di Andrea Giustini
E’ notizia di ieri che il Garante per la Protezione dei Dati Personali ha aperto un’istruttoria nei confronti di Kaspersky. L’obbiettivo sarebbe quello di valutare il modo in cui la società del noto antivirus tratta i dati personali di utenti italiani, e capire se, dato lo scenario bellico in Ucraina, vi siano dei rischi.
Non è tuttavia la prima volta che, di recente, vediamo associare il nome Kaspersky all’idea di pericolo. In pratica questa settimana è stata disseminata di “allarmi”.
Il 13 marzo scorso, il Corriere se ne usciva con “Kaspersky va disistalato? L’allarme di Gabrielli”. Nel pezzo da un lato si rammentavano le parole del sottosegretario alla Sicurezza Nazionale: << Dobbiamo liberarci da una dipendenza dalla tecnologia russa. Per esempio quella dei sistemi antivirus prodotti dei russi e utilizzati dalle nostre pubbliche amministrazioni, per evitare che da strumento di protezione possano diventare strumento di attacco >>, e dall’altro si riportavano quelle di Corrado Giustozzi. Interpellato dal giornale, dichiarava che nell’attuale contesto bellico Kasperky potrebbe ricevere preoccupanti pressioni dal Governo russo: << Non penso tanto a uno scenario di spionaggio attivo, quando piuttosto a un malware creato dagli stessi russi che l’antivirus potrebbe volontariamente non rilevare e lasciar passare >>.
Il 15 marzo l’Agenzia Nazionale per la Cyber Sicurezza (Acn) esprimeva la necessità di procedere urgentemente ad un’analisi dei potenziali pericoli derivanti da antivirus russi. Il Sole 24 Ore, ad esempio, aveva titolato a riguardo: “Alto Rischio con gli Antivirus Russi”.
Ma forse la notizia più significativa è venuta dall’estero. Martedì, l’Ufficio Federale per la Sicurezza delle Informazioni tedesco (BSI) non solo ha messo in guardia contro l’uso dei prodotti Kaspersky. Ma ha anche esplicitamente consigliato ai propri utenti di sostituirli con alternative. Tutte queste azioni e dichiarazioni importanti, e certamente l’allerta emotivo subito suscitato da molte testate giornalistiche, hanno creato un’atmosfera di “kasperskyfobia”, ma non è chiaro se sia completamente giustificata.
Kaspersky è una società privata, non legata al Cremlino. Opera in 200 fra territori e paesi diversi. Ha 34 sedi sparse per il mondo, e un team composto da 4.000 persone. Serve qualcosa come 400 milioni di utenti e 240 mila clienti corporate, fra aziende private e pubbliche.
Dal 2017, quando in piena era Trump aleggiava lo spettro mediatico del così detto “Russia Gate”, poi rivelatosi del tutto infondato, la società ha compiuto decise mosse per mostrare la propria trasparenza e affidabilità al mondo. In modo analogo ad oggi, fu infatti ingiustificatamente accusata di rappresentare un potenziale pericolo per gli utenti, solo “perché russa”. L’Agenzia Federale per la Sicurezza Nazionale degli Stati Uniti arrivò a metterne al bando prodotti e soluzioni informatiche. Kaspersky ha così creato all’ATP logbook, con l’obiettivo di creare un registro delle principali cyber-campagne malevole prese in esame dal Global Research and Analysis Team (GReAT), un gruppo selezionato di esperti che opera in tutto il mondo. Ha poi spostato il proprio Datacenter a Zurigo, in zona “neutra” per così dire.
Soprattutto, ha dato vita alla “Global Transparency Initiative”, con tre obiettivi: proteggere i clienti dalle minacce informatiche, a prescindere dalla loro origine o scopo; verificare l’attendibilità dei propri prodotti, dei processi interni e delle operazioni aziendali, e non da sola, ma coinvolgendo la comunity di sicurezza informatica. Infine introdurre nuovi meccanismi nell’azienda, che permettano di dimostrare l’affidabilità e l’efficienza di Kaspersky nell’affrontare potenzialmente qualsiasi problema di sicurezza.
Per far capire il grado di relazione che col tempo ha intessuto con altre realtà globali, anche e soprattutto occidentali, va detto che Kaspersky contribuisce ad attività di ricerca di aziende come Adobe, AlienVault Labs, Novetta, CrowdStrike, OpenDNS, e che la stessa Microsoft l’ha inserita nell’elenco delle Top Vulnerability Contributors. Nella lotta al cyber crimine, collabora con l’Interpol, Europol, The City of London Police, The National High Tech Crime Unit (NHTCU) del National Police Corps olandese, e la Microsoft Digital Crimes Unit, così come i Computer Emergency Response Team (CERT).
Tanto per citare qualcosa di più vicino a noi italiani, collabora persino con il team Ferrari di Formula Uno.
Sono quindi comprensibili le parole del fondatore, Eugene Kaspersky, in risposta alla citata decisione del BSI tedesco nei confronti della società. In una lettera aperta pubblicata da Spiegel, afferma che sono state fatte illazioni contro Kaspersky non supportate da alcuna prova oggettiva o dato tecnico.
<< Kaspersky considera la decisione puramente politica, e forse una decisione non presa dalla stessa BSI. […] E’ ironico che questa organizzazione, che sostiene l’obiettività, la trasparenza e la competenza tecnica […] abbia deciso di farlo letteralmente da un giorno all’altro o sia stata costretta ad abbandonare questi principi >>.
E ancora: Eugene Kaspersky ha dichiarato senza mezzi termini che la decisione della BSI è un attacco ingiustificato alla sua azienda e ai suoi dipendenti, che si trasformerà in un boomerang: indebolimento della sicurezza IT in Germania e cecità per gli esperti di sicurezza europei, che non saranno più in grado di ricevere dati sulle minacce da tutto il mondo, in particolare proprio dalla Russia.
Effettivamente, anche dando un’occhiata al contesto italiano, non si può non notare che nella raccomandazione della stessa Acn, sul sito ufficiale, è scritto che sarebbe sì “opportuno considerare le implicazioni di sicurezza derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa”. Ma anche che al momento “non vi sono evidenze oggettive dell’abbassamento della qualità dei prodotti e dei servizi tecnologici forniti”.
Lo stesso Giustozzi, nell’intervista de il Corriere, ammette che l’antivirus russo ha superato gli screening effettuati presso l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione che fa capo al Ministero dello Sviluppo economico. Screening << fatti da professionisti, che utilizzano anche tecniche sofisticate come il “reverse engineering” >>. E anche che negli ultimi anni << Kaspersky ha offerto la possibilità di esaminare i suoi codici sorgenti a persone accreditate >>. Non manca nemmeno di dire che il problema infondo è politico, e non strettamente tecnico.
Se quelli contro Kaspersky fossero davvero sospetti o decisioni solo di natura politica, dettati dal contesto di guerra attuale, e non basati sulla presenza di un pericolo reale, ci si chiede quali ricadute informatiche, economiche e occupazionali potrebbero avere. Ma anche in termini di reputazione per l’azienda stessa o di pregiudizio per i prodotti e in generale le persone russe. Da una russofobia ingiustificata, carica più di emotività che di fatti, non ha da perderci solo Kaspersky, ma tutti quanti.