Το 2023 σηματοδοτεί το κλείσιμο της πενταετίας της Παγκόσμιας Πρωτοβουλίας Διαφάνειας (GTI) της Kaspersky, του κορυφαίου προγράμματος της εταιρείας που στοχεύει να θέσει ένα σημείο αναφοράς στον κλάδο για την αντιμετώπιση των κινδύνων της εφοδιαστικής αλυσίδας. Καθώς η γενική στάση σχετικά με τους κινδύνους που σχετίζονται με τη χρήση λογισμικού τρίτων αυξάνεται και τόσο οι επιχειρήσεις όσο και οι ρυθμιστικές αρχές θέλουν να γνωρίζουν πόσο ασφαλές είναι το λογισμικό που χρησιμοποιούν, η Kaspersky ανακοινώνει τα σχέδιά της να επεκτείνει περαιτέρω την πρωτοβουλία της, διευρύνοντας το δίκτυο των Κέντρων Διαφάνειας παγκοσμίως αλλά και τις επιλογές αναθεώρησης του πηγαίου κώδικα.
Η ζήτηση για μεγαλύτερη ψηφιακή εμπιστοσύνη αυξάνεται εν μέσω μιας ενισχυόμενης τάσης προς την ψηφιακή κυριαρχία, με σημαντικά ορόσημα που καθορίζονται από την εμφάνιση κανονισμών όπως η πρόταση European Cyber Resilience Act. Αυτό έχει εγείρει ερωτήματα σχετικά με τα τεκμηριωμένα κριτήρια των κατάλληλων ψηφιακών προϊόντων και τα μέτρα για την επαλήθευση της συμμόρφωσής τους, με τα καθολικά πλαίσια οικοδόμησης εμπιστοσύνης να βρίσκονται σε ζήτηση όσο ποτέ άλλοτε.
Με στόχο την ανάδειξη της αξιοπιστίας των λύσεων της Kaspersky και την προώθηση προτύπων διαφάνειας στον κλάδο της κυβερνοασφάλειας στο σύνολό του, το GTI αναπτύσσεται και μεγαλώνει σε κλίμακα, με τη συνολική επένδυση της εταιρείας στο έργο να ανέρχεται συνολικά στα 7,9 εκατομμύρια δολάρια από την έναρξή του. Σήμερα, το GTI περιλαμβάνει έξι βασικούς πυλώνες, δηλαδή τη μετεγκατάσταση δεδομένων, το άνοιγμα Κέντρων Διαφάνειας παγκοσμίως, τους τακτικούς ανεξάρτητους ελέγχους, το πρόγραμμα διαχείρισης τρωτών σημείων, το εκπαιδευτικό πρόγραμμα Cyber Capacity Building και τις Εκθέσεις Διαφάνειας.
Μία από τις πρώτες ενέργειες του GTI ήταν η μετεγκατάσταση των δεδομένων που σχετίζονται με απειλές στον κυβερνοχώρο και τα οποία ελήφθησαν από χρήστες προϊόντων της Kaspersky σε κέντρα δεδομένων στην Ελβετία, γνωστή για την ισχυρή προστασία δεδομένων και την ουδετερότητά της. Σήμερα, τα δεδομένα των χρηστών της Kaspersky στην Ευρώπη, τη Βόρεια και Λατινική Αμερική, τη Μέση Ανατολή, καθώς και πολλές χώρες στην περιοχή Ασίας-Ειρηνικού αποθηκεύονται και υποβάλλονται σε επεξεργασία σε δύο κέντρα δεδομένων στη Ζυρίχη.
«Στην Kaspersky, αντιμετωπίζαμε πάντα με σοβαρότητα το ζήτημα της προστασίας των δεδομένων των χρηστών. Για να διασφαλίσουμε ότι τα δεδομένα που μας εμπιστεύονται οι πελάτες μας είναι ασφαλή, ακολουθούμε μια ολοκληρωμένη προσέγγιση, συμμορφώνοντας τις πρακτικές διαχείρισης δεδομένων μας με τα κορυφαία πρότυπα του κλάδου», σχολιάζει ο Anton Ivanov, Διευθυντής Τεχνολογίας της Kaspersky. «Έχουμε επίσης προσκαλέσει εξωτερικούς συνεργάτες ελεγκτές για επαλήθευση και επιλέξαμε εγκαταστάσεις παγκόσμιας κλάσης σύμφωνα με τα βιομηχανικά πρότυπα για την αποθήκευση και την επεξεργασία δεδομένων. Με αυτήν την ολιστική προσέγγιση, ελπίζουμε να δώσουμε στους χρήστες των προϊόντων της Kaspersky απόλυτη ηρεμία σχετικά με την ασφάλεια και το απόρρητο των δεδομένων τους».
Μαζί με την έναρξη της μετεγκατάστασης δεδομένων, η Kaspersky άρχισε να δημιουργεί το παγκόσμιο δίκτυο των Κέντρων Διαφάνειας — εγκαταστάσεις όπου οι πελάτες και οι συνεργάτες καθώς και οι κυβερνητικές ρυθμιστικές αρχές που είναι υπεύθυνες για την ασφάλεια στον κυβερνοχώρο μπορούν να ελέγχουν την ακεραιότητα των λύσεων της εταιρείας εξετάζοντας τον πηγαίο κώδικα τους και επίσης να μαθαίνουν περισσότερα για τις εσωτερικές διαδικασίες της εταιρείας. Από το άνοιγμα του πρώτου Κέντρου Διαφάνειας στη Ζυρίχη τον Νοέμβριο του 2018, η Kaspersky έχει ανοίξει οκτώ ακόμη κέντρα στην Ευρώπη, τη Βόρεια και τη Λατινική Αμερική, καθώς και την Ασία-Ειρηνικό. Μέχρι σήμερα, η Kaspersky έχει οργανώσει ενημερώσεις για σχεδόν 60 αιτούντα μέρη στα Κέντρα Διαφάνειας παγκοσμίως, συμπεριλαμβανομένων εθνικών ρυθμιστικών αρχών και επιχειρήσεων από όλον τον κόσμο.
Μέχρι τα μέσα του 2024, η Kaspersky σχεδιάζει να επεκτείνει το δίκτυο Κέντρων Διαφάνειας στη Μέση Ανατολή και την Αφρική και να ανοίξει τα πρώτα της Κέντρα Διαφάνειας σε κάθε περιοχή, μαζί με τη δημιουργία ενός νέου κέντρου στην περιοχή Ασίας-Ειρηνικού. Οι τρεις νέες εγκαταστάσεις θα χρησιμεύσουν ως κέντρα ενημέρωσης για τους stakeholders της εταιρείας αναφορικά με τις εσωτερικές πρακτικές μηχανικής και διαχείρισης δεδομένων της Kaspersky, αλλά και για τα ισχύοντα βιομηχανικά πρότυπα και τις βέλτιστες πρακτικές.
Επιπλέον, η Kaspersky επεκτείνει το εύρος της προσφοράς αναθεώρησης πηγαίου κώδικα στα Κέντρα Διαφάνειας. Προηγουμένως, η Kaspersky προσέφερε για αναθεώρηση μόνο τον πηγαίο κώδικα των κορυφαίων καταναλωτικών και εταιρικών προϊόντων της, αλλά από τον Ιούλιο του 2023, η εταιρεία καταργεί τους περιορισμούς ως προς αυτό και καθιστά τον πηγαίο κώδικα όλων των on-premise λύσεών της διαθέσιμο για τους εταιρικούς πελάτες και συνεργάτες της. Η απόφαση ήρθε ως αποτέλεσμα του αυξημένου ενδιαφέροντος των πελατών για την επιθεώρηση του πηγαίου κώδικα πρόσθετων προϊόντων Kaspersky. Μια άλλη καινοτομία στην προσφορά των Κέντρων Διαφάνειας της Kaspersky θα είναι τα αποτελέσματα της αυτοπιστοποίησης των προϊόντων της Kaspersky, συμπεριλαμβανομένων στοιχείων όπως σχεδιαστικών εγγράφων και μοντέλων απειλών που σχετίζονται με τις συστάσεις που περιγράφονται στην πρόταση European Cyber Resilience Act.
«Όταν η Kaspersky ξεκίνησε την Παγκόσμια Πρωτοβουλία Διαφάνειας, ήταν πρωτοπόρος στην προώθηση της ψηφιακής εμπιστοσύνης και στην υποστήριξη της λογοδοσίας των προμηθευτών προς στους πελάτες της», σχολιάζει η Yuliya Shlychkova, Public Affairs Director στην Kaspersky. «Σήμερα βλέπουμε ότι η διαφάνεια είναι σε αυξανόμενη ζήτηση από οργανισμούς παγκοσμίως, οι οποίοι υιοθετούν μια πιο ώριμη στάση απέναντι στην προστασία στον κυβερνοχώρο και δίνουν μεγαλύτερη προσοχή στην αξιοπιστία των προμηθευτών λογισμικού τους. Αυτό αποδεικνύει ότι η Kaspersky είναι οραματιστής, προβλέποντας τους μελλοντικούς τομείς ανάπτυξης της βιομηχανίας και τις τάσεις που θα βασιλέψουν».
Άλλα χαρακτηριστικά του GTI περιλαμβάνουν:
- Τακτικοί έλεγχοι από τρίτα μέρη, οι οποίοι επαληθεύουν την ασφάλεια των λύσεων της Kaspersky. Από το 2019, τα συστήματα διαχείρισης δεδομένων της εταιρείας υπόκεινται σε τακτική πιστοποίηση σύμφωνα με το πρότυπο ISO/IEC 27001:2013, το οποίο επιβεβαιώνει ότι η εταιρεία επιτρέπει ισχυρή ασφάλεια πληροφοριών και η Υπηρεσία Δεδομένων της είναι συμβατή με τις κορυφαίες πρακτικές του κλάδου. Επιπλέον, η Kaspersky πραγματοποιεί τακτικά έλεγχο SOC 2 από ανεξάρτητο ελεγκτή για να ελέγξει τη διαδικασία ανάπτυξης και διανομής βάσεων δεδομένων ιών και να επαληθεύσει ότι είναι ασφαλής και προστατευμένη από μη εξουσιοδοτημένες αλλαγές.
- Δημοσίευση Αναφορών Διαφάνειας, που αποκαλύπτουν στατιστικά στοιχεία σχετικά με τον αριθμό των αιτημάτων για τεχνική εμπειρογνωμοσύνη και δεδομένα χρηστών, που ελήφθησαν από τις αρχές επιβολής του νόμου και τις κρατικές υπηρεσίες. Η τελευταία έκθεση αποκάλυψε δεδομένα για τα αιτήματα σε δύο κατηγορίες — δεδομένα χρήστη και τεχνική εμπειρογνωμοσύνη — που λήφθηκαν κατά το δεύτερο εξάμηνο του 2022. Κατά το δεύτερο εξάμηνο του 2022, η Kaspersky έλαβε 37 αιτήματα από κυβερνήσεις και υπηρεσίες επιβολής του νόμου από έξι χώρες. Τουλάχιστον το 65% από αυτά απορρίφθηκαν λόγω έλλειψης δεδομένων ή λόγω μη συμμόρφωσης με τις νομικές απαιτήσεις επαλήθευσης.
- Υλοποίηση προγράμματος Bug Bounty, βάσει του οποίου οποιοσδήποτε μπορεί να αναφέρει κρίσιμα τρωτά σημεία ή σφάλματα που εντοπίστηκαν στα συστήματά της και να λάβει ανταμοιβή. Στο πλαίσιο του GTI, η Kaspersky έχει αυξήσει τα βραβεία για ερευνητές ασφάλειας, οι οποίοι είναι πλέον επιλέξιμοι για επιδόματα έως και 100.000 $ για την αναφορά των πιο κρίσιμων τρωτών σημείων. Από τον Μάρτιο του 2018 η εταιρεία έχει λάβει 55 αναφορές για μικρές ευπάθειες, τις διόρθωσε και μέχρι σήμερα έχει καταβάλει συνολικά 77.450 δολάρια σε ανταμοιβές.
- Το Πρόγραμμα Ανάπτυξης Ικανοτήτων στον Κυβερνοχώρο (CCBP), το οποίο έχει σχεδιαστεί για να βοηθά τους οργανισμούς να αναπτύξουν μηχανισμούς και δεξιότητες για αξιολογήσεις ασφάλειας προϊόντων ICT. Από το 2020, έξι κυβερνητικοί φορείς έχουν λάβει το Kaspersky Cyber Capacity Building Program για να αναπτύξουν δεξιότητες στην αξιολόγηση της αξιοπιστίας του λογισμικού.