Da tempo attesa, la decisione ufficiale è arrivata. Il Dipartimento del Commercio del Governo americano ha deciso di bannare Kaspersky Lab, con un provvedimento che avrà effetto dal prossimo 29 settembre, quando sarà vietata, oltre alla vendita (20 luglio) il download di qualsiasi aggiornamento software delle soluzioni della multinazionale della cybersecurity, notoriamente di marca russa.
I cento giorni che separano il provvedimento dalla sua esecuzione serviranno alle aziende clienti di Kaspersky che operano nel territorio statunitense per individuare alternative tecnologiche e commerciali utili a dismettere le attuali soluzioni di cybersecurity da loro implementate.
LEGGI ANCHE: Intelligenza Artificiale, i rischi e i benefici secondo Kaspersky
I motivi del ban di Kaspersky
L’amministrazione Biden, attraverso la voce del segretario al Commercio, Gina Raimondo, ha motivato la decisione di vietare la vendita e la circolazione dei prodotti di Kaspersky Lab negli Stati Uniti d’America, citando il fatto che l’accesso privilegiato di un software di cybersecurity potrebbe consentire di esfiltrare dati e informazioni sensibili, oltre alla capacità di installare malware capace di compromettere i sistemi IT di infrastrutture critiche, enti pubblici ed enti governativi, mettendo seriamente a rischio la sicurezza nazionale.
Secondo quanto espresso da Gina Raimondo in una telefonata di briefing con la stampa: “La Russia ha dimostrato di avere la capacità – e ancora di più, l’intento – di sfruttare aziende russe come Kaspersky per raccogliere e trasformare in armi le informazioni personali degli americani”.
La mossa dell’amministrazione Biden giunge a capolino di un’indagine durata circa due anni, coordinata e svolta dal Dipartimento del Commercio degli Stati Uniti, che avrebbe scoperto come i prodotti di Kaspersky Lab potrebbero acquisire “preziose informazioni commerciali statunitensi, inclusa la proprietà intellettuale“, insieme a dati personali sensibili di cittadini statunitensi, e consegnarli al governo russo per “uso dannoso“.
Il provvedimento fa inoltre seguito ad altre iniziative di salvaguardia intraprese dal governo americano nei confronti di Kaspersky ed altre aziende russe, ancor prima dell’elezione di Biden. Occorre infatti ricordare come già nel 2017, la Homeland Security aveva emesso una direttiva che richiedeva alle agenzie federali di rimuovere i prodotti Kaspersky sui loro sistemi IT.
Sulla base di una notizia che voleva lo sfruttamento del software antivirus di Kaspersky nel contesto di un attacco nation state di matrice russa per rubare materiale classificato da un sistema della NSA, era nata una diatriba che aveva portato Kaspersky Lab a proporre l’apertura del proprio codice sorgente, ai fini che tutte le terze parti interessate potessero ispezionarlo per confermare l’assurdità dell’accusa.
Nel 2018, il National Defense Authorization Act (NDAA) ha espressamente vietato l’uso di Kaspersky da parte dei federali. Nel 2022, a seguito dell’avvio del conflitto russo-ucraino e della crescente minaccia cyber di natura nation state e hacktivist, il Governo americano ha aggiunto i prodotti e i servizi Kaspersky al “Elenco di apparecchiature e servizi di comunicazione che rappresentano una minaccia per la sicurezza nazionale“.
LEGGI ANCHE: “Decreto Kaspersky”: grande attesa per la circolare ACN
Una scelta teorica e politica, non supportata da una valutazione oggettiva
Nel corso di una dichiarazione ufficiale, Kaspersky ha affermato come il Governo americano: “Abbia preso la sua decisione sulla base dell’attuale clima geopolitico e delle preoccupazioni teoriche, piuttosto che su una valutazione completa dell’integrità dei prodotti e dei servizi Kaspersky“, negando fermamente di essere coinvolto: “In attività che minacciano la sicurezza nazionale degli Stati Uniti“.
Secondo quanto espresso dal provvedimento del Dipartimento del Commercio, a Kaspersky Lab Inc., sussidiaria USA del vendor, sarà vietato: “Fornire direttamente o indirettamente software antivirus e prodotti o servizi di sicurezza informatica negli Stati Uniti o a persone statunitensi“.
Oltre alla sussidiaria statunitense di Kaspersky, nel provvedimento del Governo americano rientrano anche AO Kaspersky Lab, OOO Kaspersky Group (Russia), e Kaspersky Labs Ltd (Regno Unito), per via della loro: “Cooperazione con le autorità militari e di intelligence russe a sostegno degli obiettivi di cyber intelligence del governo russo“. Ciò renderà problematico per gli americani fare affari legali con Kaspersky anche al di fuori del territorio americano.
Anche le vendite di prodotti white-label, che integrano la tecnologia di Kaspersky in software venduti da un brand differente, saranno espressamente vietate, anche se è stato prudenzialmente precisato come il Dipartimento del Commercio informerà le aziende potenzialmente coinvolte prima di intraprendere azioni esecutive contro di loro.
Dal canto suo, Kaspersky, nel contesto di un comunicato stampa pubblicamente diffuso, ha precisato di non essere in alcun modo: “Coinvolta in attività che minacciano la sicurezza nazionale degli Stati Uniti e, infatti, ha dato un contributo significativo con la sua segnalazione e protezione da una varietà di attori di minacce che hanno preso di mira gli interessi e gli alleati degli Stati Uniti. L’azienda intende perseguire tutte le opzioni legalmente disponibili per preservare le sue attuali operazioni e relazioni”.
Oltre a confermare le intenzioni di totale trasparenza già dimostrate nel voler concedere il codice sorgente delle proprie applicazioni all’analisi di fiduciari terzi, il colosso della cybersecurity ha espresso pienamente il proprio disappunto nei confronti di una decisione ritenuta puramente politica, sottolineando come il ban finirà soltanto per produrre l’effetto contrario alle intenzioni, finendo per favorire l’azione dei cybercriminali.
Secondo Kaspersky infatti: “L’impatto principale di queste misure sarà un beneficio per la criminalità informatica. La cooperazione internazionale tra esperti di sicurezza informatica è fondamentale nella lotta contro il malware. Questo provvedimento limiterà tali sforzi. Inoltre, toglie la libertà che i consumatori e le organizzazioni, grandi e piccole, dovrebbero avere di utilizzare la protezione che desiderano, in questo caso costringendoli ad allontanarsi dalla migliore tecnologia anti-malware del settore, secondo il parere rilasciato da molti test indipendenti. Ciò causerà un drammatico sconvolgimento per la sicurezza dei nostri clienti, costretti a sostituire urgentemente la tecnologia su cui hanno fatto affidamento per anni”.
In merito alla vicenda, l’autorevole media tech americano The Register, non senza una punta di ironia, ha evidenziato un fatto particolarmente curioso: “Nel frattempo, l’amministrazione Biden non ha risposto ai ripetuti fallimenti di Microsoft in materia di sicurezza informatica, che i legislatori hanno pubblicamente ritenuto una seria minaccia per la sicurezza nazionale“. Il media americano ha ricordato come: “Queste carenze sono state l’argomento di un’ audizione al Congresso la scorsa settimana, e un’indagine della Homeland Security che ha scoperto che gli “errori evitabili” di Microsoft hanno permesso alle spie informatiche di Pechino di rubare decine di migliaia di e-mail sensibili dalle caselle di posta Exchange Online ospitate da Microsoft di funzionari di alto rango del governo degli Stati Uniti”.
Per rispondere a queste critiche, la stessa Microsoft si è da tempo attivata con l’istituzione della Secure Future Initiative, che ha l’obiettivo di implementare in azienda una solida cultura della sicurezza basata su tre pilastri fondamentali: Secure by Design, Secure by Default e Secure Operations.
