È stato pubblicato in Gazzetta Ufficiale il decreto-legge ‘Ucraina’ con cui il Governo, di fatto, impone nelle Pubbliche amministrazioni il divieto di usare l’antivirus Kaspersky e tutti gli altri software di aziende legate alla Federazione Russa. C’è da dire che l’esecutivo motiva il ban, non per il rischio di veicolazione di malware o captatori informatici attraverso hardware e software realizzati da società russe, ma in modo meno allarmistico: come se le aziende russe di IT dovessero chiudere il rubinetto a causa del conflitto in corso. Ecco la motivazione contenuta del decreto-legge:
Per “prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti, in conseguenza della crisi in Ucraina”, allora “le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso”.
La circolare dell’Agenzia cyber indicherà alle Pa hardware e software “sicuri”
Ora, che il decreto-legge è in vigore tutte le Pubbliche amministrazioni, centrali e locali, come fanno a scegliere la valida e sicura alternativa a Kaspersky? Ricordiamo che sono 2.297 gli acquirenti pubblici italiani del software sviluppato dalla società, con headquarter a Mosca, fondata e guidata dal russo Eugene Kaspersky.
Sarà l’Agenzia per la Cybersicurezza Nazionale con una circolare ad indicare alle Pa hardware e software “sicuri”.
Nel dettaglio, il decreto-legge prevede:
“Le categorie di prodotti e servizi sono indicate con circolare dell’Agenzia per la cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza:
- sicurezza dei dispositivi (endpoint security),
- ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR);
- «web application firewall» (WAF)”.
In questo modo il governo ha rafforzato la disciplina cyber nella PA ed ha introdotto la strategia della diversificazione delle soluzioni di sicurezza informatica. Occorre, però, attendere la fine di giugno 2022 per vedere operativo, sotto la gestione dell’ACN, del Centro di Valutazione e Certificazione Nazionale: compito del CVCN sarà la valutazione di beni, sistemi e servizi ICT destinati a essere impiegati su infrastrutture che supportano la fornitura di servizi essenziali o di funzioni essenziali per lo Stato. Solo con questa attività di verifica del CVCN sarà possibile trovare, effettivamente, backdoor, bugdoor e la ‘pistola fumante’ all’interno delle tecnologie che possano mettere a rischio la sicurezza nazionale?