L’ACN ha aggiornato la circolare del 2022 con cui bandiva i software russi nella PA di Kaspersky Lab e di Group-IB, aggiungendo anche quelli della società Security Gen, già Positive Technologies.
Nuovo ban dell’ACN contro i software russi nella PA. Insieme ai prodotti di Kaspersky Lab e Group-IB, si aggiungono anche quelli della società Security Gen, già Positive Technologies. Lo prevede la nuova circolare a firma di Bruno Frattasi sull’attuazione dell’articolo 29, comma 3, del decreto-legge 21/2022, aggiornamento della precedente firmata da Roberto Baldoni nel 2022 .
A giustificare la misura sono stati “i possibili pregiudizi per la sicurezza nazionale nello spazio cibernetico“. Il tutto, “in relazione al predetto quadro normativo e in considerazione della perdurante esigenza di prevenire, nell’attuale contesto geopolitico, ai sensi dell’art. 29“.
La circolare che ha sostituito “la precedente del 21 aprile 2022, n. 4336“, è divenuta efficace a partire “dalla sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana” .
Misure e raccomandazioni
In relazione ai prodotti e ai servizi di riferimento la misura si applica anche alle “relative aziende
produttrici o fornitrici legate alla Federazione Russa“. Da qui il rinforzamento di uno scudo contro gli attacchi informatici e le operazioni ibride contro Kaspersky Lab, Group-IB e in ultimo Security Gen (nata nel 2002 come Positive Technologies).
E vale anche per quei prodotti “commercializzati tramite canali di rivendita indiretta o veicolati tramite accordi quadro o contratti quadro in modalità’ on-premise o da remoto“.
Inoltre, si raccomanda “alle amministrazioni e alle centrali di committenza, al fine di provvedere agli adempimenti prescritti dal citato art. 29, di richiedere agli operatori economici la lista“. In questa vanno a figurare:
- componenti software inclusi nel prodotto (c.d. software bill of materials-SBOM);
- Infrastrutture tecnologiche per l’erogazione del servizio (a titolo esemplificativo, componente IaaS o PaaS di un servizio cloud o security operation center-SOC).
- Componenti applicativi del servizio, laddove esistenti, erogati in modalita’ SaaS.
“Nella predisposizione, migrazione e gestione dei nuovi prodotti e servizi“, si legge ancora nel documento, si aggiunge un’ulteriore raccomandazione. Quella dell’adozione di “principi trasversali di indirizzo“.
Principi, a titolo esemplificativo come quello della “gestione del rischio“, in termini di identificazione, valutazione e mitigazione dei rischi di diversa fattispecie. Tutti concorrenti nell’attuazione della diversificazione dei servizi. Tanto che gli stessi dirigenti pubblici hanno l’onere di censire l’insieme dei software.
