Il caso Kaspersky ci racconta come siamo in pericolo (digitale)

“Dobbiamo liberarci da una dipendenza dalla tecnologia russa… dei sistemi antivirus prodotti dei russi e utilizzati dalle nostre pubbliche amministrazioni, per evitare che da strumento di protezione possano diventare strumento di attacco”, non fa riferimenti espliciti, ma le parole del sottosegretario alla Presidenza del Consiglio con delega alla Sicurezza nazionale, Franco Gabrielli, non lasciano dubbi su chi sia il bersaglio di questo monito, l’azienda di sicurezza informatica russa Kaspersky.

Famosa per i suoi sistemi antivirus, è stata fondata nel 1997, a Mosca, da Eugene e Natalya Kaspersky e Alexey De-Monderik, anche se la prima versione del suo software risale al periodo sovietico. Negli ultimi 26 anni, è diventata senza dubbio l'azienda russa di software più conosciuta al mondo. Allo stesso tempo, gestisce i propri team di ricerca e analisi - molto apprezzati - ed è diventata una fonte importante di informazioni sulle minacce e un contributo importante alla comunità informatica, soprattutto sul piano di, appunto, analisi e statistiche.

Ora, nel turbine della guerra che imperversa in Ucraina, però, l’affidabilità di questi sistemi e soprattutto di chi vi sta dietro è stata seriamente messa in dubbio.

È possibile che Putin possa utilizzare questi software come cavalli di Troia per diffondere segretamente malware?

Dubbi e insicurezze, dove si nasconde il pericolo?

Al momento, secondo una stima approssimativa, in Italia Kaspersky può vantare oltre 2mila partnership come fornitore del settore pubblico. Nell’elenco si contano forze dell’ordine, ministeri, comuni e altre aziende partecipate. Il tutto senza contare quelle private che fino a poco tempo fa contavano aziende come la Scuderia Ferrari – che ha però rimosso ogni menzione all’indomani dello scoppio del conflitto.

Il rischio di cui Gabrielli ha non troppo velatamente parlato è che – sotto pressioni da parte di Mosca – Kaspersky venga utilizzato per diffondere silenziosamente malware o spyware all’interno delle infrastrutture in cui è installato, in particolare quelle dei Paesi al momento “avversari” della Russia.

Non è un caso dissimile, concettualmente a quello che aveva visto contrapposti la cinese Huawei e il Governo americano, al tempo capitanato da Donald Trump. Una questione di sovranità digitale e di fiducia, ma anche di integrità del perimetro nazionale di difesa digitale.

D’altronde quella di appoggiarsi a un fornitore per portare attacchi cyber dirompenti non è una tattica confinata al mondo della teoria. Come spiega Pierguido Iezzi, CEO di Swascan (Tinexta Cyber): “I Criminal Hacker sono sempre in cerca di punti deboli per massimizzare i profitti dei loro attacchi. Colpire la supply chain digitale è tra le armi più devastanti nell’arsenale delle armi digitali. Solo la scorsa estate, Kaseya, un’azienda americana con migliaia di clienti in tutto il mondo, era stata attaccata dal gruppo di criminali informatici REVIL. Violando parte del codice dell’azienda, questi erano riusciti a diffondere rapidamente un ransomware lungo la filiera digitale, andando a bloccare l’attività di migliaia di aziende in tutto il mondo (tra cui supermercati) per diversi giorni. La potenza di fuoco di un attacco alla supply chain digitale è veramente spaventoso.”.

Nei quindici giorni da quando la Russia ha iniziato la sua guerra contro l'Ucraina, Kaspersky ha cercato di rimanere neutrale, anche se il suo fondatore, Eugene Kaspersky, è stato messo alla gogna la scorsa settimana dopo aver fatto riferimento alla guerra, in cui la Russia è chiaramente l’invasore, come la "situazione attuale".

La lente d’ingrandimento sotto cui è inevitabilmente finita Kaspersky, comunque, non è solo quella delle autorità italiane.

Rischi indiretti

Solo pochi giorni fa, infatti, Kaspersky è stato costretta a negare di essere stata oggetto di un attacco informatico da parte di hacktivisti ucraini, dopo che affermazioni in tal senso erano apparse sui social media la sera di giovedì 10 marzo.

L'azienda ha parlato dopo che un gruppo di hacktivisti noto come Network Battalion 65, o NB65 - che potrebbe avere legami con il collettivo Anonymous e si era resa protagonista dell’attacco contro l’agenzia spaziale russa Roscosmos - ha affermato di aver divulgato il codice sorgente del prodotto Kasperksy.

Nella sua dichiarazione, il gruppo ha detto che avrebbe continuato la sua campagna fino a quando la Russia non avesse cessato le ostilità contro l'Ucraina.

NB65 è noto per aver partecipato attivamente a precedenti attacchi informatici contro obiettivi statali russi nelle ultime due settimane, anche se il successo di questi è stato contestato dalle autorità russe.

In una dichiarazione diffusa su Twitter, un portavoce di Kaspersky ha detto che: “gli esperti di Kaspersky hanno controllato le informazioni pubblicate di recente, che presumibilmente contenevano il codice sorgente dei prodotti Kaspersky, il risultato dell'analisi conferma che le affermazioni sono infondate - la fuga di notizie non contiene il codice sorgente dei prodotti dell'azienda. Invece, il dump analizzato contiene dati pubblicamente disponibili dai server Kaspersky. Il codice sorgente dei prodotti Kaspersky, insieme agli aggiornamenti dei database di sicurezza e AV, le distinte base del software, sono tutti disponibili per la revisione nei Transparency Center aperti in tutto il mondo come parte della Kaspersky Global Transparency Initiative".

Che l’attacco di NB65 sia un fuoco di paglia o meno, è innegabile come l’azienda sia ora in una situazione poco invidiabile, schiacciata tra le pressioni dei due schieramenti e con l’aggiunta problematica degli hacktivisti di Anonymous.

Anche se questa compromissione del codice sorgente non si è rivelata veritiera, apparentemente, rimane comunque innegabile che al momento aleggino non pochi dubbi sull’organizzazione.

In un momento di prolungata allerta, anche sul fronte digitale, ricorda Iezzi, è comunque “è assolutamente prioritario avere un perimetro di difesa strutturato per livelli. Non a caso parliamo di tre pilastri della cyber security (sicurezza predittiva, preventiva e proattiva). È cruciale aderire a questi dettami che operano come ridondanza l’uno dell’altro, anche in casi estremi come quelli che potrebbero essere causati da un attacco verso una supply chain. Se perfettamente implementati, laddove uno dovesse fallire gli altri sarebbero in grado di compensare. La chiave è proprio quella di giocare su una difesa a strati e in profondità con un approccio che evolve il concetto, ormai consolidato, di security by design e by default passando a security by reaction e security by detection”.

Sovranità digitale o colonia digitale?

Rimane, in tutta questa situazione molto fluida e complessa, il fil rouge dalla questione sovranità digitale. Lo scenario ucraino ha scaraventato ancora una volta il dibattito in prima pagina, ma le vie da percorrere per dirimere la questione sono irte di ostacoli.

D’altronde oggi tutti noi utilizziamo inconsciamente centinaia di software e hardware provenienti da tutto il mondo, sono le leggi dettate dal mercato. Come ricorda Iezzi: “L’Italia e l’Europa, per necessità, contingenze e scelte politiche ed economiche, sono al centro di due blocchi tecnologici. Utilizziamo soluzioni provenienti dai due poli opposti geograficamente e anche, al momento, politicamente. Siamo ormai completamente dipendenti, o meglio viviamo una colonizzazione tecnologica. La digitalizzazione pervasiva, l’interconnessione e iper-connessione di tutto il nostro quotidiano privato e lavorativo rende abbastanza poco percorribile la possibilità di conseguire l’agognata Sovranità Digitale Europea, ancora meno probabile quella Nazionale”.

Non a caso, continua Iezzi, la guerra in Ucraina abbia sollevato problematiche sull’affidabilità di prodotti digitali provenienti da quella che è – al momento – la “parte opposta”.

“Non dobbiamo dimenticare in fretta il caso Trump-Huawei, ricordiamoci che ogni singolo oggetto dotato di connessione a internet – dalla macchina del caffè intelligente a un assistente vocale – potrebbe essere utilizzato come contenitore dormiente per inserire uno spyware o un malware. È uno scenario che rende la realizzazione di uno scudo di sovranità digitale altamente difficoltoso – anche se possibile – ma non senza ingenti sforzi e – soprattutto – tempi d’implementazione prolungati”.

L’economia globalizzata dell’occidente rende tutto molto difficoltoso. Come si può parlare di Sovranità digitale e/o di “esclusione” di tecnologie se poi questi stessi software e hardware sono nelle nostre abitazioni. Tecnologie interconnesse tra loro nelle nostre mura domestiche che quotidianamente utilizziamo per lo smart working?

Ci sono comunque note positive, continua Iezzi: “In Italia l’Agenzia per la cybersicurezza nazionale, guidata dal direttore Baldoni, ha fatto passi importanti e ha già messo in campo azioni decisive per rafforzare la resilienza cyber a livello di nazione attraverso una attività capillare di informazione e indicazioni necessarie per garantire la corretta resilienza aziendale. La stessa dichiarazione del vice direttore Ciardi sulle indicazioni da seguire per gli utenti forniscono una indicazione chiara indicazione della conferma dell’attuale criticità”.

Nel mentre, conclude l’esperto: “Dobbiamo iniziare a ragionare se valga la pensa creare delle sfere di Sovranità Digitale più contenute, soprattutto a livello aziendale: Una sovranità digitale delle infrastrutture critiche. Da utilizzare come blocchi di partenza per costruire quello che sarà un perimetro nazionale più resiliente ed autonomo da ingerenze e agende politiche di Paesi terzi. Siamo di fronte ad una scelta netta, dobbiamo decidere se percorre la complessa strada dell’indipendenza tecnologica o se abbassare il nostro standing a colonia digitale…”

Un concetto e un modello di Sovranità Digitale Aziendale che di fatto potrà essere modello di riferimento per lo stesso mondo della PMI italiana, vero tessuto imprenditoriale italiano.