E’
molto interessante notare come l’unione europea, spinta dal sacro
fuoco della cyber defence, si sia spinta in passato in acque
tempestose.
E’
di questi giorni un articolo firmato da Pierluigi Paganini su
Security Affairs in cui si rende giustizia alla società russa
Kaspersky, accusata dal Parlamento Europeo di produrre dei sistemi
riconosciuti pericolosi, si legge infatti nel « Report on
cyber defence» n. A8-0189/2018 dello scorso 25 maggio 2018
(pag. 19 e 20) :
“Calls
on the EU to perform a comprehensive review of software, IT and
communications equipment and infrastructure used in the institutions
in order to exclude potentially dangerous programmes and devices, and
to ban the ones that have been confirmed as malicious, such as
Kaspersky Lab”
Il
Report, interessantissimo per tanti aspetti, in particolare perché
da evidenza dei programmi europei in corso di sviluppo nel settore
cyber é stato criticato da vari stati che non hanno riscontrato
attività di spionaggio condotte dai software Kaspersky ai danni dei
clienti (per lo meno niente di diverso da quanto facciano tutti,
raccolta di informazioni e Analisi allo scopo di prevenzione e
individuazione di minacce cyber ).
Il
report é stato ancora oggetto di interesse da parte di un deputato
europeo belga, Gerolf Annemans, che il 6 marzo scorso ha chiesto
spiegazioni relative a quanto affermato nel Report :
“Designating
programmes and companies as ‘dangerous’ from the point of view of
cyber defence
On
13 June 2018, the European Parliament adopted a Resolution
on
cyber defence. Paragraph 76 names a private business, namely
Kaspersky Lab, whose programmes it brands ‘dangerous’ and even
‘malicious’, without any further explanation.
1.
Does the Commission know of any reason other than certain press
articles that justifies the labelling of Kaspersky as ‘dangerous’
or ‘malicious’, especially since Member States such as Germany,
France
and
Belgium
do
not perceive any problems with cooperation with the firm concerned.
2.
Does the Commission know whether any programmes and devices other
than those of Kaspersky were discussed with a view to an EU ban?.
3.
Does the Commission know of any reports or opinions of cyber experts
or consultancies about Kaspersky Lab, and can it give me references
to them? “
Stimolando
di fatto la risposta scritta della Commissione Europea che con la
risposta n. P-001206/2019(ASW) ha dovuto
fare marcia indietro affermando di fatto di essersi sbagliati.
La
Commissione infatti ha risposto di « … Commission
is not in possession of any evidence regarding potential issues
related to the use of Kaspersky Lab products. The Commission is
following closely debates and developments concerning the security of
IT products and devices in general, including discussions about
potential measures related to access to the EU market. The EU is
an open market, which can be accessed by foreign companies in
compliance with EU rules. In addition, Member States have the
competence to decide whether to exclude companies from their markets
for national security reasons. Regarding reports or opinions
published concerning the issue raised by the Honourable Member, the
Commission did not commission any reports.”
Ora,
mi preme soffermarmi su alcune considerazioni:
-
a seguito del report del 2018 diversi paesi europei hanno
bandito i prodotti Kaspersky dal proprio mercato nazionale, é il
caso di UK, Lituania e Paesi Bassi. Il Report del 2018 infatti non
lasciava adito a dubbi. Il comportamento ha dunque arrecato danno
alla Società Kaspersky che probabilmente farà valere le sue ragioni
in altra sede (magari legale !) ;
-
la risposta della Commissione indica chiaramente di non
possedere evidenze, contrariamente a quanto precedentemente
affermato, ma aggiunge che non sarà commissionato alcun Report per
approfondire la questione, relegandola cosi a « problema
risolto, non degno di altra pubblicità… », cosa per lo meno
dubbia. Infatti, sia che l’errore si sia verificato inizialmente
indicando kaspersky Lab come non degna di fiducia, sia che l’errore
sia commesso ultimamente, sarebbe logico dare luogo ad
approfondimenti che dovrebbero essere resi pubblici in quanto vi
potrebbero essere delle conseguenze sulla sicurezza cyber dei paesi
membri (utilizzare o meno un prodotto significa infatti fare policy
di sicurezza e non solo !!) ;
-
si parla tanto dei prodotti di Cina e Russia e di presunte
«problematiche di sicurezza» legate alla collaborazione tra le
società e gli Stati di reciproca appartenenza (vedasi Huawey e
Kaspersky… solo a titolo di esempio) ma non si parla affatto di
quanto é accaduto nel tempo con prodotti di produttori occidentali e
dei presunti atti di spionaggio da loro compiuti, perché? Se
l’interesse é realmente quello di proteggersi, allora nella lista
del Report Cyber UE potevano essere inclusi tanti altri «sospetti»…
Tutto
cio’ per dire che, forse, é opportuno approfondire e fare
attenzione ai giudizi affrettati, spesso forieri di decisioni errate
e alle quali non sempre é possibile fare fronte semplicemente
innestando la marcia indietro. A volte la mancanza di fiducia
(immeritata) puo’ causare ferite difficili da rimarginare.
Alessandro Rugolo
Per approfondire: