L’Unione europea è responsabile del più grande blackout informatico del mondo, avvenuto venerdì scorso a causa di un aggiornamento di sicurezza non andato a buon fine.
Lo ha detto un portavoce di Microsoft, Pavan Davuluri, al Wall Street Journal, dichiarando che “Un accordo del 2009, voluto dalla Commissione europea, ha impedito a Microsoft di apportare modifiche alla sicurezza che avrebbero bloccato l’aggiornamento della società di cybersicurezza Crowdstrike“. L’aggiornamento ha causato il malfunzionamento di circa 8,5 milioni di computer nel mondo.
A quale accordo si riferisce Microsoft
L’accordo stipulato nel 2009 obbliga Microsoft a garantire ai produttori di software di sicurezza lo stesso livello di accesso a Windows di cui gode l’azienda stessa. Il documento che delinea l’accordo tra Microsoft e la Commissione Europea, disponibile sul sito web dell’azienda, conferma l’obbligo di rendere disponibili le API di Windows Client e Server utilizzate dai prodotti di sicurezza Microsoft anche ai produttori di software di terze parti.
Nel documento d’accordo con la Commissione Europea si specifica che Microsoft è obbligata a rendere disponibili le proprie API (interfacce di programmazione) utilizzate nei prodotti di sicurezza anche ai produttori di software di terze parti.
Mentre garantire un campo di gioco equo per i produttori di software antivirus è sicuramente un obiettivo nobile, come auspicato dall’Unione Europea, l’accesso indiscriminato alle API da parte di terzi si rivela un rischio per la sicurezza, secondo Microsoft.
Apple e Google non sono vincolate
Apple e Google, che producono rispettivamente macOS e ChromeOS, non sono vincolate dalle stesse restrizioni applicate a Windows. Anzi, nel 2020 Apple ha comunicato agli sviluppatori che il suo sistema operativo non avrebbe più fornito l’accesso a livello di kernel (nucleo del sistema operativo). Questo cambiamento, pur richiedendo agli sviluppatori di adattare i propri software, ha indubbiamente migliorato la sicurezza complessiva di macOS.
L’Unione Europea, che negli ultimi anni ha intensificato le misure contro i comportamenti anticoncorrenziali delle grandi aziende tecnologiche, difficilmente cambierà rotta e permetterà a Microsoft di blindare ulteriormente Windows, nonostante i potenziali benefici per la sicurezza informatica.
Il commento di Ianbrown.tech
“Anche se non metto in dubbio che Microsoft userà qualsiasi scusa possibile per reagire alle decisioni dei regolatori, non vi è ancora motivo per cui una regolamentazione oculata non possa trovare un percorso migliore tra gli obiettivi di sicurezza e concorrenza talvolta contrastanti, utilizzando una vasta consultazione degli stakeholder e una collaborazione tra i regolatori basata su competenze tecniche più sofisticate, come abbiamo potuto osservare con lo sviluppo della legislazione e dell’applicazione dell’Atto sui mercati digitali della Comunità europea”, ha commentato Ian Brown, uno dei principali esperti sulla regolamentazione di Internet, in particolare in relazione alla sicurezza delle informazioni e alla privacy, agli aspetti digitali del ciclo elettorale e ai meccanismi di promozione della concorrenza come l’interoperabilità, sul suo blog.
“Non sarei d’accordo nel dire che Windows sia così insicuro da impedire a Microsoft di stringere i controlli su, ad esempio, le estensioni del kernel . Dovrebbe farlo mentre sistema le sue falle!“, spiega.
Nonsense. Kernel mode drivers of all kinds have been a feature of Windows since 2.0. It would be impossible to operate as broadly open a platform and computing ecosystem as Windows-Intel-AMD if Microsoft dictated all software as Apple does today.
— Tim Sweeney (@TimSweeneyEpic) July 22, 2024
“Per la resilienza delle società dipendenti dalla tecnologia, il software a livello del kernel del sistema operativo e le relative controparti nei sistemi di infrastrutture critiche devono essere attentamente testati e controllati. Tuttavia, i monopolisti dei sistemi operativi non dovrebbero essere coloro che prendono le decisioni finali su come debbano essere esattamente tali controlli, quando ciò ha implicazioni per la concorrenza”, ha concluso Brown.
Microsoft-CrowdStrike: cyber caos con data breach? Garante Privacy avvia indagine
Il Garante per la protezione dei dati personali italiano, sulla base delle notifiche di data breach ricevute, ha avviato accertamenti sulle conseguenze che il recente blackout dei sistemi informatici potrebbe aver prodotto sui dati personali degli utenti, in particolare nell’utilizzo dei servizi pubblici.
“L’evento”, spiega il Garante in una nota, “è derivato da un malfunzionamento del software di sicurezza CrowdStrike che nei giorni scorsi ha bloccato l’operatività di numerosi servizi online. Il Garante si riserva ulteriori interventi qualora si ravvisassero specifiche violazioni che possano riguardare gli utenti italiani”.