Danni collaterali sulla sicurezza informatica

Lettera aperta di Eugene in risposta all’avviso contro l’uso dei prodotti Kaspersky da parte dell’ufficio federale tedesco per la sicurezza informatica (BSI).

Nelle ultime tre settimane, la guerra in Ucraina ha sconvolto il mondo che conoscevamo. Famiglie, relazioni, collaborazioni e legami sono stati colpiti drammaticamente in Ucraina, Russia, Europa e nel mondo intero. La valanga di questi tragici eventi ci coinvolge tutti.

Ha colpito anche la mia azienda, la più grande azienda privata di cybersecurity del mondo che porta orgogliosamente il mio nome. Questa settimana l’ufficio federale tedesco per la sicurezza delle informazioni (BSI) ha emesso un avviso sui prodotti Kaspersky, citando potenziali rischi per la sicurezza informatica di coloro che utilizzano prodotti e soluzioni Kaspersky. Senza entrare nei dettagli posso dire che queste affermazioni sono speculazioni non supportate da alcuna prova oggettiva né dettagli tecnici. La ragione è semplice: non è mai stata scoperta o provata nessuna traccia dell’uso o abuso di Kaspersky per scopi dannosi nei venticinque anni di storia dell’azienda, nonostante gli innumerevoli tentativi di farlo.

Senza tali prove, posso solo concludere che la decisione del BSI è stata presa solo per motivi politici. È tristemente ironico che l’organizzazione che sostiene l’obiettività, la trasparenza e la competenza tecnica, gli stessi valori che Kaspersky ha sostenuto per anni insieme al BSI e ad altri regolatori e organismi industriali europei, abbia deciso o sia stata costretta ad abbandonare i suoi principi letteralmente nel corso di una notte. Kaspersky, partner e collaboratore di lunga data del BSI e dell’industria tedesca della cybersicurezza, ha avuto solo poche ore per affrontare queste accuse fasulle e infondate. Questo non è un invito al dialogo, è un insulto.

Nonostante i continui appelli di Kaspersky a condurre un audit approfondito del nostro codice sorgente, degli aggiornamenti, della struttura e dei processi nei Kaspersky Transparency Center in Europa, il BSI non li ha realizzati. Questa decisione omette anche convenientemente il fatto che Kaspersky è stato per anni pioniere di una maggiore trasparenza con uno sforzo multimilionario di trasferire i dati sulle minacce dei nostri clienti europei in Svizzera come parte della nostra iniziativa globale di trasparenza. Ecco perché considero la decisione del BSI come un attacco ingiustificato e ingiusto alla mia azienda e in particolare ai dipendenti Kaspersky in Germania e in Europa. Ancora più importante, questo è anche un attacco alla grande base di consumatori in Germania che hanno fiducia in Kaspersky, che due settimane fa è stato premiato come la migliore soluzione di sicurezza (da AV-Test). È anche un attacco ai posti di lavoro di migliaia di professionisti tedeschi della sicurezza informatica, agli agenti delle forze dell’ordine che abbiamo formato per combattere il crimine informatico all’avanguardia, agli studenti tedeschi di informatica che abbiamo aiutato a ottenere competenze adeguate al lavoro, ai nostri partner nei progetti di ricerca nelle aree più critiche della sicurezza informatica, e a decine di migliaia di imprese tedesche ed europee di tutte le dimensioni che abbiamo protetto dall’intero spettro dei cyberattacchi.

Il danno reputazionale e commerciale della decisione del BSI è già abbastanza significativo. L’unica domanda che ho è: a quale scopo? Non disporre di Kaspersky in Germania non renderà la Germania o l’Europa più sicura, al contrario. La decisione del BSI significa che gli utenti tedeschi sono fortemente invitati a disinstallare immediatamente l’unico antivirus che secondo AV-Test, un istituto indipendente tedesco di sicurezza informatica, garantisce il 100% di protezione dai ransomware. Questo significa che i principali produttori tedeschi di attrezzature industriali non riceveranno più informazioni sulle vulnerabilità critiche nei loro software e hardware da Kaspersky ICS-CERT, un’organizzazione elogiata per il suo lavoro di divulgazione responsabile da questi stessi produttori. Questo significa che i giganti automobilistici tedeschi rimarranno all’oscuro dei bug che possono permettere a un cyber criminale di superare l’intero sistema informatico di bordo e cambiare la sua dinamica. Questo comporta un enorme punto cieco sulla superficie di attacco per gli operatori europei di incident responder (risposta agli incidenti) e SOC (Security Operation center), che non saranno più in grado di ricevere dati sulle minacce da tutto il mondo, e dalla Russia in particolare.

Il mio messaggio al BSI, che ora sembra evitare i contatti con il nostro team tedesco, è semplice: consideriamo questa decisione ingiusta e completamente sbagliata. Tuttavia, rimaniamo aperti ad affrontare qualsiasi preoccupazione che possiate avere in modo obiettivo, tecnico e onesto. Siamo grati ai regolatori europei e agli esperti del settore che hanno adottato un approccio più equilibrato, chiedendo ulteriori analisi tecniche e controlli sulle soluzioni di sicurezza e sulla supply chain IT, e sono disponibile a fornire tutte le informazioni e la cooperazione che è richiesta da Kaspersky durante questo processo. Inoltre, voglio dire che siamo immensamente grati per la vostra scelta a favore di Kaspersky ai nostri clienti tedeschi ed europei, e che continueremo a fare quello che sappiamo fare meglio: proteggervi da tutte le minacce informatiche, non importa da dove provengano, rimanendo completamente trasparenti riguardo alla nostra tecnologia e alle nostre operazioni.

La guerra in Ucraina può terminare solo attraverso la diplomazia, e noi tutti speriamo in una cessazione delle ostilità e in un dialogo continuo. Questa guerra è una tragedia che ha già portato sofferenza a persone innocenti e ripercussioni in tutto il nostro mondo iper-connesso. L’industria globale della cybersicurezza che è stata costruita sulla base della fiducia e della cooperazione per proteggere i collegamenti digitali che ci uniscono l’uno all’altro potrebbe essere il suo danno collaterale, e in questo modo tutti saremo ancora meno al sicuro.

Consigli