La crescente esigenza di una maggiore fiducia nel digitale à accompagnata da una sempre maggior tendenza alla sovranità digitale, con importanti tappe, stabilite dall’emergere di normative come la proposta dell’European Cyber Resilience Act. Quest’ultima ha suscitato domande sui criteri evidence-based dei prodotti digitali idonei e sulle misure per verificarne la conformità, facendo sì che i framework universali per la creazione di fiducia siano richiesti come mai prima d’ora.
Per sottolineare l’affidabilità delle soluzioni di Kaspersky e promuovere gli standard di trasparenza nel settore della sicurezza informatica nel suo complesso, la GTI si è progressivamente evoluta, con un investimento nel progetto pari a 7,9 milioni di dollari a partire dal suo lancio. Oggi, la GTI si basa su sei pilastri principali: il trasferimento dei dati, l’apertura di Transparency Center in tutto il mondo, audit indipendenti periodici, il programma di gestione delle vulnerabilità, sessioni di formazione per lo sviluppo delle competenze informatiche e i Transparency Report.
Una delle prime attività della GTI è stata la migrazione dei dati relativi alle minacce informatiche forniti dagli utenti dei prodotti Kaspersky nei datacenter in Svizzera, noti per la solida protezione dei dati e per la loro neutralità. Oggi, i dati degli utenti di Kaspersky in Europa, Nord America, America Latina, Medio Oriente e in molti paesi dell’Asia-Pacifica sono conservati ed elaborati nei due centri dati di Zurigo.
“In Kaspersky, siamo sempre stati molto attenti alla sicurezza dei dati degli utenti. Per garantire la protezione dei dati che i nostri clienti ci affidano, abbiamo adottato un approccio integrato, uniformando le nostre pratiche di gestione dei dati ai principali standard del settore”, ha dichiarato Anton Ivanov, Chief Technology Officer di Kaspersky. “Abbiamo anche invitato auditor di terze parti per verificarlo e scelto strutture all’avanguardia che siano conformi agli standard di settore per l’archiviazione e l’elaborazione dei dati. Grazie a questa visione olistica, ci impegniamo a offrire agli utenti Kaspersky la massima tranquillità per quanto riguarda i la sicurezza e la privacy dei propri dati”.
Insieme al trasferimento dei dati, Kaspersky ha iniziato a creare la rete globale di Transparency Center — strutture in cui clienti, partner ed enti governativi responsabili della sicurezza informatica, possono verificare l’integrità delle soluzioni aziendali, revisionando il codice sorgente e scoprendo di più sui processi interni. A partire dall’apertura del primo Transparency Center a Zurigo nel novembre del 2018, Kaspersky ha aperto altri otto centri in Europa, Nord America, America Latina e nell’area Asia-Pacifica. Ad oggi, Kaspersky ha organizzato briefing per quasi 60 richiedenti presso i suoi Transparency Centers di tutto il mondo, tra cui autorità di regolamentazione nazionali e aziende di tutto il mondo.
Entro la metà del 2024, Kaspersky prevede di espandere la propria rete di Transparency Center anche in Medio Oriente e in Africa, aprendo i primi centri in ogni regione, oltre a crearne uno nuovo nella zona Asia-Pacifica. Le tre nuove strutture saranno centri di formazione per gli stakeholder dell’azienda, che potranno ottenere più informazioni sulle procedure interne di ingegneria e gestione dei dati, ma anche sugli standard di settore e sulle best practice applicabili.
Inoltre, Kaspersky sta ampliando la portata dell’offerta di revisione del codice sorgente presso i suoi Transparency Center. Precedentemente, Kaspersky offriva per la revisione solo il codice sorgente dei principali prodotti consumer ed enterprise, ma da luglio 2023, l’azienda eliminerà queste limitazioni e renderà disponibile il codice sorgente delle soluzioni on-premise per i propri clienti e partner aziendali. Questa decisione è stata presa in seguito al crescente interesse dei clienti per la possibilità di esaminare il codice sorgente di altri prodotti Kaspersky. Un’altra novità nell’offerta dei Transparency Center sono i metodi di autocertificazione dei prodotti Kaspersky, che prevedono ad esempio documenti di progettazione e modelli di minacce, in conformità con quanto è stato delineato nell’European Cyber Resilience Act.
“Quando Kaspersky ha lanciato la sua Global Transparency Initiative è stata la prima azienda a promuovere la fiducia nel digitale e a sostenere la responsabilità dei vendor nei confronti dei propri clienti”, ha aggiunto Yuliya Shlychkova, Public Affairs Director di Kaspersky. “Oggi la trasparenza è sempre più richiesta dalle imprese di tutto il mondo, che, infatti, mostrano un atteggiamento più maturo nei confronti della sicurezza informatica e prestano maggiore attenzione all’affidabilità dei vendor di software. Questo dimostra la lungimiranza di Kaspersky, anticipando le future aree di sviluppo del settore e i trend che si affermeranno”.
Altri punti chiave della GTI sono:
- Audit regolari di terze parti per verificare la sicurezza delle soluzioni Kaspersky. Dal 2019, i sistemi di gestione dei dati dell’azienda sono sottoposti a regolare certificazione conforme allo standard ISO/IEC 27001:2013, che attesta come l’azienda garantisca una solida protezione delle informazioni e la compatibilità del suo Data Service con le principali pratiche del settore. Inoltre, Kaspersky si sottopone regolarmente all’audit SOC 2 da parte di un revisore indipendente per esaminare il processo di sviluppo e distribuzione dei database dei virus e accertarsi che sia protetto da modifiche non autorizzate.
- Pubblicazione di Transparency Report con statistiche sul numero di richieste di competenze tecniche e di dati degli utenti raccolti dalle forze dell’ordine e dalle agenzie governative. L’ultimo report ha rivelato i dati riguardanti la richiesta in due categorie — dati utente e competenze tecniche — raccolti durante la seconda metà del 2022. In questo periodo, Kaspersky ha ricevuto 37 richieste da governi e forze dell’ordine (LEA) di sei diversi Paesi. Almeno il 65% di queste sono state respinte per mancanza di dati o perché non soddisfacevano i requisiti di verifica legale.
- Secondo il Bug Bounty Program, chiunque può segnalare vulnerabilità o bug critici nei sistemi Kaspersky e ottenere una ricompensa. Nell’ambito della GTI, sono stati aumentati i premi per i ricercatori di sicurezza, che ora hanno diritto a ricompense fino a 100.000 dollari per la segnalazione delle vulnerabilità più critiche. A partire da marzo 2018 abbiamo ricevuto 55 segnalazioni per vulnerabilità minori, che sono state sottoposte a patch. Ad oggi, è stato versato un totale di 77.450 dollari in ricompense.
- Il Cyber Capacity Building Program (CCBP) pensato per aiutare le aziende a sviluppare meccanismi e competenze per valutare la sicurezza dei prodotti ICT, è stato adottato a partire dal 2020 da sei enti governativi per acquisire maggiori abilità nelle valutazioni dell’affidabilità dei software.
