenti sistemi:
- sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR);
- “web application firewall” (WAF);
- protezione della posta elettronica;
- protezione dei servizi cloud;
- servizi di sicurezza gestiti (managed security service).
La circolare esplicativa, oltre a dire agli enti cosa devono fare all’atto pratico, dovrà inoltre chiarire cosa si intende nello specifico per “diversificare”, dal momento che il DL 14/2022 non entra nel merito delle ipotesi, che potrebbero spaziare dal rimpiazzare integralmente le soluzioni di Kaspersky o sostituire / affiancare in maniera parziale le soluzioni di altri vendor attivi nel medesimo segmento di offerta tecnologica. A differenza delle disposizioni prese da altre nazioni, l’Italia finora, almeno formalmente, ha tenuto un atteggiamento più prudente, che ha lasciato aperta la questione, aumentando al tempo stesso il livello di confusione generale.
Dal canto suo, attraverso vari comunicati ufficiali e l’intervista esclusiva rilasciata da Cesare D’Angelo, GM di Kaspersky Italia, a Sergente Lorusso l’azienda sotto accusa ha ribadito, nero su bianco, le certificazioni di sicurezza ufficiali di cui dispone a livello internazionale, la natura della propria sede a Londra e la collocazione dei propri data center in Svizzera. Una condizione che la sottrarrebbe di fatto dalla possibile influenza diretta del governo russo.
Occorre ancora una volta ribadire come il provvedimento italiano sia seguito ad analoghe iniziative, partite dagli Stati Uniti già nel 2017, in Olanda nel 2018 e, con l’avvio della guerra tra Russia e Ucraina, anche in altre nazioni, tra cui Francia e Germania. Non si tratta quindi di un problema italiano, ma di un problema che l’Italia affronta da una posizione di evidente fragilità, dal momento che, a differenza di altri contesti, non dispone di una solida sovranità tecnologica.
Estremizzando il concetto, per gli Stati Uniti prendere una soluzione di questo genere è relativamente semplice, avendo sul proprio territorio molti vendor in grado di garantire soluzioni di sicurezza informatica di primissimo ordine. Nel contesto europeo, non tutte le nazioni sono in grado di contare sulle medesime certezze e devono molto spesso dipendere da provider la cui sede principale si trova in realtà extra UE. Non si tratta di una considerazione legata nello specifico alla sicurezza informatica, in quanto è già emersa in maniera evidente nel contesto della sovranità dei dati in cloud.
Il problema oggi relativo alla Russia domani potrebbe pertanto estendersi ad altre situazioni di natura geopolitica, e far emergere in maniera ancor più evidente questa criticità, per un problema che non nasce di certo dalla pura connotazione informatica.
Le mille insidie nella rete della PA, un ecosistema estremamente vulnerabile
I dubbi relativi alle soluzioni di sicurezza informatica della PA costituiscono soltanto la classica punta dell’iceberg in un quadro complesso, che andrà affrontato con un’attenzione e approccio orientato alla soluzione del problema, per concretizzare le missioni e i suggestivi slogan proposti dal PNRR, i cui obiettivi si propongono di garantire finalmente un’infrastruttura di servizi digitali in grado di agevolare la vita dei cittadini e rendere più competitive le imprese del nostro Paese.
Concentrarsi, in maniera oltretutto parziale, sui rischi di sicurezza informatica di origine nation-state, fermo restando la piena valenza sul piano politico, rischia di rivelarsi piuttosto superficiale dal punto di vista tecnologico, considerando lo stato in cui versa l’infrastruttura di rete pubblica del nostro Paese.
Non più tardi del 2020 (fonte: Rapporto Clusit 2021) oltre il 90% dei siti internet ricollegabili agli enti pubblici disponeva ancora del protocollo http, da tempo ritenuto obsoleto ed insicuro, al punto da essere generalmente sostituito dal più moderno ed efficiente https. Dal momento che, si presume, chi progetta e realizza nuovi siti per la PA sia ben cosciente di questo fatto, il dato pubblicato dal Clusit si rivela estremamente preoccupante, in quanto rileva che la PA mantiene di fatto online dei siti che non sono più aggiornati e pertanto non sono in grado di garantire le più elementari misure di sicurezza informatica.
In altri termini, la condizione in cui verserebbe la maggior parte dei siti pubblici potrebbe ad esempio consentire a qualsiasi cybercriminale di utilizzarli quali nodi di una botnet o come repository illegali per distribuire malware in maniera del tutto indisturbata, scoprendo la falla quando ormai il danno è stato ampiamente perpetrato. Questa considerazione coinvolge purtroppo anche per i ransomware che ogni giorno paralizzano l’attività di enti pubblici e privati, provocando ogni anno danni per miliardi di euro e importanti disservizi per i cittadini.
Non sorprende nemmeno più di tanto se, in un simile contesto, soltanto per citare gli episodi legati alla cronaca più recente, Ferrovie dello Stato venga duramente colpita da un attacco ransomware e pubblicamente ridicolizzata dai cybercriminali di Hive, oppure che il Mite (Ministero della Transizione Ecologica) debba disconnettere i propri servizi “a scopo cautelativo” dopo aver subito un attacco informatico.
Ancor più critica la posizione di Sogei, la società informatica a cui fa capo il Ministero delle Finanze, vittima di un misterioso blackout che ha messo fuori uso per due giorni i suoi data center, causando una notevole catena di disservizi a livello nazionale. Sogei vede tra i propri clienti decine di istituzioni di grande rilevanza strategica, tra cui la Presidenza del Consiglio, il Ministero delle Infrastrutture, l’Agenzia dell’Entrate e il Ministero degli Interni, oltre a fornire servizi fondamentali come la fatturazione elettronica, il green pass e, ironia della sorte, anche il sito del CSIRT (Computer Security Incident Response Team) nazionale.
Verso la strategia per la cybersicurezza italiana
Proprio in relazione a quanto accaduto al Mite, l’Agenzia per la Cybersicurezza Nazionale e la Polizia Postale hanno avviato un’indagine specifica. Sconsolato il Ministro della Transizione Ecologica, Roberto Cingolani, nel contesto di un intervento su Radio1: “Mentre vi parlo vi posso dire che abbiamo minacce esterne rilevate sulla rete informatica e per prudenza abbiamo dovuto sospendere il funzionamento di tutti i sistemi informatici del ministero”. Secondo Cingolani: “L’attacco al Mite conferma ancora una volta l’urgenza di avere nella PA strutture informatiche che rispettino finalmente dei principi di cybersicurezza allo stato dell’arte”.
Un concetto, l’urgenza, che non pare andare troppo d’accordo con la messa in efficienza dei sistemi informatici della Pubblica Amministrazione. Secondo una nota dello stesso Baldoni, riportata su Wired, si tratterebbe dell’ennesimo caso di “Estrema vulnerabilità dei sistemi digitali della PA, per sanare la quale è indispensabile un percorso virtuoso di risanamento che vede in prima linea l’Agenzia per la cybersicurezza, ma anche tutti gli altri soggetti ad ogni titolo coinvolti. Si tratta di un processo lungo e graduale che passa per misure tecniche, organizzative, investimenti anche in termini di assunzione, formazione e consapevolezza del personale”.
Se le premesse sono queste, il lavoro che attende l’Agenzia per la Cybersicurezza Nazionale si presenta pertanto estremamente gravoso e le sue responsabilità vanno ben oltre la portata del testo atteso nella circolare esplicativa del DL 14/2022.
A tal proposito Baldoni, nel corso di un’intervista ad Adnkronos, ha inoltre preannunciato che a maggio sarà pubblicata la Strategia per la Cybersicurezza Italiana, un documento che dovrebbe essere articolato in ben 86 punti programmatici da attuare entro il 2026, per tracciare delle linee guida su vasta scala che coinvolgeranno moltissimi ambiti in cui è attesa una significativa evoluzione nei prossimi anni: dal cloud alla rete 5G.