{"id":29135,"date":"2024-07-31T17:51:09","date_gmt":"2024-07-31T15:51:09","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29135"},"modified":"2024-07-31T17:51:09","modified_gmt":"2024-07-31T15:51:09","slug":"managing-cybersecurity-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/managing-cybersecurity-risks\/29135\/","title":{"rendered":"Uno scudo di fiducia"},"content":{"rendered":"<p>\u00c8 passato un mese da quando il Dipartimento del Commercio degli Stati Uniti ha emesso la decisione finale sulla vendita e l\u2019utilizzo dei prodotti Kaspersky da parte di individui statunitensi. La decisione dell\u2019ente, per chi non lo sapesse, \u00e8 stata a grandi linee quella di bandire dal mercato i prodotti Kaspersky, salvo sparute eccezioni per alcuni prodotti e servizi informativi ed educativi. Con il seguente risultato: gli utenti negli Stati Uniti non possono pi\u00f9 accedere al software di cybersecurity da loro scelto su criteri di qualit\u00e0 ed esperienza.<\/p>\n<p>In 27 anni di storia aziendale siamo sempre stati riconosciuti come la migliore protezione sul mercato contro ogni tipo di cyberminaccia, indipendentemente dalla provenienza degli attacchi. Alcuni esempi: all\u2019inizio di quest\u2019anno i nostri prodotti hanno ricevuto ancora una volta il premio per il <a href=\"https:\/\/www.youtube.com\/watch?v=VlfWkuOswC8\" target=\"_blank\" rel=\"noopener nofollow\">prodotto dell\u2019anno<\/a> da un noto laboratorio di test indipendente; di anno in anno le nostre soluzioni <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2023_kaspersky-products-proved-absolute-anti-ransomware-effectiveness-in-regular-av-test-examination\" target=\"_blank\" rel=\"noopener nofollow\">hanno dimostrato<\/a> una protezione al 100% contro il tipo di minaccia pi\u00f9 pesante, ovvero il ransomware; inoltre \u00e8 proprio il team di ricerca sulle minacce di Kaspersky, rispettato sia dalla comunit\u00e0 InfoSec globale che dai nostri utenti, a scoprire, analizzare e soprattutto rivelare al mondo le pi\u00f9 grandi e sofisticate campagne di spionaggio sponsorizzate dagli stati.<\/p>\n<p>Detto ci\u00f2, quale potrebbe essere la ragione dietro la messa al bando delle migliori soluzioni di cybersecurity di cui milioni di persone si fidano? Il problema \u00e8 stato definito in modo chiaro e obiettivo? Ci sono state prove di quei rischi a cui da anni il governo degli Stati Uniti fa riferimento? No, non ce n\u2019\u00e8 traccia.<\/p>\n<p>Pur avendo a che fare con gli esiti di un crescente protezionismo (e dei suoi tangibili effetti), come denunce di cattiva condotta prive di ogni evidenza e accuse basate esclusivamente su rischi teorici, abbiamo continuamente sviluppato una metodologia universale per la valutazione dei prodotti di cybersecurity, rimanendo sempre fedeli al nostro principio fondamentale: essere estremamente trasparenti e aperti su come svolgiamo il nostro lavoro.<\/p>\n<p>In un gesto di buona volont\u00e0 senza precedenti siamo diventati la prima, e rimaniamo l\u2019unica, grande azienda di cybersecurity a fornire a terze parti l\u2019accesso al nostro codice sorgente e permettiamo anche ai nostri stakeholder e ai nostri partner fidati di controllare le nostre regole di rilevamento delle minacce e gli aggiornamenti software. Da diversi anni mettiamo in atto la nostra <a href=\"https:\/\/gti.kaspersky.com\/\" target=\"_blank\" rel=\"noopener\">Global Transparency Initiative<\/a>, unica per portata e valore pratico, che riflette ancora una volta il nostro atteggiamento collaborativo e la determinazione ad affrontare qualsiasi potenziale problema relativo al funzionamento delle nostre soluzioni. Nonostante ci\u00f2 ci siamo trovati ad affrontare timori sull\u2019affidabilit\u00e0 dei nostri prodotti, di solito derivanti da fattori esterni come congetture geopolitiche, facendo il possibile dando suggerimenti per un framework ancora pi\u00f9 completo che valutasse l\u2019integrit\u00e0 delle nostre soluzioni di sicurezza durante il loro intero ciclo di vita.<\/p>\n<p>Il framework che descriver\u00f2 di seguito \u00e8 ci\u00f2 che abbiamo condiviso in modo proattivo con le parti che esprimono preoccupazioni sulla credibilit\u00e0 delle soluzioni Kaspersky, anche all\u2019interno del governo degli Stati Uniti. Riteniamo che questo framework sia sufficientemente completo per affrontare le preoccupazioni pi\u00f9 comunemente espresse e che sia in grado di creare una catena di fiducia affidabile.<\/p>\n<p>I pilastri della metodologia di valutazione della cybersecurity da noi presentata (che, per inciso, riteniamo abbiano il potenziale per formare la base di una metodologia a livello di settore) includono: (i) la localizzazione dell\u2019elaborazione dei dati, (ii) la revisione dei dati ricevuti e (iii) la revisione sia delle informazioni che degli aggiornamenti forniti ai computer degli utenti (come parte degli aggiornamenti del software e del database delle minacce). Proprio come nell\u2019ambito della nostra Global Transparency Initiative, al centro della strategia c\u2019\u00e8 l\u2019impiego di un revisore esterno per il controllo dei processi e delle soluzioni aziendali. A rappresentare una novit\u00e0 in questa metodologia \u00e8 sia l\u2019estensione che la profondit\u00e0 di tali revisioni. Entriamo nei dettagli\u2026<\/p>\n<h2>Localizzazione dell\u2019elaborazione dei dati<\/h2>\n<p>La questione dell\u2019elaborazione e dell\u2019archiviazione dei dati \u00e8 una delle pi\u00f9 delicate, non solo per Kaspersky, ma per l\u2019intero settore della cybersecurity. Riceviamo spesso domande ragionevoli riguardanti i dati che i nostri prodotti possono elaborare, le modalit\u00e0 di archiviazione e, soprattutto, i motivi per cui necessitiamo di questi dati. Lo scopo principale di Kaspersky nell\u2019elaborazione dei dati \u00e8 fornire ai nostri utenti e clienti le migliori soluzioni di cybersecurity: raccogliendo dati sui file dannosi e sospetti che rileviamo nei computer degli utenti possiamo addestrare i nostri algoritmi, insegnando loro come rilevare nuove minacce e contenerne la diffusione.<\/p>\n<p>Il framework che presentiamo implica anche <strong>una maggiore localizzazione dell\u2019infrastruttura di elaborazione dei dati<\/strong> e l\u2019attuazione di controlli tecnici e amministrativi che limitano l\u2019accesso a tale infrastruttura da parte di dipendenti al di fuori di un determinato Paese o area geografica. Abbiamo gi\u00e0 attuato tale approccio nella fornitura del nostro servizio <a href=\"https:\/\/go.kaspersky.com\/mdr-in-ksa.html\" target=\"_blank\" rel=\"noopener nofollow\">Managed Detection and Response (MDR)<\/a> in Arabia Saudita e gli stessi meccanismi sono stati suggeriti nelle nostre discussioni con le autorit\u00e0 statunitensi per alleviarne le preoccupazioni. Queste misure garantirebbero che i dati locali vengano sia archiviati che elaborati in un ambiente fisico in cui il controllo finale spetta a persone soggette alla giurisdizione locale o a quella di un Paese strettamente alleato, se ritenuto appropriato da queste persone. Proprio come per i passaggi sopra menzionati, un validatore di terze parti indipendente potrebbe essere invitato a rivedere l\u2019efficacia delle misure messe in atto.<\/p>\n<p>L\u2019elaborazione dei dati locali richiede l\u2019analisi delle minacce locali e lo sviluppo locale di firme di rilevamento del malware, e la nostra metodologia fornisce proprio questo. La localizzazione dell\u2019elaborazione dei dati richiede l\u2019espansione delle risorse umane per supportare l\u2019infrastruttura locale e siamo pronti a rafforzare ulteriormente i nostri team di <strong>ricerca e sviluppo e IT regionali<\/strong> in determinati Paesi. Tali team sarebbero esclusivamente responsabili del supporto dell\u2019elaborazione dei dati nazionali, della gestione del software del data center locale e dell\u2019analisi del malware per identificare nuovi APT specifici per una determinata area geografica. Questa misura garantirebbe anche la presenza di pi\u00f9 esperti internazionali nello sviluppo delle future linee di prodotti Kaspersky, rendendo il nostro R&amp;D ancora pi\u00f9 decentralizzato.<\/p>\n<h2>Revisione del processo di recupero dei dati<\/h2>\n<p>Proteggiamo i dati che raccogliamo da potenziali rischi utilizzando rigorose politiche, pratiche e controlli interni; non attribuiamo mai i dati raccolti a un individuo o a un\u2019organizzazione specifici, li rendiamo anonimi ove possibile, ne limitiamo l\u2019accesso all\u2019interno dell\u2019azienda e ne elaboriamo in modo automatico il 99%.<\/p>\n<p>Per mitigare ulteriormente qualsiasi potenziale rischio per i dati dei nostri clienti, abbiamo suggerito di incaricare un revisore autorizzato di terze parti di <strong>rivedere periodicamente il nostro processo di recupero dei dati<\/strong>. Tale revisore in tempo reale valuterebbe periodicamente i dati che riceviamo con gli strumenti di analisi dei dati e le piattaforme di elaborazione dei dati per garantire che nessuna informazione di identificazione personale o altri dati protetti vengano trasferiti a Kaspersky e per confermare che i dati recuperati siano utilizzati esclusivamente per il rilevamento e la protezione contro le minacce e che siano gestiti in modo appropriato.<\/p>\n<h2>Revisione degli aggiornamenti e dei dati forniti ai computer degli utenti<\/h2>\n<p>Come passaggio successivo dal lato del prodotto, verrebbe fornito un framework di mitigazione per <strong>revisioni regolari da parte di terzi degli aggiornamenti del database delle minacce e dello sviluppo del codice software relativo al prodotto<\/strong> per mitigare i rischi della supply chain tra i nostri clienti. \u00c8 importante sottolineare che questa terza parte sarebbe un\u2019organizzazione indipendente che riferisce direttamente a un regolatore locale. Questo si aggiungerebbe al rigoroso e sicuro processo di sviluppo software di Kaspersky che si concentra sulla mitigazione dei rischi, incluso uno scenario in cui \u00e8 presente un intruso nel sistema, per garantire che nessuno possa aggiungere codice non autorizzato ai nostri prodotti o ai database anti-virus.<\/p>\n<p>Ma per migliorare ulteriormente le garanzie di sicurezza, l\u2019incarico di un revisore esterno in tempo reale ha lo scopo di valutare la sicurezza del codice sviluppato dagli ingegneri di Kaspersky, suggerire miglioramenti, identificare potenziali rischi e determinare soluzioni appropriate.<\/p>\n<p>Tra i possibili scenari di organizzazione di un tale controllo degli aggiornamenti del database delle minacce indichiamo il seguente:<\/p>\n<div id=\"attachment_29136\" style=\"width: 1930px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-29136\" class=\"size-full wp-image-29136\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2024\/07\/31174928\/managing-cybersecurity-risks-01_IT.png\" alt=\"Uno degli scenari di revisione in tempo reale dei database delle minacce \" width=\"1920\" height=\"1080\"><p id=\"caption-attachment-29136\" class=\"wp-caption-text\">Uno degli scenari di revisione in tempo reale dei database delle minacce<\/p><\/div>\n<p>\u00c8 importante sottolineare che la revisione di terze parti pu\u00f2 essere bloccante o non bloccante, condotta su base regolare o per accumulo di una massa critica di aggiornamenti\/componenti per la revisione, nonch\u00e9 applicata a tutti o solo a una selezione di componenti. L\u2019opzione di revisione pi\u00f9 avanzata proposta prevede il blocco in tempo reale che consente ai revisori di controllare completamente il codice inviato ai computer degli utenti. Una revisione di blocco impedirebbe a qualsiasi codice durante il processo di revisione di accedere a un prodotto o agli aggiornamenti, e quindi ai clienti di Kaspersky.<\/p>\n<p>Questo completo processo di revisione potrebbe essere ulteriormente migliorato richiedendo la firma del revisore su tutti gli aggiornamenti forniti ai computer dell\u2019utente dopo che il codice sottostante \u00e8 stato confermato e creato. Ci\u00f2 impedirebbe modifiche al codice dopo essere stato revisionato in tempo reale.<\/p>\n<p>La revisione proposta non solo consente la verifica in tempo reale della sicurezza del codice appena sviluppato, ma fornisce anche l\u2019accesso all\u2019intero codice sorgente, inclusa la sua cronologia. Ci\u00f2 consente al revisore di valutare appieno il codice appena sviluppato, comprenderne le modifiche nel tempo e vedere come interagisce con altri componenti del prodotto.<\/p>\n<p>Una tale revisione assoluta del codice sarebbe anche accompagnata dall\u2019accesso a una copia dell\u2019ambiente di creazione del software dell\u2019azienda che rispecchia quello utilizzato in Kaspersky, comprese le istruzioni e gli script di compilazione, la documentazione di progettazione dettagliata e le descrizioni tecniche dei processi e dell\u2019infrastruttura. Il revisore in tempo reale potrebbe quindi creare\/compilare il codice in modo indipendente e confrontare i file binari e\/o gli oggetti di compilazione intermedi con le versioni fornite. Il revisore sarebbe anche in grado di verificare le modifiche all\u2019infrastruttura della build e al software.<\/p>\n<p>Possiamo anche fornire a una terza parte indipendente attendibile l\u2019accesso alle pratiche di sviluppo software dell\u2019azienda. Tale analisi indipendente mirerebbe a fornire ulteriori garanzie che le misure e i processi applicati da Kaspersky corrispondano alle principali pratiche del settore. L\u2019accesso coprirebbe tutta la documentazione di sicurezza pertinente, tra cui ad esempio la definizione dei requisiti di sicurezza, la modellazione delle minacce, la revisione del codice, la verifica del codice statico e dinamico, i penetration test e cos\u00ec via.<\/p>\n<p>A nostro giudizio la suddetta strategia pu\u00f2 affrontare la maggior parte dei rischi ICT nella supply chain relativi allo sviluppo e alla distribuzione del prodotto in modo efficace e verificabile. E come ho gi\u00e0 detto, queste sono a tutti gli effetti le misure di mitigazione che abbiamo presentato in una proposta di discussione al Dipartimento del Commercio degli Stati Uniti, confermando ancora una volta la nostra apertura al dialogo e la determinazione a fornire il massimo livello di garanzie di sicurezza. Tuttavia, la nostra proposta \u00e8 stata semplicemente ignorata. Questo mi porta a ritenere che il motivo sia basato su idee preconcette del Dipartimento. Sembra che invece di valutare la nostra proposta per la sua efficacia nell\u2019affrontare i rischi, sia stata esaminata per trovare una scusa per rifiutarla.<\/p>\n<p>Anche se dobbiamo ammettere che ancora una volta abbiamo a che fare con un atto di protezionismo digitale, so per certo che il mondo ha urgente bisogno di una strategia globale di gestione dei rischi nell\u2019ambito della cybersecurity. \u00c8 fondamentale essere in grado di affrontare in modo efficace il panorama in continua evoluzione delle minacce e garantire un approccio unificato alla gestione dei rischi per la cybersecurity nei diversi domini dell\u2019IT. Questo approccio potrebbe anche aiutare a prevenire decisioni miopi che privino milioni di utenti della libert\u00e0 di scelta in merito a una protezione informatica credibile e a impedire l\u2019instaurazione di restrizioni artificiali allo scambio di dati tra i professionisti della cybersecurity. Consentiamo a questi esperti di concentrarsi sul loro importante lavoro senza l\u2019onere aggiuntivo della geopolitica, la cui influenza avvantaggia solo i cybercriminali.<\/p>\n<p>In un mondo interconnesso in cui le cyberminacce trascendono i confini, una strategia globale \u00e8 fondamentale per rafforzare le difese della cybersecurity, rafforzare la fiducia e promuovere un ecosistema digitale pi\u00f9 sicuro. Il nostro framework apre le porte a una discussione all\u2019interno del settore su come dovrebbe essere una valutazione universale della cybersecurity nella supply chain, con l\u2019obiettivo finale di costruire uno scudo affidabile e, come conseguenza, un mondo pi\u00f9 sicuro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gestire i rischi nella cybersecurity con un approccio basato sull&#8217;evidenza.<\/p>\n","protected":false},"author":13,"featured_media":29137,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,2195],"tags":[2935,205],"class_list":{"0":"post-29135","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-technology","9":"tag-global-transparency-initiative","10":"tag-kaspersky"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/managing-cybersecurity-risks\/29135\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/managing-cybersecurity-risks\/27775\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/managing-cybersecurity-risks\/23106\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/managing-cybersecurity-risks\/11987\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/managing-cybersecurity-risks\/30458\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/managing-cybersecurity-risks\/27986\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/managing-cybersecurity-risks\/27573\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/managing-cybersecurity-risks\/30259\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/managing-cybersecurity-risks\/51786\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/managing-cybersecurity-risks\/22090\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/managing-cybersecurity-risks\/22846\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/managing-cybersecurity-risks\/31517\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/managing-cybersecurity-risks\/36919\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/managing-cybersecurity-risks\/29273\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/managing-cybersecurity-risks\/33919\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/managing-cybersecurity-risks\/33584\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/kaspersky\/","name":"kaspersky"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=29135"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29135\/revisions"}],"predecessor-version":[{"id":29138,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/29135\/revisions\/29138"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/29137"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=29135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=29135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=29135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}