Il Consiglio dei Ministri ha votato il decreto legge che prevede la diversificazione dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche. Le risposte di Kaspersky.
Autore: Redazione SecurityOpenLab
"Rafforzamento della disciplina sulla cybersicurezza. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, queste procedono tempestivamente alla diversificazione dei prodotti in uso, anche mediante procedure negoziate. Le procedure di acquisto riguarderanno determinate categorie di prodotti e servizi sensibili quali applicativi antivirus, antimalware, endpoint detection and response (EDR) e web application firewall (WAF)". È il testo del Comunicato stampa del Consiglio dei Ministri n. 68, al capitolo cybersicurezza, pubblicato dal Governo a seguito del Cdm del 19 marzo 2022, relativo alle Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina (decreto legge).
Il decreto concretizza quanto già anticipato da Franco Gabrielli, Sottosegretario alla Presidenza del Consiglio con delega alla sicurezza nazionale, che nei giorni scorsi aveva dichiarato pubblicamente la necessità di "rimuovere le soluzioni Kaspersky dai server della Pubblica Amministrazione". Per far comprendere il legame della PA con l'azienda russa, i colleghi di Channel City avevano già pubblicato una dichiarazione ufficiale di Kaspersky: "Le soluzioni di sicurezza di Kaspersky sono solo uno dei prodotti utilizzati dalle istituzioni italiane per proteggere i propri sistemi e Kaspersky non è il fornitore di sicurezza informatica con la percentuale di presenza maggiore all’interno della pubblica amministrazione italiana".
Restando sul piano tecnico, che è l’area di competenza di Security Open Lab, abbiamo inviato a Kaspersky alcune domande per comprendere come l’azienda sta gestendo e intende gestire in futuro l’attività di monitoraggio e difesa, con un focus sull’Italia.
Per capire se l’attività di contrasto al cybercrime è aumentata o diminuita - quindi se l’azienda sta lavorando come sempre dall'invasione ucraina - abbiamo chiesto a Kaspersky quante minacce ha analizzato e bloccato la sua la Threat Intelligence nel Q1 2020, 2021, 2022 in Italia e in Europa?
Q1 2020
A livello web, nel periodo gennaio-marzo 2020 i prodotti Kaspersky Lab hanno rilevato 27.387.061 diverse minacce informatiche trasmesse da Internet sui computer dei clienti KSN in Italia. Nel complesso, il 24,8% degli utenti è stato attaccato da minacce trasmesse dal web durante questo periodo. Questo colloca l'Italia al 54° posto nel mondo quando si tratta dei pericoli associati alla navigazione sul web.
A livello locale, nel periodo gennaio-marzo 2020 i prodotti Kaspersky Lab hanno rilevato 41.349.383 incidenti locali sui computer dei clienti KSN in Italia. Nel complesso, il 27,0% degli utenti in questo paese è stato attaccato da minacce locali durante questo periodo. Questo pone l'Italia al 106° posto a livello mondiale.
Q1 2021
A livello web: nel periodo gennaio-marzo 2021 i prodotti Kaspersky hanno rilevato 44.282.419 diverse minacce basate su Internet sui computer dei clienti KSN in Italia. Nel complesso, il 24,5% degli utenti è stato attaccato da minacce trasmesse dal web durante questo periodo. Questo colloca l'Italia al 64° posto a livello mondiale per quanto riguarda i pericoli associati alla navigazione sul web.
A livello locale: nel periodo gennaio-marzo 2021 i prodotti Kaspersky hanno rilevato 38.055.733 incidenti locali sui computer dei clienti KSN in Italia. Nel complesso, il 19,4% degli utenti in questo paese è stato attaccato da minacce locali durante questo periodo. Questo pone l'Italia al 115° posto a livello mondiale.
01 Gennaio-15 Marzo, 2022
A livello web, nel periodo gennaio-marzo 2022 i prodotti Kaspersky hanno rilevato 26.971.673 diverse minacce basate su Internet sui computer dei clienti KSN in Italia. Nel complesso, il 23,6% degli utenti è stato attaccato da minacce trasmesse dal web durante questo periodo. Questo colloca l'Italia al 76° posto a livello mondiale per quanto riguarda i pericoli associati alla navigazione sul web.
A livello locale, nel periodo gennaio-marzo 2022 i prodotti Kaspersky hanno rilevato 13.910.049 incidenti locali sui computer dei clienti KSN in Italia. Nel complesso, il 15,5% degli utenti in questo paese è stato attaccato da minacce locali durante questo periodo. Questo pone l'Italia al 115° posto a livello mondiale.
Tasso di infezione in Europa:
Per capire se ci sono state differenze nel monitoraggio e/o nella threat detection, abbiamo chiesto quali tipi di minacce sono stati più comuni durante il periodo di riferimento di tre anni e come sono cambiate le percentuali delle minacce nel tempo?
Tutti gli oggetti rilevati da Kaspersky sono rappresentati nel Classification Tree. La classe Malware include le seguenti sottoclassi: virus e worm, trojan, strumenti sospetti e strumenti dannosi. I nostri prodotti rilevano varie minacce con identificazioni peculiari (ad es. Trojan-PSW.Script.Generic, ecc.) che raggruppano threat differenti ma con gli stessi scopi, tecniche e set di strumenti.
Le tabelle di seguito rappresentano la percentuale di ciascun threat rispetto al bacino d’utenza complessivo, durante un determinato periodo di tempo. Quindi rappresentano la popolarità di ciascuna minaccia. Sebbene questi dati mostrino che il panorama delle minacce web non è cambiato in modo significativo, è possibile fare alcune osservazioni.
Ad esempio, possiamo vedere che diversi tipi di threat Hoax (un falso alert su un virus o altro codice dannoso; il suo scopo principale è quello di costringere le vittime a pagare per software o servizi) erano prevalenti in Italia nel 2020 e nel 2021, ma sono scomparsi dal top ranking del 2022. Inoltre, la quota di Trojan-PSW.Script.Generic è diminuita nel corso degli anni - rubano cookie e credenziali dai siti web; questa minaccia rappresenta in realtà gli skimmer online e questo calo dimostra che al momento ne è affetto un minore numero di siti.
D'altra parte, nel 2022 possiamo vedere un aumento di Trojan.Script.Miner.gen: si tratta di script dannosi utilizzati per il mining di criptovaluta all'insaputa dell'utente. Il dato è sorprendente, dato che il web-mining in generale sta diventando sempre meno popolare rispetto alla data della sua apparizione, diversi anni fa.
Un altro aspetto peculiare che possiamo vedere nei dati è che nel 2022 la percentuale di URL dannosi bloccati è stata saturata da Trojan.Script.Generic. Questa categoria identifica una varietà di infezioni web, e la sua diffusione indica che gli utenti italiani stanno visitando più spesso siti infetti. A sua volta, ciò significa che è aumentato il numero di siti infetti (secondo la nostra analisi, la maggior parte delle infezioni sono correlate all'attacco drive-by SocGholish).
In particolare, Emotet, descritto da Europol come "il malware più pericoloso del mondo”, è apparso nella Top 10 italiana delle minacce più diffuse, e come noto parliamo di un threat che ha alle spalle una lunga storia di smantellamenti e ritorni. I dati ci indicano che Emotet è ancora attivo, anche se i suoi attacchi in Italia sono ora abbastanza contenuti.
2020
URL dannoso | 54,69% |
Trojan.Script.Generic | 24,86% |
Trojan-Downloader.Script.Generic | 6,57% |
Trojan-PSW.Script.Generic | 5,18% |
Trojan.Script.Miner.gen | 5,07% |
2021
URL dannoso | 52,79% |
Trojan.Script.Generic | 20,36% |
URL dannoso | 16,37% |
Trojan-Downloader.Script.SLoad.gen | 6,74% |
Trojan-PSW.Script.Generic | 3,87% |
2022
Trojan.Script.Generic | 39,54% |
URL dannoso | 32,84% |
Trojan.Script.Miner.gen | 18,50% |
URL dannoso | 14,68% |
Trojan-Downloader.Script.Generic | 4,44% |
Abbiamo chiesto a Kaspersky: quante backdoor ha trovato in questa fase e quali rischi ci sono che ne nasconda nel proprio software?
Stiamo osservando attentamente la situazione e tenendo d'occhio il flusso di nuovi attacchi informatici segnalati di recente. Al momento, non vediamo alcun aumento anomalo del numero totale di attacchi rivolti ai paesi europei. I rilevamenti di backdoor in Europa rimangono allo stesso livello senza crescite evidenti, rivelando la natura altamente mirata delle minacce che si verificano al giorno d'oggi.
Riguardo alla possibilità che ci siano backdoor installate all’interno del software Kaspersky, il codice sorgente dei nostri prodotti, gli aggiornamenti software e e le regole di rilevamento delle minacce sono disponibili per la revisione nei Transparency Center dell'azienda presenti in tutto il mondo. Attraverso i Transparency Center, forniamo alle autorità e ai partner informazioni sui nostri prodotti e sulla loro sicurezza, compresa la documentazione tecnica, che è fondamentale per la valutazione. I servizi dei Transparency Center sono disponibili su richiesta per l'accesso da remoto. Le informazioni sui Transparency Center, inclusa la richiesta di accesso, sono disponibili qui.
Inoltre, garantiamo ai nostri clienti l'integrità e la sicurezza delle nostre soluzioni, delle relative procedure di progettazione e dei servizi di dati, comprovate anche da valutazioni indipendenti di terze parti. Kaspersky ha infatti superato l'audit SOC 2 (Service Organization Control for Service Organizations) di tipo 1 condotto da un auditor Big Four, che ha confermato la severità dei controlli di sicurezza ai quali vengono sottoposti i processi con cui Kaspersky sviluppa e rilascia gli aggiornamenti anti-virus contro il rischio di modifiche non autorizzate. Il report finale, con una descrizione dei controlli di sicurezza e dell'intero processo, è disponibile su richiesta per clienti e partner. I servizi di dati Kaspersky sono inoltre stati certificati da TÜV AUSTRIA secondo lo standard ISO/IEC 27001:2013 e hanno di recente ottenuto una nuova certificazione.
Si è parlato molto del rischio che i dati dei clienti Kaspersky possano finire in mano al Governo russo, quindi è importante capire come vengono processati e con chi vengono condivisi i dati dei clienti europei (e italiani) di Kaspersky? Peraltro questo tema è al centro di una precisa istruttoria del Garante della Privacy in questi giorni.
I dati relativi alle minacce informatiche forniti volontariamente dagli utenti dei prodotti Kaspersky in Europa a Kaspersky Security Network (KSN) per l'analisi automatica del malware vengono inviati solo ai server europei dedicati. L'infrastruttura per l'elaborazione e l'archiviazione di questi dati è stata trasferita da Kaspersky a Zurigo, in Svizzera, nell'ambito della Global Transparency Initiative (GTI) dell'azienda. I dati relativi alle minacce informatiche includono file dannosi e sospetti condivisi volontariamente dagli utenti dei prodotti Kaspersky, che vengono elaborati su server in Svizzera, che fanno parte di una infrastruttura globale in conformità con gli standard del settore, per garantire i massimi livelli di sicurezza. Inoltre, la Svizzera è tra i pochi paesi che hanno una Adequacy decision con l'UE, il che significa che è stata riconosciuta dalla Commissione europea per una adeguata protezione dei dati personali.
Tutti i dati elaborati e/o trasferiti attraverso i nostri prodotti sono protetti mediante crittografia, certificati digitali, archiviazione bloccata e rigorose politiche di accesso ai dati. Nell'elaborazione di file dannosi sospetti o precedentemente sconosciuti, i nostri utenti acconsentono alla condivisione di questi dati con Kaspersky Security Network (KSN) per l'analisi automatica del malware. Kaspersky fornisce sempre informazioni relative al trattamento dei dati - in particolare, l'elenco completo dei dati che saranno sottoposti a trattamento - per garantire che i clienti siano sempre informati e possano prendere decisioni consapevoli. Inoltre, su base regolare, Kaspersky divulga pubblicamente informazioni sul numero di richieste di dati ricevute dai suoi utenti ed elaborate nel Transparency Report. Le ultime informazioni per H2 2021 sono disponibili qui.
Parlando di condivisione dei dati, Kaspersky non fornisce mai l'accesso ai dati degli utenti o all'infrastruttura dell'azienda. Forniamo informazioni su tali dati su richiesta, nell’ambito dell’attività di supporto alle forze dell'ordine internazionali, regionali e nazionali nelle indagini sui crimini informatici. Ogni richiesta di questo tipo passa attraverso la verifica legale per garantire la nostra conformità alle leggi e alle procedure applicabili. Il nostro processo in più fasi fonda su cinque criteri guida che sono consultabili qui, mentre le statistiche dettagliate sulle richieste di acceso ai dati sono contenute nei Transparency Report sopra menzionati (quello relativo al secondo semestre 2021 può essere pubblicato qui).
Sul fronte degli aggiornamenti, è lecito chiedere: in caso di uscita della Russia da Internet o altri scenari simili, i prodotti Kaspersky continuerebbero ad essere aggiornati?
I dipendenti di Kaspersky hanno ricevuto chiare indicazioni sul fatto che la priorità assoluta in questo momento è la continuità operativa. Esistono piani di emergenza grazie ai datacenter situati in Svizzera e in altri paesi per assicurarsi che gli aggiornamenti software e le nuove firme possano essere distribuiti anche nel caso in cui la Russia si disconnettesse da Internet. Inoltre, le sanzioni internazionali imposte a diverse banche russe non impatteranno sulla gestione dei clienti, che di fatto hanno rapporti commerciali con le filiali locali di Kaspersky, che sono entità separate dalla casa madre. Per questo stesso motivo, anche qualora il governo russo dovesse imporre sanzioni che vietano ogni commercio con l'Occidente, l’operatività di Kaspersky non subirebbe rallentamenti o blocchi.
Dove vengono creati, testati e aggiornati i prodotti Kaspersky?
I prodotti Kaspersky sono sviluppati e testati nei centri di ricerca e sviluppo dell'azienda, situati in Russia. Il beta-testing delle nostre soluzioni è disponibile per gli utenti di tutto il mondo tramite la nostra Support Community. Gli aggiornamenti vengono distribuiti ai nostri clienti attraverso l'infrastruttura globale dell'azienda, che è distribuita in tutto il mondo (ad esempio, in Svizzera, Germania, Cina, Canada, ecc.). Ciò consente al prodotto un funzionamento ininterrotto, inclusa la distribuzione tempestiva degli aggiornamenti. L'attuale processo diversificato ci consente di garantire sia l'integrità che la continuità della distribuzione del prodotto ai nostri utenti.
La Threat Intelligence moderna è un lavoro condiviso, che confluisce nel framework MITRE ATT&CK e che prevede la collaborazione, a volte a stretto contatto, fra gli analisti Kaspersky e quelli di altre aziende di cybersecurity. Spiegate il flusso delle informazioni e della condivisione.
In Kaspersky ci concentriamo sulla ricerca sulle minacce da oltre due decenni. Elaborando petabyte di dati sulle minacce, e impiegando tecnologie avanzate di machine learning e un team unico di esperti in tutto il mondo, supportiamo i nostri clienti con le più recenti informazioni sulle minacce globali, tenendoli al sicuro anche da attacchi informatici mai visti in precedenza.
La conoscenza, l'esperienza e l’intelligence di Kaspersky riguardo a ogni aspetto della sicurezza informatica l'hanno resa il partner di fiducia delle principali forze dell'ordine e agenzie governative del mondo, tra cui Europol, INTERPOL, ENISA, Parlamento europeo e CERT leader. Microsoft considera Kaspersky come uno dei principali contributori al Microsoft Active Protections Program (MAPP).
Kaspersky Threat Research collabora sia con esperti interni come il Global Research & Analysis Team (GReAT) che esterni. Complessivamente abbiamo un processo di scambio di campioni di malware e URL malevoli con 48 organizzazioni e ricercatori in tutto il mondo.
Inoltre, gli analisti di Kaspersky partecipano regolarmente a conferenze internazionali sulla sicurezza informatica. L’azienda è anche membro di Microsoft Virus Initiative, FIRST, Allianz für Cyber-Sicherheit (ACS) e Coalition Against Stalkerware e tiene periodicamente il proprio Security Analysis Summit.
Le nostre soluzioni supportano il framework MITRE ATT&CK e noi come azienda contribuiamo a questo framework. Recentemente Kaspersky ha introdotto il servizio Ask the Analyst, che permette ai professionisti della sicurezza IT di richiedere indicazioni e approfondimenti su minacce specifiche che stanno affrontando o a cui sono interessati.