La direttiva, ampiamente preannunciata, è infine comparsa in Gazzetta Ufficiale: gli antivirus Kaspersky vanno eliminati dal giro della Pubblica Amministrazione come misura precauzionale per una maggior tutela della sicurezza e delle informazioni della PA italiana.
Fuori Kaspersky dalla PA
La premessa è chiara: “Con il decreto-legge 21 marzo 2022, n. 21, recante “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”, il Governo ha ritenuto, tra l’altro, la straordinaria necessità e urgenza di assicurare il rafforzamento dei presidi per la sicurezza, la difesa nazionale, le reti di comunicazione elettronica e degli approvvigionamenti di materie prime“. Non c’è una accusa diretta a Kaspersky, ma semmai un’ipotesi che vede la stessa Kaspersky potenzialmente vittima del contesto: qualora l’azienda produttrice di prodotti o servizi per la sicurezza, in quanto legata alla Federazione Russa, non fosse in grado di fornire servizi e aggiornamenti, la PA si troverebbe sprovvista della necessaria sicurezza e potrebbe manifestare una improvvisa fragilità.
L’obiettivo indicato è pertanto quello della diversificazione. Sono tre i brand che vanno eliminati dal portfolio della PA:
- Kaspersky Lab
- Group-IB
- Positive Technologies
Il testo prevede altresì raccomandazioni procedurali specifiche, con il faro generale della diversificazione con l’esclusione dei prodotti russi dal perimetro della sicurezza italiana.
La posizione di Kaspersky in tal senso è chiara:
Noi abbiamo ottenuto tutte le certificazioni internazionali che attestano la sicurezza del servizio, mentre non è mai stata fornita nessuna prova del contrario, per questo sono convinto che le recenti prese di posizione dei governo abbiano una natura politica e non tecnica.
Cosa devono fare aziende e privati?
Quel che per la PA è vera e propria prescrizione firmata dall’Agenzia per la Cybersicurezza Nazionale, per le aziende ed i privati diventa giocoforza valida indicazione di massima. Le alternative sono varie e può essere utile ragionare non solo in termini di offerte (è sufficiente seguire i link successivi), ma anche in termini di provenienza e posizionamento geopolitico:
- McAfee (USA)
- Norton (USA)
- Avira (Germania)
- Panda (Spagna)
- Avast (Repubblica Ceca)
- AVG (Olanda)
- BitDefender (Romania)
Il team CSIRT ha raccomandato fin dall’inizio di valutare attentamente le alternative senza corse al cambio di antivirus: non sussiste un pericolo immediato, ma evitare un software russo è a questo punto necessario onde evitare future possibili ripercussioni. Una scelta libera, insomma, ma una scelta da compiere.