Iniziativa globale di trasparenza: gli ultimi aggiornamenti

2 Apr 2019

A ottobre 2017 abbiamo annunciato la nostra iniziativa globale di trasparenza per dimostrare che non abbiamo nulla da nascondere e che i nostri clienti possono fidarsi di noi, non solo perché lo diciamo ma soprattutto per ciò che facciamo.


Nel corso degli anni, abbiamo affrontato false accuse provenienti da diverse fonti. Anche se non sono stati apportati fatti o prove a sostegno di tali accuse, abbiamo la responsabilità di dimostrare che i nostri clienti possono fidarsi di Kaspersky Lab, avendo importanti motivi per farlo. L’iniziativa globale di trasparenza è nata proprio per questo e vogliamo mettervi al corrente sullo stato attuale della situazione.

Aggiorneremo periodicamente questo post raccontandovi l’avanzamento dell’iniziativa.

Aggiornamento del 15 agosto 2019

Siamo lieti di annunciare che il nostro terzo Transparency Center aprirà all’inizio del 2020 a Cyberjaya, in Malesia. Come quelli che abbiamo aperto a Zurigo e Madrid, questo nuovo Transparency Center sarà una struttura di fiducia per i nostri partner e per gli stakeholder governativi,  un luogo in cui è possibile controllare il codice sorgente dei nostri prodotti. Sarà ospitato da CyberSecurity Malesia, l’agenzia di sicurezza informatica del paese.

Il nostro CEO Eugene Kaspersky ci tiene a precisare che questo Transparency Center, il primo nell’Asia Pacifica, dimostra che siamo sulla buona strada con la nostra Iniziativa globale di trasparenza, il cui obiettivo è quello di affrontare la crescente richiesta da parte dei partner e degli stakeholder governativi di ricevere ulteriori informazioni sul funzionamento dei nostri prodotti e delle nostre tecnologie.

Aggiornamento dell’11 luglio 2019

A giugno scorso abbiamo aperto il nostro secondo Tranparency Center, a Madrid, rivolto a clienti e partner di Kaspersky. Abbiamo intenzione di aprire almeno altri tre Transparency Center in tutto il mondo entro il 2020.

Ma non è tutto. È stata completata una parte importante della nostra Iniziativa globale di trasparenza, che riguarda la revisione da parte di Service Organization Control di terze parti (SOC2 Type 1) dei controlli di gestione del rischio per la cybersecurity eseguiti da Kaspersky. Una delle “Big Four” tra le nostre società di consulenza ha esaminato i controlli interni sui regolari aggiornamenti automatici dei database antivirus che vengono programmati e distribuiti da Kaspersky per i propri prodotti in esecuzione su Windows e Unix Servers. E l’audit è giunto alla conclusione che lo sviluppo e la release di questi database sono protetti adeguatamente dalle modifiche non autorizzate. Un’ulteriore conferma della sicurezza e affidabilità dei nostri prodotti. Per questioni contrattuali, possiamo divulgare il report ai nostri clienti e a organismi di vigilanza solamente su richiesta.

Inoltre, continuiamo ad estendere il nostro programma Bug Bounty e di recente abbiamo partecipato anche al movimento Disclose.io, fornendo un “Safe Harbor” ai ricercatori di vulnerabilità che analizzano i nostri prodotti e che potrebbero essere preoccupati delle conseguenze legali nelle quali potrebbero incorrere a causa delle loro scoperte. Per maggiori informazioni su Disclose.io, potete leggere il post sul nostro blog.

Aggiornamento del 2 aprile 2019

La nostra iniziativa globale di trasparenza sta avanzando a grandi passi. Oggi, infatti, annunciamo l’apertura di un secondo Transparency Center, che avrà sede a Madrid, Spagna; la sua creazione ha lo scopo di offrire maggiori informazioni sul funzionamento dei prodotti e delle tecnologie di Kaspersky Lab. Inoltre, il nuovo Transparency Center sarà un centro informazioni per i visitatori che vogliano saperne di più sul nostro portfolio di prodotti, la nostra ingegneria e i nostri meccanismi di gestione dei dati. A giugno prossimo dovrebbero arrivare i primi visitatori, mentre sono in fase di sviluppo i Transparency Center in Asia e Nord America, previsti per il 2020.

Ci stiamo attrezzando anche per quanto riguarda l’infrastruttura di gestione dei dati. L’infrastruttura di ricezione è stata già spostata in Svizzera e abbiamo intenzione di ultimare il trasferimento della parte di immagazzinamento dati per la fine del secondo trimestre di quest’anno.  A fine anno, dovremmo aver completato lo spostamento di tutto il processo di gestione dati dei nostri clienti europei.

Inoltre, abbiamo appena pubblicato i risultati di un assessment legale esterna e volontaria che riguarda il diritto russo e come esso si applica a Kaspersky Lab. L’assessment è stato offerto dal Dr. Kaj Hober, professore in International Investment and Trade Law presso l’Università di Uppsala (Svezia) ed esperto in diritto russo. Gli aspetti più importanti emersi dalla sua consulenza sono:

  • I Servizi federali per la sicurezza della Federazione russa (FSB) potrebbero richiedere la cooperazione di Kaspersky Lab, ma l’azienda non ha nessun obbligo a riguardo;
  • Le leggi che obbligano i vendor a collaborare con l’FSB in attività operative e di indagini si applicano solo alle aziende che offrono servizi di comunicazione elettronica, e non è il caso di Kaspersky Lab;
  • Le leggi che obbligano le aziende a custodire i dati in Russia e a fornire all’FSB le chiavi di cifratura (per decifrare i dati) riguardano solo i servizi di telecomunicazione, e non è il caso di Kaspersky Lab.

Ultimo, ma non meno importante: abbiamo migliorato ulteriormente il nostro programma Bug Bounty aggiungendo, insieme ad altri prodotti, anche Kaspersky Password ManagerKaspersky Endpoint Security for Linux, affinché i loro software siano sottoposti ad una minuziosa analisi. Grazie al programma, fino ad ora sono stati individuati e riferiti oltre 50 bug: i ricercatori hanno ricevuto una ricompensa di oltre 17 mila dollari per le loro importanti scoperte.

Aggiornamento del 13 novembre 2018

È ufficialmente aperto il nostro primo Transparency Center: i partner autorizzati potranno accedere alle revisioni del codice della compagnia, agli aggiornamenti del software e alle regole di identificazione delle minacce.

Inoltre, a partire da oggi processeremo tutti i file dannosi e sospetti condivisi dagli utenti dei prodotti Kaspersky Lab in Europa nelle nostre due strutture di Zurigo per la gestione dei dati a livello mondiale.

Come promesso, Kaspersky Lab ha anche richiesto un audit a una delle quattro aziende più importanti che offrono questo tipo di servizi professionali, seguendo lo standard SSAE 18, per verificare l’operato ingegneristico dell’azienda in merito alla creazione e distribuzione dei database per l’individuazione delle minacce. In questo modo, un ente indipendente potrà confermare che l’azienda segue le massime misure di sicurezza del settore.

Aggiornamento del 29 agosto 2018

Stiamo facendo grandi progressi e il primo cambiamento fondamentale è stato l’aumento a 100 mila dollari della nostra ricompensa di bug bounty. In questo modo i nostri prodotti saranno più sicuri e affidabili. Siamo anche passati alla fase successiva dell’iniziativa globale di trasparenza, installando le attrezzature necessarie per spostare in Europa il processo di gestione dei dati.

Inoltre, Kaspersky Lab ha firmato i contratti con due provider europei, Interxion e NTS, per le strutture che ospiteranno le server facility. Per rispondere alle preoccupazioni di stakeholder pubblici e privati in merito all’accesso non autorizzato ai dati degli utenti, a fine 2018 questi data center ospiteranno le nuove infrastrutture necessarie per raccogliere, processare e custodire i dati degli utenti a Zurigo (Svizzera). Il trasferimento della gestione e della custodia dei dati dei clienti in Europa inizierà con i clienti europei, a cui seguiranno altri paesi. Il processo che coinvolge tutti i paesi europei sarà completato entro l’ultimo trimestre del 2019.

Perché in Svizzera?

La scelta dell’ubicazione è stata piuttosto ovvia: da un lato, la Svizzera si trova nel cuore dell’Europa e, dall’altro, non fa parte dell’Unione Europea; si tratta quindi di un paese indipendente che prende autonomamente le proprie decisioni. E dal momento che uno degli obiettivi della nostra iniziativa globale di trasparenza è quello di dimostrare la nostra indipendenza, non potevamo scegliere paese migliore.

Inoltre, la Svizzera è conosciuta per essere un paese innovativo e avanzato nel settore IT e anche per le rigide norme che riguardano le richieste di gestione di dati da parte delle autorità. I dati dei nostri utenti saranno immagazzinati e processati in uno dei luoghi più sicuri al mondo.

Le fasi della nostra iniziativa globale di trasparenza

Abbiamo intenzione di portare avanti altri aspetti della nostra iniziativa globale di trasparenza.

Innanzitutto, apriremo il nostro primo Transparency Center in Svizzera. Stiamo organizzando il tutto e, una volta pronti, inizieremo a processare i dati nei data center di Zurigo (previsto per la fine di quest’anno). [AGGIORNAMENTO: Abbiamo due Transparency Center, rspettivamente a Zurigo e a Madrid].

Abbiamo intenzione anche di re-ubicare le strutture che si occupano dei dati dei clienti di altri paesi. Si tratta di un processo piuttosto complicato e, per ridurre al minimo qualsiasi malfunzionamento nella protezione dei nostri clienti, abbiamo deciso di usare un approccio più complesso. Per questo, prima ci dedicheremo allo spostamento in Svizzera delle strutture per la gestione dei dati dei cittadini europei e poi al resto. [AGGIORNAMENTO: Il processo de re-ubicazione è già iniziato e nel 2019 sarà completato quello riguardante i cittadini europei].

Ci occuperemo anche dei codici di terze parti e della revisione delle procedure, dal momento che siamo alla ricerca di un partner in grado di portare avanti questi compiti. [AGGIORNAMENTO: Uno dei cosiddetti “Big Four” tra le nostre società di consulenza ha completato l’audit impiegando il report SOC 2 Type 1].

Inoltre, vogliamo spostare n Svizzera il processo di assemblaggio del database che si occupa delle regole di individuazione delle minacce e dei software. In ogni caso, la nostra priorità è trasmettere fiducia in merito all’accesso non autorizzato ai dati degli utenti, per cui questo ulteriore passaggio avverrà dopo aver iniziato il processo di spostamento dei dati.

L’iniziativa globale di trasparenza è molto importante per noi. Siamo assolutamente convinti della necessità di investire tempo e sforzi in questo progetto a lungo termine perché vogliamo dimostrare la trasparenza e l’indipendenza della nostra azienda, caratteristiche che la rendono assolutamente affidabile. Nel momento in cui avremo ulteriori novità in merito alla nostra iniziativa globale di trasparenza, sarete informati qui sul nostro blog e sulla pagina dedicata.