Cyber sicurezza nazionale: dati e riflessioni sul divieto all’uso di Kaspersky

Il temuto Kaspersky è stato dimenticato dalle nostre amministrazioni come raccomandato ad aprile dal governo italiano? A quanto pare no

Un interessante post su Twitter mi accende immediatamente una lampadina su un fatto che stava passando un po’ al dimenticatoio.

Come siamo messi nella pubblica amministrazione italiana con l’utilizzo di Kaspersky?

Se vi state chiedendo perché questa domanda, faccio un brevissimo sommario dei fatti precedenti. Il 26 aprile 2022 viene presentata in Gazzetta Ufficiale una circolare dell’Agenzia per la Cyber sicurezza Nazionale, firmata dal prof. Roberto Baldoni, nella quale si esorta le pubbliche amministrazione a valutare protezioni alternative a Kaspersky e soluzioni in generale fornite da aziende russe.

L’ispirazione di questa circolare era l’acuirsi della guerra russa contro l’Ucraina e l’Italia, impegnata negli accordi NATO, ha deciso di seguire il filone americano prevedendo di correre dei rischi (non precisati), nel continuare le relazioni commerciali con il colosso mondiale della sicurezza informatica.

Sono passati quasi 5 mesi da quando quella circolare è diventata legge. Quindi, torniamo al punto, cosa è successo in questi mesi? L’Italia sta rispettando quanto disposto dall’ACN, per proteggere le proprie infrastrutture pubbliche?

Sì, Kaspersky in Italia lo usiamo ancora

Ovviamente indagare sull’utilizzo al lato pratico, negli uffici delle PA italiane è cosa più complicata, ma come ispirato dai post successivi, all’interno del thread segnalato sorpa, mi sono preso la briga di setacciare il portale dell’Anticorruzione (ANAC – Autorità Nazionale Anticorruzione) che espone tutti i contratti pubblici appaltati o in fase di appalto della pubblica amministrazione.

Semplicemente filtrando la parola “Kaspersky” vengono fuori un certo numero di contratti (per la maggior parte in fase di aggiudicazione, ma per i quali è stato appunto pubblicato il bando), proprio relativi al già bannato antivirus.

Così ho contato le righe relative ad acquisti e rinnovi dalla data del 26 aprile (anche se il pericolo venne paventato dall’ACN già da prima):

  • 34 pubbliche amministrazioni (per la maggior parte scuole, comuni e consorzi pubblici di servizi) continuano ad acquistare tecnologie Kaspersky.
  • 3 altre PA invece hanno intrapreso la strada della sostituzione con altre tecnologie.

Quello che emerge dunque è un chiaro segnale della mancata osservazione di quelle che sono le disposizioni in materia di cybersecurity, oppure gli enti, ai quali appunto è stata lasciata autonomia decisionale, seppur con questo chiaro avviso, hanno scelto di continuare a valutare positivamente le tecnologie Kaspersky.

A questo punto viene naturale chiedersi se cinque mesi possano essere pochi per effettuare dei passaggi da una tecnologia all’altra, ma di certo si nota che sono abbastanza per effettuare nuovi acquisti, sempre rivolti all’azienda russa.

Sarà sicuramente interessante continuare a seguire la vicenda e capire se veramente Kaspersky è stato un problema oppure no. E se no, perché l’Italia ha emesso comunicazioni e decreti in favore della sua sostituzione?