Secondo Matteo Flora, docente di reputazione digitale ed esperto di sicurezza informatica, bisogna considerare due costi: quelli della sostituzione e quelli della non-sostituzione. Con un’avvertenza: serve valutare quanto l’attaccante è disposto a investire per colpire un soggetto
I costi della sostituzione, ma anche quelli della non-sostituzione. Che fare con Kaspersky, l’azienda russa sul cui antivirus, già bandito in Stati Uniti e Paesi Bassi, molto si sta discutendo alla luce del conflitto in Ucraina?
Nei giorni scorsi Franco Gabrielli, sottosegretario con deleghe alla sicurezza e alla cybersicurezza, ha annunciato che le autorità italiane stanno “verificando e programmando di dismettere, per evitare che da strumento di protezione possano diventare strumento di attacco”. In Italia ci sono 2.297 acquirenti pubblici del software sviluppato dalla società. Tra questi anche Palazzo Chigi.
Ieri l’Agenzia per la cybersicurezza nazionale ha diffuso una raccomandazione spiegando che nonostante attualmente “non vi sono evidenze oggettive dell’abbassamento della qualità dei prodotti e dei servizi tecnologici forniti”, ”in tale crescente livello di conflitto internazionale, non si può prescindere da una rivalutazione del rischio che tenga conto del mutato scenario e che consideri la conseguente adozione di misure di mitigazione”. Da qui l’invito a “procedere urgentemente ad un’analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate” e a “considerare l’attuazione di opportune strategie di diversificazione” per quanto riguarda determinate categorie di prodotti e servizi compresi gli antivirus. L’Agenzia diretta dal professor Roberto Baldoni ha dunque seguito una soluzione “francese” già evidenziata su Formiche.net, con una raccomandazione che ricorda quella dell’omologa unità al di là delle Alpi, l’Anssi.
Ma che cosa può fare un’azienda?
Secondo Matteo Flora, docente di reputazione digitale ed esperto di sicurezza informatica, bisogna partire da una domanda: chi è il mio potenziale nemico? Un interrogativo legato a una considerazione: un attaccante sarà disposto a investire maggiori sforzi per “bucare” un ministero rispetto a un piccola azienda. In questo momento la problematica riguarda “principalmente sicurezza nazionale, pubblica amministrazione e grandi aziende politicamente esposte”, osserva Flora.
Ecco il primo aspetto da considerare: il costo della sostituzione. È possibile, commenta l’esperto, che inizi una corsa al cliente che può ricordare quelle delle compagnie telefoniche, con incentivi a cambiare antivirus. Che fare allora? Secondo Flora, se i costi sono bassi, nei panni di un’azienda attualmente alle prese con la questione Kaspersky, “cambio anche soltanto per un problema reputazionale”.
Il secondo aspetto, invece, riguarda i costi della non-sostituzione. Per esempio: “Qual è la mia previsione del fatto che le Pubbliche amministrazioni con cui lavoro mi obbliino a non averlo? Qual è la possibilità che qualcuno mi dica, com’è successo a Ferrari che l’aveva come sponsor, tu dai supporto ai russi, anche solo reputazionalmente, con quel tipo di sponsor?”. Ferrari ha scelto di cambiare. Altre aziende faranno lo stesso? Dipenderà dall’analisi costi-benefici.
Ma Flora conclude con un avvertimento: serve considerare “però che i rischi geopolitici sono difficili, perché non possiamo trascurare per esempio altre potenze, e quindi altre soluzioni che dovremmo valutare bene”.
