Kaspersky e le garanzie di affidabilità nei momenti di crisi
Cesare D'Angelo, General Manager di Kaspersky Italia, spiega nell'intervista rilasciata ad essecome le misure per garantire la sicurezza dei clienti adottate dall'azienda russa prima del conflitto in Ucraina. La sede della capogruppo è a Londra da vent'anni ed è stato realizzato a Zurigo un Transparency Center con due certificazioni internazionali di sicurezza. L'intervento del Garante italiano per la privacy. La policy della trasparenza come esempio anche per altri produttori internazionali. La globalizzazione delle tecnologie e l'autonomia dei vendor globali.
Partiamo dalla domanda d’obbligo in questo momento di crisi. In merito alle preoccupazioni che in occidente tutti hanno rispetto ad un’ipotetica azione coercitiva da parte del governo di Mosca nei confronti di una società privata come Kaspersky che, comunque è russa, cosa rispondete?
Faccio una piccola premessa perché, giustamente, hai parlato di una società russa. In realtà, per quanto la sede e l’origine dell’azienda siano in Russia, Kaspersky è un’azienda globale con la capogruppo registrata a Londra da ormai più di vent’anni. Di fatto, oggi non si può parlare di un’azienda solo russa ma di una multinazionale a tutti gli effetti con la capogruppo registrata, appunto, in UK.
Per rispondere alla tua domanda, quello che abbiamo fatto da tempo e che è ancora più importante ribadire in questa situazione, è stata l’adozione di processi sia per lo sviluppo delle soluzioni che per il loro controllo che ci portano a dire che oggi un’azione coercitiva da parte di un qualsiasi governo difficilmente avrebbe successo per diversi motivi. Intanto, perché il nostro CEO ha già dichiarato, in più occasioni che, qualora dovesse essere in qualche maniera spinto o obbligato dal governo a mettere in piedi determinate azioni, la sua risposta sarebbe negativa.
Da un’altra parte, ci sono processi e dati oggettivi con tanto di certificazioni, che aiutano a capire come questo sarebbe veramente difficile da realizzare. Abbiamo spostato da tempo in Svizzera i nostri data center che processano le informazioni che arrivano su base volontaria da parte dei clienti. A Zurigo abbiamo il “Transparency Center”, il luogo fisico dove i clienti governativi e le aziende accreditate, dopo una selezione a valle della loro richiesta, possono ispezionare il codice sorgente del prodotto e capire come vengano gestiti i processi di sviluppo del software e gli aggiornamenti prima che vengano distribuiti ai clienti. Per questo Transparency Center abbiamo ottenuto due certificazioni da parte di analisti esterni.
Una delle “Big Four” ha rilasciato la certificazione SoC di livello 2 ai nostri processi di scrittura, aggiornamento e distribuzione del software, avendo rilevato la conformità agli standard di sicurezza previsti da questo format, mentre TUV Austria ha rilasciato la certificazione ISO 27001 per la qualità di gestione dei dati dei clienti.
Ultimamente, anche il Garante della Privacy in Italia ha aperto un’istruttoria per capire come noi gestiamo i dati dei nostri clienti. Abbiamo risposto al Garante nei tempi dovuti dando tutte le informazioni richieste e siamo confidenti che venga confermato anche ufficialmente il rispetto delle norme sul trattamento dei dati dei clienti.
Vorrei farti una domanda in merito ad un altro tema, ovvero la sicurezza delle telecamere, cinesi e non. Adesso il problema è diventato scottante in Italia per la gara Consip ma vorrei analizzarlo da un punto di vista più generale. I timori di diversi governi occidentali, fra cui USA, Gran Bretagna, Australia e, adesso almeno in parte, anche il nostro, riguardano la sicurezza delle telecamere in rete e degli IoT sia sul piano della penetrabilità da parte di estranei che della deviazione dei dati verso destinatari sconosciuti. Come valutate questo problema?
Cercherò di darti una risposta coerente con quello che noi facciamo, rifacendomi a due argomenti. Da un lato l’argomento tecnico: che si tratti di una telecamera piuttosto che di un registratore di cassa o di qualsiasi altro sensore sul territorio, dal momento in cui è in rete e comunica dati, c’è una vulnerabilità. Noi abbiamo introdotto sul mercato una soluzione che è, appunto, uno “IoT gateway”, vale a dire un oggetto che serve a mettere in sicurezza la comunicazione tra i vari sensori sparsi sul territorio e il server centrale al quale devono arrivare le informazioni.
Aggiungendo questo “strato”, questo livello ulteriore di cybersecurity, mettiamo in sicurezza anche le informazioni che girano tra i vari device e il server che le deve raccogliere rispetto ai possibili attacchi per intercettare questi dati.
Quindi, al di là del fatto che si parli di una telecamera cinese piuttosto che di altro, la vulnerabilità e la sicurezza dei dati possono venire gestite e indirizzate.
Poi c’è l’argomento politico che, in questo momento, ci vede sotto i riflettori.
Non entro nel merito se sia giusto o sbagliato puntare il dito su tale fornitore o su tale governo ma, essendo stati tra i primi ad essere oggetto di questo tipo di attenzioni dal 2017 in poi, cosa abbiamo fatto in Kaspersky?
Abbiamo deciso di portare i nostri data center in Svizzera che, oltre ad essere neutrale, è la nazione che all’interno dell’Europa ha le normative più stringenti in termini di data privacy e di sicurezza dei dati dei clienti.
Abbiamo deciso di rendere disponibile, a chi abbia le capacità e l’interesse di farlo, il nostro codice sorgente del prodotto. Questo nell’ottica della massima apertura e trasparenza anche verso le istituzioni governative...
Clicca qui sotto per leggere l'intervista completa: