Il colosso software è la prima azienda russa a entrare nella entity list di pericoli per la sicurezza nazionale, dominata dalle aziende cinesi (cui se ne aggiungono altre due). Così anche Washington si prepara a estirpare l’antivirus russo dal proprio ciberspazio
A un mese dall’inizio dell’invasione russa dell’Ucraina, Kaspersky è la prima società russa a entrare nella entity list degli Usa, che è popolata perlopiù da aziende cinesi come Huawei e ZTE. La Federal Communications Commission ha dato l’annuncio venerdì, in una mossa che designa il software antivirus russo – ma anche China Mobile e China Telecom – come un “rischio inaccettabile per la sicurezza nazionale degli Stati Uniti”.
La presidente della Fcc Jessica Rosenworcel ha dato voce alla propria soddisfazione in un comunicato. L’aggiunta di China Mobile, China Telecom e Kaspersky, ha detto, “aiuterà a proteggere le nostre reti dalle minacce poste da entità cinesi e russe, a loro volta sostenute dai [rispettivi] Stati, che perseguono attività di spionaggio e altre volte a danneggiare gli interessi dell’America”.
Tre giorni prima il presidente Joe Biden aveva suonato l’allarme riguardo al rischio di ciberattacchi dalla Russia, invitando le aziende a potenziare le proprie difese cyber. Ma non è solo una misura cautelare: l’aggiunta di Kaspersky alla entity list è anche un modo per inibire lo sviluppo tecnologico delle aziende e dello Stato che le supporta, vietando alle aziende statunitensi di vendergli componenti senza l’approvazione del governo. Motivo per cui anche le due telco cinesi hanno subito la stessa sorte.
A ogni modo, la Fcc ha spiegato che l’aggiunta di Kaspersky alla lista nera si basa su una decisione del 2017, in cui il Department of Homeland Security (il dipartimento per la sicurezza interna, ndr) aveva bandito i prodotti dell’azienda russa dagli organi del governo statunitense. Teoricamente, secondo una legge del 2021, l’ultimo sviluppo fa sì che nessun software Kaspersky possa essere presente nelle reti di telecomunicazioni americane.
In un comunicato il fornitore del software ha dichiarato che la sentenza del 2017 era “incostituzionale, basata su accuse infondate e priva di qualsiasi prova pubblica di atti illeciti da parte dell’azienda”. L’annuncio di venerdì sarebbe una “risposta al clima geopolitico piuttosto che una valutazione completa dell’integrità dei prodotti e servizi di Kaspersky”.
Nulla di nuovo: sono anni che il fondatore dell’azienda Eugene Kaspersky insiste sulla distanza tra la “casa madre” dell’antivirus e il Cremlino. Il colosso russo è impegnato a promuovere il proprio candore dal 2017, con un programma noto come Global Transparency Initiative. Nel 2020 ha completato lo spostamento delle operazioni di data processing dalla Russia alla Svizzera e ha aperto un centro di verifica – dove gli addetti ai lavori possono esaminare il codice sorgente dei prodotti software – in nord America.
Ma alla luce dell’invasione, e nonostante i software di Kaspersky siano usatissimi da multinazionali e enti governativi in giro per il mondo (inclusi quelli italiani), sono tanti gli Stati che non si fidano più. La decisione americana segue di pochi giorni quelle di Italia e Germania, che stanno lavorando per estirpare il software russo dalle proprie propaggini e hanno raccomandato alle proprie aziende di affidarsi ad altri fornitori.
Non è solo il tentativo di ridurre la superficie d’attacco informatico che il Cremlino potrebbe sfruttare: questa spinta si allinea al più ampio movimento “spontaneo” con cui Stati e aziende occidentali si stanno allontanando dalla Russia. Sempre venerdì Kaspersky ha anche annunciato di essere stata sospesa da HackerOne, la piattaforma americana di bug bounty che permette ai ricercatori informatici di farsi pagare dalle aziende quando scoprono e annunciano le loro vulnerabilità. Da parte sua, HackerOne ha detto che stava tagliando i legami con le aziende russe e bielorusse per via delle sanzioni americane.