La scorsa settimana Kaspersky ha ufficialmente inaugurato il Transparency Center italiano a Roma. Una nuova struttura che fa il paio con quelle omonime di Zurigo in Svizzera e di Madrid in Spagna già esistenti, oltre con quella neonata di Utrecht, nei Paesi Bassi e le altre che compongono complessivamente nove Transparency Center in tutto il mondo disseminati in Europa, nella regione dell’Asia Pacifico (APAC), in Nord America e in America Latina. Uno sviluppo graduale che – come ha sottolineato Cesare D’Angelo, General Manager di Kaspersky Italia – è iniziato nel 2017, come un percorso mirato a mostrare a partner, clienti e istituzioni l’attività dell’azienda con totale trasparenza.

“Questo programma, insieme al Bug Bounty Program e ad altre iniziative sulle quali ha investito Kaspersky – sottolinea D’Angelo – è parte di un percorso che non si è interrotto durante la guerra in Ucraina, anzi, ha acquistato maggiore importanza e maggiore significato proprio per le accuse che sono state rivolte contro Kaspersky nelle fasi iniziali del conflitto. Stiamo dando alla stampa, ai nostri clienti e partner e alle istituzioni il messaggio che siamo disponibili anche e soprattutto in questo momento a essere analizzati fin ad arrivare al codice sorgente del prodotto per poter dimostrare che non esistono rischi associati all’adozione dei prodotti Kaspersky e che siamo gli unici nel mercato ad avere questo livello di trasparenza” sottolinea D’Angelo.

Inutile nascondere che se da un lato il percorso dei Transparency Center è iniziato cinque anni orsono, dall’altra la congiuntura geopolitica ha determinato un’accelerazione di questa iniziativa, proprio per rafforzare la posizione dell’azienda e rassicurare sulla bontà dei prodotti, che peraltro – rimarca D’Angelo – non è mai stata messa in discussione a nessun livello.

Cesare D’Angelo, General Manager di Kaspersky Italia

Transparency Report

L’occasione è stata galeotta per pubblicare anche l’ultima edizione del Transparency Report, che aggiorna a cadenza semestrale sulle attività di questi centri. Ne risulta che, nei primi sei mesi del 2022, Kaspersky ha ricevuto 89 richieste da parte di Governi e Forze dell’Ordine di otto Paesi fra cui l’Italia, con una riduzione del 15% rispetto all’anno precedente. Come di consueto, la stragrande maggioranza (89%) delle richieste ricevute ha riguardato informazioni tecniche non personali, ovvero informazioni che facilitano la conduzione delle indagini sui crimini informatici, quali Indicatori di Compromissione (IoC), informazioni sul modus operandi dei cyber criminali, risultati del reverse engineering del malware e altre risultanze delle analisi forensi.

L’11% delle richieste riguardava i dati degli utenti, e sono state tutte respinte. La quota di richieste di dati tecnici non personali è passata dall’85% all’89%. Anche la quota di richieste approvate è aumentata: di tutte le richieste ricevute nel primo semestre del 2022, il 64% è stato accolto. Quelle respinte non soddisfacevano i requisiti di verifica legale o non fornivano adeguate informazioni sui dati richiesti.

A questo proposito D’Angelo chiarisce che “le richieste avvengono spesso dietro stimolo di Kaspersky, perché essendo gli unici a disporre di questo tipo di iniziativa siamo i primi a invitare istituzioni e Governi, oltre a clienti pubblici e privati, a visitarci per capire come lavoriamo. Di fatto l'invito è quello di venire a capire come operiamo, quali sono le nostre best practice e visionare il codice sorgente del prodotto”. Ovviamente per quest’ultima attività occorrono competenze molto verticali, pertanto è richiesto un livello culturale, tecnico adeguato. Il rifiuto di alcune richieste è spesso legato alla mancanza di una chiara finalità da parte del richiedente.

Il messaggio ai clienti

L’assenza di modifiche, manomissioni o violazioni dei prodotti Kaspersky – ricorda D’Angelo – sono scongiurate non sono dal progetto di trasparenza trattato sopra, ma anche dalle certificazioni di terze parti di grande rilievo, come quella del TÜV AUSTRIA secondo lo standard ISO/IEC 27001:2013 in relazione al processo di gestione dei dati e l'audit SOC 2 (Service Organization Control for Service Organizations) di tipo 1 condotto da un auditor Big Four, rilasciata nel 2019 e rinnovata a giugno di quest’anno, che ha confermato la severità dei controlli di sicurezza ai quali vengono sottoposti i processi con cui Kaspersky sviluppa e rilascia gli aggiornamenti antivirus, contro il rischio di modifiche non autorizzate.

Entrambe le certificazioni debbono essere lettere come una “garanzia che non arrivi sul device dell'utente finale un aggiornamento non voluto dall'azienda – o meglio che qualcuno si inserisca nel flusso di aggiornamenti software modificandoli, senza che nessuno se ne accorga. Siamo quindi certi di portare i massimi livelli di sicurezza sui sistemi dei clienti, anche grazie al fiore all’occhiello della nostra Threat Intelligence, il Kaspersky GReAT Team (Global Research & Analysis Team) composto da circa 40 persone in tutto il mondo” ricorda D’Angelo.

I prodotti

Kaspersky ha un portafoglio prodotti molto ampio, che sposa detection, response, threat intelligence ed esperienza del GReAT Team, raggiungendo “una qualità che di fatto non è mai stata messa in discussione da nessun Governo o agenzia. Siamo al centro di una questione geopolitica, ma nel comunicato con cui agenzie e istituzioni hanno identificato un rischio in Kaspersky hanno sempre esplicitato il fatto che non c’è nessun dubbio sulla qualità della tecnologia” rimarca D’Angelo.

Detto questo, anche i prodotti vengono testati da enti indipendenti, come sottolinea Fabio Sammartino, Head of Presales di Kaspersky in Italia: “AV-Comparatives Test ha certificato nell’ultimo test che Kaspersky blocca il 100% dei ransomware, contro una media dei concorrenti inferiore al 50%. Questo testimonia la validità dei prodotti, insieme alle certificazioni, perché il mercato ha proprio nelle certificazioni uno strumento unico per valutare la qualità dei prodotti. Non ci sono altri modi”.

Proprio a questa qualità Kaspersky deve, nonostante la situazione, il mantenimento di un ampio parco clienti, che a detta di D’Angelo sono rimasti fedeli al marchio “proprio perché dopo averli usati e testati per anni, e avere investito, non hanno evidenziato alcun motivo valido per cambiare fornitore”. Ed è ripresa anche la comunicazione sul fronte della Threat Intelligence, che in alcuni Paesi come l’Italia non è ancora molto conosciuta. A questo proposito D’Angelo sottolinea anche che Kaspersky è “l’azienda che ha rilevato il maggior numero di minacce di lingua russa negli ultimi anni, perché ha una visione in questo ambito che molti altri brand non hanno, e che contribuisce in maniera determinante al sistema di difesa occidentale ed Europeo”. Molti ritengono la Russia responsabile del 58% degli attacchi sponsorizzati da Stati nazionali ai danni dei Paesi occidentali, il che rende il monitoraggio delle attività russe un’attività prioritaria.

Cyber resilience e cyber immunity

Agganciandosi all’attualità, non ci si può esimere dal trattare l’aspetto della security by design rafforzato dalla recente normativa europea. Se oggi la cyber resilience è un argomento attuale grazie al lavoro della Commissione Europea e del WEC, dall’altra parte è difficile non ricordare che Kaspersky ha proposto una visione di sicurezza informatica ancora più lungimirante tempo fa: la cyber immunity. In poche parole, questa filosofia si è posta l’obiettivo di rendere il costo di un cyber attacco superiore all'aspettativa di guadagno che il cyber criminale trarrebbe da quello stesso attacco, spingendo di fatto l’attaccante a cambiare obiettivo. Ovviamente si parla sempre di minacce avanzate, non delle comuni campagne a strascico.

Nel tempo trascorso dalla presentazione della cyber immunity si sono visti e si vedranno molti passi avanti. Finora è stato sviluppato un sistema operativo proprietario che si pone come base dei device digitali, smartphone, centraline delle auto. “Sarà proprio il sistema operativo a permettere ai device sui quali è installato di eseguire solo le funzioni per le quali sono stati creati, senza interferenze esterne da parte di software malevoli o di attaccanti. Si realizza così anche quella che viene comunemente chiamata security by design, mediante un oggetto pensato per essere inattaccabile” rimarca D’angelo.

E sono stati immessi sul mercato dispositivi soprattutto per il comparto OT. Come spiega Sammartino, “abbiamo già oggetti a portafoglio in questo senso: per esempio, l’IoT Secure Gateway annunciato lo scorso anno si basa proprio su Kaspersky OS, che a sua volta era già stato impiegato per altri apparati industriali fra cui uno switch per la comunicazione dei sistemi ICS, e viene applicato sui prodotti per l’automotive security. È un processo già iniziato e partito dalla parte industrial perché è quella che più ne ha bisogno, e dove ci si aspetta una criticità maggiore nei prossimi anni. Già oggi i sistemi industriali controllano molti aspetti della nostra vita anche se non ce ne rendiamo conto (economia, trasporti, acqua, utilities, eccetera) e dare loro la priorità per la messa in sicurezza è un elemento fondamentale”.

Prodotti così sviluppati e la tecnologia stessa ovviamente vanno a braccetto con il recente Cyber Resilience Act annunciato dalla Commissione Europea, che per altro Kaspersky supporta attivamente. Anche se Sammartino puntualizza che “non è soltanto con una certificazione che si risolve il problema, è con la cultura dello sviluppo con la security by design, che è cosa del tutto differente. Certo, la certificazione aiuta nella misura in cui spinge il mercato verso una certa direzione, e per esperienza abbiamo visto che i nuovi regolamenti servono anche per dettare un’agenda per i produttori, ma è necessario che questi concetti vengano integrati nella mission aziendale”.

D’Angelo aggiunge il caso dell’esempio virtuoso di Kaspersky, dov’è nata prima la visione del prodotto, con un forte impegno della costola R&D dell’azienda per arrivare poi alla sua concretizzazione: un percorso che è impossibile improvvisare.

Previsioni per il 2023

Ransomware oggi è la parola più citata nelle statistiche e le crescite anno su anno sono veramente importanti. Dagli studi condotti dal GReAT Team emerge che la maggior parte dei clienti colpiti da ransomware paga il riscatto e una percentuale enorme pensa che sia il modo migliore di uscirne se dovesse essere attaccata. Per questo motivo il tema della cultura e della prevenzione ha ancora parecchia strada da fare.

In questo senso “Kaspersky, al di là dell’offerta che porta sul mercato, sta facendo un lavoro di sensibilizzazione sul fronte dell’incident response e della parte di vulnerability assessment, proprio per offrire ai clienti dei servizi utili a sensibilizzare preventivamente e a velocizzare i tempi di ripristino nel caso di un attacco” afferma D’Angelo. I settori verticali maggiormente a rischio saranno ancora il settore sanitario e industriale, che sono fra i più esposti a causa dell’arretratezza delle soluzioni in uso.

Da notare poi che i cyber criminali stanno investendo tanto nel rendere le proprie azioni più sofisticate e quindi più mirate. D’altra parte ci sono aziende (perché il cybercrime si è industrializzato) che hanno armi sempre più sofisticate, e gli attacchi complessi come quelli alle supply chain derivano da capacità che sono aumentate. Più lenta è la rincorsa a sofisticare le armi di difesa.

D’Angelo chiude con un consiglio alle aziende: “in Europa siamo sotto ai riflettori per questioni politiche non legate alla validità delle soluzioni che portiamo sul mercato. Ci tengo a sottolineare che la validità delle soluzioni che portiamo sul mercato dev’essere comparata con gli stessi strumenti rispetto alle soluzioni dei concorrenti. Bisogna provare ad andare oltre alle questioni prettamente geopolitiche, che noi rispettiamo. Ragioniamo sulla tecnologia e non su questioni che – speriamo – presto apparterranno al passato, quando bisognerà fare i conti con la concretezza delle scelte tecniche”. Molti clienti lo stanno già facendo, tanto che ci sono aree che sono cresciute e stanno crescendo anche più del previsto quest’anno. “L’azienda è stabile, compensa gli alti e bassi di mercato grazie al fatto di essere una multinazionale, continua a investire in ricerca e sviluppo, a supportare i clienti ed i partner con le stesse strutture e professionalità” conclude D’Angelo.