Il 2023 segna il quinto anniversario della Global Transparency Initiative (GTI) di Kaspersky, il programma più importante dell’azienda che mira a diventare un riferimento nel settore per affrontare i rischi della supply chain. Dato che la consapevolezza nei confronti dei rischi associati all’uso di software di terze parti sta aumentando e che aziende e autorità sono più attente a sapere quanto sia sicuro il software che utilizzano, Kaspersky annuncia l’intenzione di espandere ulteriormente la propria iniziativa. Lo fa grazie all’apertura di nuovi Transparency Center in tutto il mondo e aumentando le opzioni di revisione del codice sorgente.
La crescente esigenza di una maggiore fiducia nel digitale à accompagnata da una sempre maggior tendenza alla sovranità digitale, con importanti tappe, stabilite dall’emergere di normative come la proposta dell’European Cyber Resilience Act. Quest’ultima ha suscitato domande sui criteri evidence-based dei prodotti digitali idonei e sulle misure per verificarne la conformità, facendo sì che i framework universali per la creazione di fiducia siano richiesti come mai prima d’ora.
Una Global Transparency Initiative davvero globale
Una delle prime attività della GTI è stata la migrazione dei dati relativi alle minacce informatiche forniti dagli utenti dei prodotti Kaspersky nei datacenter in Svizzera, noti per la solida protezione dei dati e per la loro neutralità. Oggi, i dati degli utenti di Kaspersky in Europa, Nord America, America Latina, Medio Oriente e in molti paesi dell’Asia-Pacifica sono conservati ed elaborati nei due centri dati di Zurigo.
“In Kaspersky, siamo sempre stati molto attenti alla sicurezza dei dati degli utenti. Per garantire la protezione dei dati che i nostri clienti ci affidano, abbiamo adottato un approccio integrato, uniformando le nostre pratiche di gestione dei dati ai principali standard del settore”, ha dichiarato Anton Ivanov, Chief Technology Officer di Kaspersky. “Abbiamo anche invitato auditor di terze parti per verificarlo e scelto strutture all’avanguardia che siano conformi agli standard di settore per l’archiviazione e l’elaborazione dei dati. Grazie a questa visione olistica, ci impegniamo a offrire agli utenti Kaspersky la massima tranquillità per quanto riguarda i la sicurezza e la privacy dei propri dati”.
Insieme al trasferimento dei dati, Kaspersky ha iniziato a creare la rete globale di Transparency Center — strutture in cui clienti, partner ed enti governativi responsabili della sicurezza informatica, possono verificare l’integrità delle soluzioni aziendali. Il tutto revisionando il codice sorgente e scoprendo di più sui processi interni. A partire dall’apertura del primo Transparency Center a Zurigo nel novembre del 2018, Kaspersky ha aperto altri otto centri in Europa, Nord America, America Latina e nell’area Asia-Pacifica. Ad oggi, Kaspersky ha organizzato briefing per quasi 60 richiedenti presso i suoi Transparency Centers, tra cui autorità di regolamentazione nazionali e aziende di tutto il mondo.
La roadmap dei Transparency Center da qui al 2024
Entro la metà del 2024, Kaspersky prevede di espandere la propria rete di Transparency Center anche in Medio Oriente e in Africa, aprendo i primi centri in ogni regione, oltre a crearne uno nuovo nella zona Asia-Pacifica. Le tre nuove strutture saranno centri di formazione per gli stakeholder dell’azienda, che potranno ottenere più informazioni sulle procedure interne di ingegneria e gestione dei dati, ma anche sugli standard di settore e sulle best practice applicabili.
Inoltre, Kaspersky sta ampliando la portata dell’offerta di revisione del codice sorgente presso i suoi Transparency Center. Precedentemente, Kaspersky offriva per la revisione solo il codice sorgente dei principali prodotti consumer ed enterprise. Da luglio 2023, invece, l’azienda eliminerà queste limitazioni e renderà disponibile il codice sorgente delle soluzioni on-premise per i propri clienti e partner aziendali. Questa decisione è stata presa in seguito al crescente interesse dei clienti per la possibilità di esaminare il codice sorgente di altri prodotti Kaspersky.
Un’altra novità nell’offerta dei Transparency Center sono i metodi di autocertificazione dei prodotti Kaspersky, che prevedono ad esempio documenti di progettazione e modelli di minacce, in conformità con quanto è stato delineato nell’European Cyber Resilience Act.
“Quando Kaspersky ha lanciato la sua Global Transparency Initiative è stata la prima azienda a promuovere la fiducia nel digitale e a sostenere la responsabilità dei vendor nei confronti dei propri clienti”, ha aggiunto Yuliya Shlychkova, Public Affairs Director di Kaspersky. “Oggi la trasparenza è sempre più richiesta dalle imprese di tutto il mondo, che, infatti, mostrano un atteggiamento più maturo nei confronti della sicurezza informatica e prestano maggiore attenzione all’affidabilità dei vendor di software. Questo dimostra la lungimiranza di Kaspersky, anticipando le future aree di sviluppo del settore e i trend che si affermeranno”.
Altri punti chiave della Global Transparency Initiative sono:
- Audit regolari di terze parti per verificare la sicurezza delle soluzioni Kaspersky. Dal 2019, i sistemi di gestione dei dati dell’azienda sono sottoposti a regolare certificazione conforme allo standard ISO/IEC 27001:2013, che attesta come l’azienda garantisca una solida protezione delle informazioni e la compatibilità del suo Data Service con le principali pratiche del settore. Inoltre, Kaspersky si sottopone regolarmente all’audit SOC 2 da parte di un revisore indipendente per esaminare il processo di sviluppo e distribuzione dei database dei virus e accertarsi che sia protetto da modifiche non autorizzate.
- Pubblicazione di Transparency Report con statistiche sul numero di richieste di competenze tecniche e di dati degli utenti raccolti dalle forze dell’ordine e dalle agenzie governative. L’ultimo report ha rivelato i dati riguardanti la richiesta in due categorie — dati utente e competenze tecniche — raccolti durante la seconda metà del 2022. In questo periodo, Kaspersky ha ricevuto 37 richieste da governi e forze dell’ordine (LEA) di sei diversi Paesi. Almeno il 65% di queste sono state respinte per mancanza di dati o perché non soddisfacevano i requisiti di verifica legale.
- Secondo il Bug Bounty Program, chiunque può segnalare vulnerabilità o bug critici nei sistemi Kaspersky e ottenere una ricompensa. Nell’ambito della GTI, sono stati aumentati i premi per i ricercatori di sicurezza, che ora hanno diritto a ricompense fino a 100.000 dollari per la segnalazione delle vulnerabilità più critiche. A partire da marzo 2018 abbiamo ricevuto 55 segnalazioni per vulnerabilità minori, che sono state sottoposte a patch. Ad oggi, è stato versato un totale di 77.450 dollari in ricompense.
- Il Cyber Capacity Building Program (CCBP) pensato per aiutare le aziende a sviluppare meccanismi e competenze per valutare la sicurezza dei prodotti ICT, è stato adottato a partire dal 2020 da sei enti governativi per acquisire maggiori abilità nelle valutazioni dell’affidabilità dei software.
La GTI è uno dei temi centrali di Kaspersky NEXT, il principale evento organizzato dall’azienda per la stampa che vuole esplorare le tecnologie del futuro. L’evento, che si tiene oggi a Zurigo, raccoglie le ricerche dei team di Research&Development di Kaspersky, e affronta tematiche come:
- L’intelligenza artificiale può migliorare la sicurezza aziendale e garantire una maggiore trasparenza nell’uso dei software?
Verranno analizzate le crescenti capacità dei bot AI e la possibilità di eseguire operazioni di sicurezza fondamentali.
Maher Yamout, Senior Security Researcher, Kaspersky Global Research and Analysis Team
- Victim Discovery
I risultati dell’iniziativa Kaspersky “Victim Discovery”, che monitora i post di Darknet alla ricerca di contenuti critici relativi alla vendita di database, alla compromissione delle infrastrutture e al ransomware.
Yuliya Novikova, Head of Digital Footprint Intelligence, Kaspersky
- Lazarus – the NEXT chapter
Le ultime scoperte su questo pericoloso gruppo di hacker.
Jornt van der Wiel, Senior Security Researcher, Kaspersky Global Research and Analysis Team