La guerra in Ucraina sta chiaramente avendo non solo un fortissimo impatto umanitario ma anche risvolti politici dato il recente decreto che cerca di salvaguardare la cybersecurity della pubblica amministrazione (PA). Parliamo del decreto Ucraina che è in corso di discussione in queste ore e del quale circola in rete già una prima bozza. Sono molte le aree che vengono interessate da questo provvedimento e oltre al tanto auspicato taglio delle accise, ci si inizia a preoccupare di uno degli asset fondamentali della Repubblica: le infrastrutture tecnologiche.
Le origini delle clausole tecnologiche del decreto Ucraina
Come avevamo anticipato, già nel 2017 il noto antivirus Kaspersky era stato oggetto di alcune accuse da parte dei paesi occidentali circa la propria indipendenza rispetto al governo Russo. Accuse prontamente negate dall’azienda russa ma che avevano comportato la rimozione del software dagli Stati Uniti. Al contrario l’Italia non aveva valutato come grave l’accusa. Infatti, nel nostro paese Kaspersky è largamente diffuso nei sistemi della pubblica amministrazione che includono, fra gli altri, anche Viminale, Ministero della Difesa e della Giustizia. Inoltre, il 31 gennaio di quest’anno ha certificato l’antivirus secondo lo standard Common Criteria EAL2+ che permette l’accesso anche alle istituzioni strategiche come l’intelligence.
Insomma, l’Italia ha ampiamente in uso Kaspersky tanto che nelle ultime settimane uno dei parlamentari ha avviato una interrogazione parlamentare per definirne meglio i confini. Ciononostante, l’azienda russa si è sempre definita indipendente e staccata dal potere governativo del paese in cui risiede.
L’istruttoria del Garante per la Protezione dei Dati Personali
Data la rilevanza strategica dei sistemi nei quali è installato e data la grande delicatezza del conflitto internazionale, anche il Garante della Privacy si è interessato al tema. Nei giorni scorsi, infatti, ha avviato una istruttoria per verificare rischi associati all’utilizzo del software. In particolare, l’obiettivo è cercare di capire quali dati degli utenti italiani siano in grado di arrivare nei server della casa madre a Mosca e quali siano state le richieste di acquisizione fatte da autorità governative a partire dal 1° gennaio 2021.
Il Governo vuole mantenere in questo modo la sovranità sui propri dati strategici senza che questi possano entrare in mani non autorizzate. Chiaramente questa idea non è possibile per le componenti hardware, delle quali siamo completamente dipendenti dall’industria estera. Invece, attraverso questo grave conflitto si sta rivedendo l’approccio al software, nel passato sempre demandato ad esterni.
La clausola sui sistemi informatici del decreto in Cdm
La bozza del Decreto Ucraina in discussione al Consiglio dei ministri dice:
“Diversificare l’utilizzo” dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche affinché “le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate, in conseguenza della crisi in Ucraina”.
Non si parla quindi di un vero è proprio bando di alcuni software russi ma più di una diversificazione delle aziende di software. Si allontanano, quindi, le ipotesi di spionaggio che erano comparse in rete nei giorni passati. Di sicuro, il conflitto in Ucraina ha aperto tanti temi di dibattito legati all’etica informatica e al corretto utilizzo dei dati personali e strategici. Temi che tornano periodicamente, come per l’emanazione del Regolamento GDPR, ma che ancora non hanno trovato risposte esaustive.
Ingegnere Informatico abilitato al Politecnico di Torino. Appassionato di sicurezza dei sistemi informativi. Curioso e mai stanco di imparare.
L’articolo Decreto Ucraina: cosa cambia per la PA a garanzia della cybersecurity è stato scritto su: Tech CuE | Close-up Engineering.