La tecnologia è ormai presente in quasi tutti gli aspetti della nostra vita e la quantità di dati che quotidianamente affidiamo ai dispositivi tecnologici cresce ogni anno in modo esponenziale. Questo trend ha trasformato l’elaborazione dei dati in un fattore critico per molte società digitalizzate. Con l’aumento costante della produzione di informazioni in tutto il mondo, anche i loro volumi di elaborazione crescono in modo vertiginoso. L’impegno a garantire che clienti e partner siano informati sul funzionamento dei prodotti dell’azienda e sulle pratiche di ingegneria e gestione dei dati, ha portato Kaspersky a lanciare la Global Transparency Initative (GTI), con l’obiettivo di fornire agli stakeholder dell’azienda tutte le informazioni necessarie per potersi fidare di Kaspersky.
Una delle pietre miliari della GTI è stata l’apertura di una rete globale di Transparency Center, strutture sicure dove clienti e partner possono esaminare il codice dell’azienda, gli aggiornamenti del software, le regole di rilevamento delle minacce e altre attività. Fino ad oggi nessun altro fornitore di cybersicurezza ha realizzato un’iniziativa di così ampia portata. Aprendo i Transparency Center, infatti, Kaspersky compie un passo significativo verso la completa trasparenza delle sue tecnologie di protezione, delle sue infrastrutture e delle sue pratiche di elaborazione dei dati. Dopo il lancio del primo centro nel 2018 a Zurigo (Svizzera), Kaspersky ne ha avviati altri e ora gestisce centri di revisione del codice a Madrid (Spagna), Kuala Lampur (Malesia) e San Paolo (Brasile).
I nuovi Transparency Center accoglieranno i partner aziendali e i clienti dell’azienda, compresi gli enti statali e le autorità di regolamentazione, responsabili della sicurezza informatica. Altre due strutture nella regione APAC, a Tokyo e Singapore, consentono all’azienda di essere ancora più vicina agli stakeholder di questa area, mentre il centro di Woburn, negli Stati Uniti, servirà da nuova sede per il Transparency Center nordamericano dell’azienda, che prima si trovava a New Brunswick in Canada.
Le visite ai Transparency Center di Kaspersky offrono diverse opzioni di revisione sempre in modalità di pura consultazione. Variano in base alle competenze e agli interessi dei visitatori: da una panoramica generale sulle pratiche di sicurezza e trasparenza di Kaspersky a una revisione completa del codice sorgente di Kaspersky sotto la guida degli esperti dell’azienda.
Kaspersky fornisce la revisione del codice sorgente esclusivamente a scopo di consultazione e segue policy di accesso tra le più rigorose, il che significa che una richiesta di questo genere potrebbe essere rifiutata in caso venissero individuati possibili problemi di sicurezza. Per garantire l’integrità del codice sorgente, Kaspersky fornisce un accesso di sola lettura per la revisione, escludendo così la possibilità di modifiche.
Guidati dagli esperti di Kaspersky i visitatori dei Transparency Center possono:
· esaminare la documentazione sullo sviluppo sicuro del software dell’azienda e il codice sorgente del portfolio dei principali prodotti dell’azienda, compresi i prodotti di punta per utenti privati e aziende, nonché tutte le versioni degli aggiornamenti del software e delle regole di rilevamento delle minacce;
· ricostruire il codice sorgente per assicurarsi che corrisponda ai moduli disponibili pubblicamente. Il processo di compilazione, disponibile presso i Transparency Center, fornisce una garanzia di sicurezza sull’integrità del codice sorgente di Kaspersky;
· controllare la distinta base del software (SBOM) dei prodotti Kaspersky per migliorare la sicurezza supply chain; · esaminare i risultati degli audit di sicurezza di terze parti (come l’audit report SOC 2 e il report di valutazione ISO 27001), sia da remoto che fisicamente.
Dall’apertura del primo Transparency Center in Svizzera nel 2018, l’azienda ha organizzato oltre 25 visite con i clienti aziendali che sono diventati tra gli ospiti più frequenti. Tra le informazioni più richieste dai visitatori ci sono quelle sulle pratiche di gestione dei dati di Kaspersky, mentre le revisioni del codice sorgente sono avvenute solo occasionalmente. Questo è dovuto dal fatto che per revisionare il codice sorgente sono necessarie capacità di cybersecurity che consentano di affrontare correttamente la valutazione della sicurezza dei prodotti. Questo, in particolare, ha portato al lancio di un programma dedicato, il Cyber Capacity Building Program (CCBP), con il quale gli esperti di Kaspersky intendono aiutare una community più ampia in tutto il mondo ad apprendere strumenti e conoscenze pratiche per queste valutazioni di sicurezza, insegnando la revisione sicura del codice, il code fuzzing e altri metodi.
“Siamo la prima azienda nel settore della cybersicurezza ad aprire il nostro codice sorgente a revisioni esterne. Kaspersky ha lavorato duramente per dimostrare di essere un partner affidabile e degno di fiducia. Vorrei invitare i nostri clienti, potenziali ed esistenti, e le autorità governative a visitare i nostri nuovi Transparency Center dove faremo del nostro meglio per rispondere a tutte le domande possibili sul nostro codice sorgente, sulle regole di rilevamento delle minacce, sugli aggiornamenti del software e sulle nostre pratiche di ingegneria e di elaborazione dei dati” ha dichiarato Andrey Efremov, Chief Business Development Officer di Kaspersky.
Dal 2017, Kaspersky ha implementato la Global Transparency Initiative (GTI). Alcuni degli ultimi sviluppi della GTI includono il trasferimento in Svizzera dell’elaborazione e dell’archiviazione dei dati relativi alle minacce informatiche per gli utenti di Kaspersky che si trovano in America Latina e in Medio Oriente, la ricertificazione dei data service di Kaspersky da parte dell’ente di certificazione indipendente TÜV AUSTRIA e il lancio della versione digitale del “Cyber Capacity Building Program”, che ha l’obiettivo di aiutare le organizzazioni di tutto il mondo a sviluppare strumenti e conoscenze pratiche per la valutazione della sicurezza.
