È molto interessante notare come l’Unione Europea, spinta dal sacro fuoco della cyber defence, si sia spinta in passato in acque tempestose.
Di questi giorni un articolo firmato da Pierluigi Paganini su Security Affairs in cui si rende giustizia alla società russa Kaspersky, accusata dal Parlamento Europeo di produrre dei sistemi riconosciuti pericolosi, si legge infatti nel "Report on cyber defence" n. A8-0189/2018 dello scorso 25 maggio 2018 (pag. 19 e 20, v.link):
“Calls on the EU to perform a comprehensive review of software, IT and communications equipment and infrastructure used in the institutions in order to exclude potentially dangerous programmes and devices, and to ban the ones that have been confirmed as malicious, such as Kaspersky Lab”.
Il Report, interessantissimo per tanti aspetti, in particolare perché dà evidenza dei programmi europei in corso di sviluppo nel settore cyber è stato criticato da vari Stati che non hanno riscontrato attività di spionaggio condotte dai software Kaspersky ai danni dei clienti (per lo meno niente di diverso da quanto facciano tutti, raccolta di informazioni e Analisi allo scopo di prevenzione e individuazione di minacce cyber).
Il report è stato ancora oggetto di interesse da parte di un deputato europeo belga, Gerolf Annemans, che il 6 marzo scorso ha chiesto spiegazioni relative a quanto affermato nel Report:
“Designating programmes and companies as ‘dangerous’ from the point of view of cyber defence.
On 13 June 2018, the European Parliament adopted a Resolution on cyber defence. Paragraph 76 names a private business, namely Kaspersky Lab, whose programmes it brands ‘dangerous’ and even ‘malicious’, without any further explanation.
1. Does the Commission know of any reason other than certain press articles that justifies the labelling of Kaspersky as ‘dangerous’ or ‘malicious’, especially since Member States such as Germany, France and Belgium do not perceive any problems with cooperation with the firm concerned?
2. Does the Commission know whether any programmes and devices other than those of Kaspersky were discussed with a view to an EU ban?.
3. Does the Commission know of any reports or opinions of cyber experts or consultancies about Kaspersky Lab, and can it give me references to them?“
Stimolando di fatto la risposta scritta della Commissione Europea che con la risposta n. P-001206/2019(ASW) ha dovuto fare marcia indietro affermando di fatto di essersi sbagliati.
La Commissione infatti ha risposto "… Commission is not in possession of any evidence regarding potential issues related to the use of Kaspersky Lab products. The Commission is following closely debates and developments concerning the security of IT products and devices in general, including discussions about potential measures related to access to the EU market. The EU is an open market, which can be accessed by foreign companies in compliance with EU rules. In addition, Member States have the competence to decide whether to exclude companies from their markets for national security reasons. Regarding reports or opinions published concerning the issue raised by the Honourable Member, the Commission did not commission any reports.”
Ora, mi preme soffermarmi su alcune considerazioni:
- a seguito del report del 2018 diversi paesi europei hanno bandito i prodotti Kaspersky dal proprio mercato nazionale, è il caso di UK, Lituania e Paesi Bassi. Il Report del 2018 infatti non lasciava adito a dubbi. Il comportamento ha dunque arrecato danno alla Società Kaspersky che probabilmente farà valere le sue ragioni in altra sede (magari legale?);
- la risposta della Commissione indica chiaramente di non possedere evidenze, contrariamente a quanto precedentemente affermato, ma aggiunge che non sarà commissionato alcun Report per approfondire la questione, relegandola cosi a "problema risolto, non degno di altra pubblicità…", cosa per lo meno dubbia. Infatti, sia che l’errore si sia verificato inizialmente indicando kaspersky Lab come non degna di fiducia, sia che l’errore sia commesso ultimamente, sarebbe logico dare luogo ad approfondimenti che dovrebbero essere resi pubblici in quanto vi potrebbero essere delle conseguenze sulla sicurezza cyber dei paesi membri (utilizzare o meno un prodotto significa infatti fare policy di sicurezza e non solo!!!);
- si parla tanto dei prodotti di Cina e Russia e di presunte "problematiche di sicurezza" legate alla collaborazione tra le società e gli Stati di reciproca appartenenza (vedasi Huawey e Kaspersky, solo a titolo di esempio) ma non si parla affatto di quanto è accaduto nel tempo con prodotti di produttori occidentali e dei presunti atti di spionaggio da loro compiuti, perché? Se l’interesse é realmente quello di proteggersi, allora nella lista del Report Cyber UE potevano essere inclusi tanti altri "sospetti"…
Tutto ciò per dire che, forse, è opportuno approfondire e fare attenzione ai giudizi affrettati, spesso forieri di decisioni errate e alle quali non sempre è possibile fare fronte semplicemente innestando la marcia indietro. A volte la mancanza di fiducia (immeritata) può causare ferite difficili da rimarginare.
Per approfondire:
- https://securityaffairs.co/wordpress/84022/breaking-news/european-commis...
- http://www.europarl.europa.eu/doceo/document/A-8-2018-0189_EN.pdf?redirect
- http://www.europarl.europa.eu/doceo/document/P-8-2019-001206_EN.html
- http://www.europarl.europa.eu/doceo/document/P-8-2019-001206-ASW_EN.html
Foto: web
