trasparenza
A ottobre 2017 abbiamo annunciato la nostra Iniziativa globale di trasparenza per dimostrare che non abbiamo nulla da nascondere e che i nostri clienti possono fidarsi di noi, non solo perché lo diciamo ma soprattutto per ciò che facciamo.
Aggiorneremo periodicamente questo post raccontandovi l’avanzamento dell’iniziativa.
Aggiornamento del 17 novembre 2020
È stato completato il trasferimento dell’elaborazione e dell’archiviazione dei dati, annunciato a novembre 2018. Oltre a Europa, Stati Uniti e Canada, il trasferimento dell’archiviazione e dell’elaborazione dati ha interessato un gran numero di paesi dell’Asia-Pacifico, tra cui Australia, Nuova Zelanda, Giappone, Bangladesh, Brunei, Cambogia, India, Indonesia, Corea del Sud, Laos, Malaysia, Nepal, Pakistan, Filippine, Singapore, Sri Lanka, Thailandia e Vietnam.
I dati relativi alle minacce condivisi dai nostri utenti di queste località sono ora gestiti nei due data center di Zurigo, in Svizzera. Questi dati includono file sospetti o precedentemente sconosciuti che i nostri prodotti inviano a Kaspersky Security Network (KSN) per l’analisi automatizzata dei malware.
Annunciamo l’apertura del nostro Transparency Center in Nord America in collaborazione con la CyberNB Association, organizzazione no-profit di New Brunswick, Canada. La struttura entrerà in funzione all’inizio del 2021. Questa quinta sede fornirà ai partner di Kaspersky l’opportunità di analizzare il nostro codice sorgente e di saperne di più sulle pratiche di ingegneria e di elaborazione dei dati, nonché di informarsi sul nostro portfolio di prodotti.
All’inizio del 2020, i Transparency Center di San Paolo e Kuala Lumpur sono diventati pienamente operativi. Kaspersky ha anche rilanciato il suo primo Transparency Center a Zurigo, che abbiamo trasferito presso il data center di Interxion.
Date le difficili restrizioni di viaggio e di visite attualmente in vigore, i clienti e i partner possono visionare il nostro codice sorgente anche a distanza. Per richiedere l’accesso da remoto al Kaspersky Transparency Center, potete consultare questo link.
Abbiamo lanciato il Cyber Capacity Building Program, annunciato a maggio 2020, insieme all’Authority of Information Security (AI) del Vietnam, che comprende il CERT nazionale del Paese e il National Cyber Security Centre (NCSC). Il programma include ora un’ulteriore sezione sul fuzzing, in collaborazione con il team ICS CERT di Kaspersky. A partire dall 2021, il programma sarà a disposizione dei partner commerciali e di altre aziende per migliorare la loro prontezza di risposta e per valutare la robustezza dei loro sistemi e delle loro reti contro i rischi che interessano la supply-chain. Per richiedere l’accesso, potete consultare questo link.
Abbiamo ampliato il nostro programma bug bounty a un altro nostro prodotto. I ricercatori possono ora inviare i report sulle vulnerabilità relativi a Kaspersky VPN Secure Connection, inclusi i moduli software di terze parti che rientrano nella soluzione VPN. Da marzo 2018, il nostro programma ha registrato 76 bug corretti e 37 segnalazioni remunerate, per un totale di 57.750 dollari di ricompensa.
Aggiornamento del 13 febbraio 2020
La nostra iniziativa globale di trasparenza avanza e continua a svilupparsi. Come parte di questo processo, abbiamo ottenuto il certificato ISO/IEC 27001:2013. Tale certificazione, emessa da TÜV AUSTRIA, conferma che i sistemi di sicurezza della nostra compagnia (compreso Kaspersky Security Network) soddisfano le best practices del settore.
Per ottenere questo certificato, abbiamo dovuto dimostrare la nostra aderenza agli standard di implementazione, monitoraggio, manutenzione e miglioramento costanti del nostro Information Security Management System (ISMS).
La valutazione condotta dall’organismo indipendente di certificazione TÜV AUSTRIA ha interessato i sistemi di gestione per l’invio di file dannosi e sospetti mediante l’infrastruttura Kaspersky Security Network (KSN), così come l’immagazzinamento sicuro e l’accesso a questi file nel nostro Distributed File System (KLDFS). I nostri data center di Zurigo (Svizzera), Francoforte (Germania), Toronto (Canada) e Mosca (Russia) sono stati oggetto dell’assessment.
La certificazione è consultabile pubblicamente sulla Certificate Directory di TÜV AUSTRIA e anche sul nostro sito. L’audit ISO 27001 garantisce ai nostri partner e clienti non solo l’eccellente qualità dei nostri prodotti e servizi (i migliori per la protezione delle minacce informatiche), ma conferma anche il rispetto e la cura massimi che dedichiamo alla gestione dei dati dei nostri clienti.
Aggiornamento del 13 novembre 2019
Oggi annunciamo il nostro quarto Transparency Center, che aprirà a San Paolo in Brasile a gennaio 2020. Sarà il primo in America Latina, dopo i Transparency Center europei di Madrid e Zurigo e quello dell’Asia Pacifica a Cyberjaya, in Malesia. Il nuovo centro è un’ulteriore prova del nostro impegno nei confronti della trasparenza e dimostra anche che siamo in grado di affrontare qualsiasi problema di sicurezza in modo tempestivo e accurato.
Il trasferimento dei dati e dell’infrastruttura è in corso. Dopo la migrazione dei dati dei nostri clienti europei in Svizzera, ora stiamo iniziando a spostare anche i dati dei clienti di Stati Uniti e Canada. I dati vengono condivisi volontariamente con Kaspersky Security Network (KSN), il nostro sistema avanzato basato sul cloud che elabora automaticamente i dati relativi alle minacce informatiche. Prevediamo di completare la fase di migrazione entro la fine del 2020 e aggiungeremo costantemente altre regioni.
Come primi firmatari del Paris Call for Trust and Security in Cyberspace, è stato un orgoglio per noi poter annunciare questi progressi al Paris Peace Forum 2019.
I visitatori del nostro Transparency Center hanno l’opportunità di conoscere meglio l’ingegneria e le pratiche di elaborazione dei dati e di compilare, con l’assistenza dei nostri esperti, il software Kaspersky dal suo codice sorgente e di confrontarlo con il codice disponibile al pubblico. Utilizzeremo il Centro anche per mostrare il nostro portfolio e le nostre procedure di ingegneria e di elaborazione dei dati.
Aggiornamento del 15 agosto 2019
Siamo lieti di annunciare che il nostro terzo Transparency Center aprirà all’inizio del 2020 a Cyberjaya, in Malesia. Come quelli che abbiamo aperto a Zurigo e Madrid, questo nuovo Transparency Center sarà una struttura di fiducia per i nostri partner e per gli stakeholder governativi, un luogo in cui è possibile controllare il codice sorgente dei nostri prodotti. Sarà ospitato da CyberSecurity Malesia, l’agenzia di sicurezza informatica del paese.
Il nostro CEO Eugene Kaspersky ci tiene a precisare che questo Transparency Center, il primo nell’Asia Pacifica, dimostra che siamo sulla buona strada con la nostra Iniziativa globale di trasparenza, il cui obiettivo è quello di affrontare la crescente richiesta da parte dei partner e degli stakeholder governativi di ricevere ulteriori informazioni sul funzionamento dei nostri prodotti e delle nostre tecnologie.
Aggiornamento dell’11 luglio 2019
A giugno scorso abbiamo aperto il nostro secondo Tranparency Center, a Madrid, rivolto a clienti e partner di Kaspersky. Abbiamo intenzione di aprire almeno altri tre Transparency Center in tutto il mondo entro il 2020.
Ma non è tutto. È stata completata una parte importante della nostra Iniziativa globale di trasparenza, che riguarda la revisione da parte di Service Organization Control di terze parti (SOC2 Type 1) dei controlli di gestione del rischio per la cybersecurity eseguiti da Kaspersky. Una delle “Big Four” tra le nostre società di consulenza ha esaminato i controlli interni sui regolari aggiornamenti automatici dei database antivirus che vengono programmati e distribuiti da Kaspersky per i propri prodotti in esecuzione su Windows e Unix Servers. E l’audit è giunto alla conclusione che lo sviluppo e la release di questi database sono protetti adeguatamente dalle modifiche non autorizzate. Un’ulteriore conferma della sicurezza e affidabilità dei nostri prodotti. Per questioni contrattuali, possiamo divulgare il report ai nostri clienti e a organismi di vigilanza solamente su richiesta.
Inoltre, continuiamo ad estendere il nostro programma Bug Bounty e di recente abbiamo partecipato anche al movimento Disclose.io, fornendo un “Safe Harbor” ai ricercatori di vulnerabilità che analizzano i nostri prodotti e che potrebbero essere preoccupati delle conseguenze legali nelle quali potrebbero incorrere a causa delle loro scoperte. Per maggiori informazioni su Disclose.io, potete leggere il post sul nostro blog.
Aggiornamento del 2 aprile 2019
La nostra iniziativa globale di trasparenza sta avanzando a grandi passi. Oggi, infatti, annunciamo l’apertura di un secondo Transparency Center, che avrà sede a Madrid, Spagna; la sua creazione ha lo scopo di offrire maggiori informazioni sul funzionamento dei prodotti e delle tecnologie di Kaspersky. Inoltre, il nuovo Transparency Center sarà un centro informazioni per i visitatori che vogliano saperne di più sul nostro portfolio di prodotti, la nostra ingegneria e i nostri meccanismi di gestione dei dati. A giugno prossimo dovrebbero arrivare i primi visitatori, mentre sono in fase di sviluppo i Transparency Center in Asia e Nord America, previsti per il 2020.
Ci stiamo attrezzando anche per quanto riguarda l’infrastruttura di gestione dei dati. L’infrastruttura di ricezione è stata già spostata in Svizzera e abbiamo intenzione di ultimare il trasferimento della parte di immagazzinamento dati per la fine del secondo trimestre di quest’anno. A fine anno, dovremmo aver completato lo spostamento di tutto il processo di gestione dati dei nostri clienti europei.
Inoltre, abbiamo appena pubblicato i risultati di un assessment legale esterna e volontaria che riguarda il diritto russo e come esso si applica a Kaspersky. L’assessment è stato offerto dal Dr. Kaj Hober, professore in International Investment and Trade Law presso l’Università di Uppsala (Svezia) ed esperto in diritto russo. Gli aspetti più importanti emersi dalla sua consulenza sono:
- I Servizi federali per la sicurezza della Federazione russa (FSB) potrebbero richiedere la cooperazione di Kaspersky, ma l’azienda non ha nessun obbligo a riguardo;
- Le leggi che obbligano i vendor a collaborare con l’FSB in attività operative e di indagini si applicano solo alle aziende che offrono servizi di comunicazione elettronica, e non è il caso di Kaspersky;
- Le leggi che obbligano le aziende a custodire i dati in Russia e a fornire all’FSB le chiavi di cifratura (per decifrare i dati) riguardano solo i servizi di telecomunicazione, e non è il caso di Kaspersky.
Ultimo, ma non meno importante: abbiamo migliorato ulteriormente il nostro programma Bug Bounty aggiungendo, insieme ad altri prodotti, anche Kaspersky Password Manager e Kaspersky Endpoint Security for Linux, affinché i loro software siano sottoposti ad una minuziosa analisi. Grazie al programma, fino ad ora sono stati individuati e riferiti oltre 50 bug: i ricercatori hanno ricevuto una ricompensa di oltre 17 mila dollari per le loro importanti scoperte.
Aggiornamento del 13 novembre 2018
È ufficialmente aperto il nostro primo Transparency Center: i partner autorizzati potranno accedere alle revisioni del codice della compagnia, agli aggiornamenti del software e alle regole di identificazione delle minacce.
Inoltre, a partire da oggi processeremo tutti i file dannosi e sospetti condivisi dagli utenti dei prodotti Kaspersky in Europa nelle nostre due strutture di Zurigo per la gestione dei dati a livello mondiale.
Come promesso, Kaspersky ha anche richiesto un audit a una delle quattro aziende più importanti che offrono questo tipo di servizi professionali, seguendo lo standard SSAE 18, per verificare l’operato ingegneristico dell’azienda in merito alla creazione e distribuzione dei database per l’individuazione delle minacce. In questo modo, un ente indipendente potrà confermare che l’azienda segue le massime misure di sicurezza del settore.
Aggiornamento del 29 agosto 2018
Stiamo facendo grandi progressi e il primo cambiamento fondamentale è stato l’aumento a 100 mila dollari della nostra ricompensa di bug bounty. In questo modo i nostri prodotti saranno più sicuri e affidabili. Siamo anche passati alla fase successiva dell’iniziativa globale di trasparenza, installando le attrezzature necessarie per spostare in Europa il processo di gestione dei dati.
Inoltre, Kaspersky ha firmato i contratti con due provider europei, Interxion e NTS, per le strutture che ospiteranno le server facility. Per rispondere alle preoccupazioni di stakeholder pubblici e privati in merito all’accesso non autorizzato ai dati degli utenti, a fine 2018 questi data center ospiteranno le nuove infrastrutture necessarie per raccogliere, processare e custodire i dati degli utenti a Zurigo (Svizzera). Il trasferimento della gestione e della custodia dei dati dei clienti in Europa inizierà con i clienti europei, a cui seguiranno altri paesi. Il processo che coinvolge tutti i paesi europei sarà completato entro l’ultimo trimestre del 2019.
Perché in Svizzera?
La scelta dell’ubicazione è stata piuttosto ovvia: da un lato, la Svizzera si trova nel cuore dell’Europa e, dall’altro, non fa parte dell’Unione Europea; si tratta quindi di un paese indipendente che prende autonomamente le proprie decisioni. E dal momento che uno degli obiettivi della nostra iniziativa globale di trasparenza è quello di dimostrare la nostra indipendenza, non potevamo scegliere paese migliore.
Inoltre, la Svizzera è conosciuta per essere un paese innovativo e avanzato nel settore IT e anche per le rigide norme che riguardano le richieste di gestione di dati da parte delle autorità. I dati dei nostri utenti saranno immagazzinati e processati in uno dei luoghi più sicuri al mondo.
Le fasi della nostra iniziativa globale di trasparenza
Abbiamo intenzione di portare avanti altri aspetti della nostra iniziativa globale di trasparenza.
Innanzitutto, apriremo il nostro primo Transparency Center in Svizzera. Stiamo organizzando il tutto e, una volta pronti, inizieremo a processare i dati nei data center di Zurigo (previsto per la fine di quest’anno).
AGGIORNAMENTO: Abbiamo aperto quattro Transparency Center nelle seguenti località: Zurigo (Svizzera), Madrid (Spagna), Cyberjaya (Malesia) e San Paolo (Brasile). Stiamo per aprire un altro centro a New Brunswick, Canada.
Abbiamo intenzione anche di re-ubicare le strutture che si occupano dei dati dei clienti di altri paesi. Si tratta di un processo piuttosto complicato e, per ridurre al minimo qualsiasi malfunzionamento nella protezione dei nostri clienti, abbiamo deciso di usare un approccio più complesso. Per questo, prima ci dedicheremo allo spostamento in Svizzera delle strutture per la gestione dei dati dei cittadini europei e poi al resto.
AGGIORNAMENTO: I processi di reubicazione di elaborazione e e immagazzinamento dati sono stati completati. Oltre a Europa, Stati Uniti e Canada, Kaspersky questi processi sono stati reubicati anche in altri paesi dell’area dell’Asia-Pacifico.
Ci occuperemo anche dei codici di terze parti e della revisione delle procedure, dal momento che siamo alla ricerca di un partner in grado di portare avanti questi compiti.
AGGIORNAMENTO: Uno dei cosiddetti “Big Four” tra le nostre società di consulenza ha completato l’audit impiegando il report SOC 2 Type 1.
Inoltre, vogliamo spostare n Svizzera il processo di assemblaggio del database che si occupa delle regole di individuazione delle minacce e dei software. In ogni caso, la nostra priorità è trasmettere fiducia in merito all’accesso non autorizzato ai dati degli utenti, per cui questo ulteriore passaggio avverrà dopo aver iniziato il processo di spostamento dei dati.
L’iniziativa globale di trasparenza è molto importante per noi. Siamo assolutamente convinti della necessità di investire tempo e sforzi in questo progetto a lungo termine perché vogliamo dimostrare la trasparenza e l’indipendenza della nostra azienda, caratteristiche che la rendono assolutamente affidabile. Nel momento in cui avremo ulteriori novità in merito alla nostra iniziativa globale di trasparenza, sarete informati qui sul nostro blog e sulla pagina dedicata.
Consigli