Uno scudo di fiducia

Gestire i rischi nella cybersecurity con un approccio basato sull’evidenza.

È passato un mese da quando il Dipartimento del Commercio degli Stati Uniti ha emesso la decisione finale sulla vendita e l’utilizzo dei prodotti Kaspersky da parte di individui statunitensi. La decisione dell’ente, per chi non lo sapesse, è stata a grandi linee quella di bandire dal mercato i prodotti Kaspersky, salvo sparute eccezioni per alcuni prodotti e servizi informativi ed educativi. Con il seguente risultato: gli utenti negli Stati Uniti non possono più accedere al software di cybersecurity da loro scelto su criteri di qualità ed esperienza.

In 27 anni di storia aziendale siamo sempre stati riconosciuti come la migliore protezione sul mercato contro ogni tipo di cyberminaccia, indipendentemente dalla provenienza degli attacchi. Alcuni esempi: all’inizio di quest’anno i nostri prodotti hanno ricevuto ancora una volta il premio per il prodotto dell’anno da un noto laboratorio di test indipendente; di anno in anno le nostre soluzioni hanno dimostrato una protezione al 100% contro il tipo di minaccia più pesante, ovvero il ransomware; inoltre è proprio il team di ricerca sulle minacce di Kaspersky, rispettato sia dalla comunità InfoSec globale che dai nostri utenti, a scoprire, analizzare e soprattutto rivelare al mondo le più grandi e sofisticate campagne di spionaggio sponsorizzate dagli stati.

Detto ciò, quale potrebbe essere la ragione dietro la messa al bando delle migliori soluzioni di cybersecurity di cui milioni di persone si fidano? Il problema è stato definito in modo chiaro e obiettivo? Ci sono state prove di quei rischi a cui da anni il governo degli Stati Uniti fa riferimento? No, non ce n’è traccia.

Pur avendo a che fare con gli esiti di un crescente protezionismo (e dei suoi tangibili effetti), come denunce di cattiva condotta prive di ogni evidenza e accuse basate esclusivamente su rischi teorici, abbiamo continuamente sviluppato una metodologia universale per la valutazione dei prodotti di cybersecurity, rimanendo sempre fedeli al nostro principio fondamentale: essere estremamente trasparenti e aperti su come svolgiamo il nostro lavoro.

In un gesto di buona volontà senza precedenti siamo diventati la prima, e rimaniamo l’unica, grande azienda di cybersecurity a fornire a terze parti l’accesso al nostro codice sorgente e permettiamo anche ai nostri stakeholder e ai nostri partner fidati di controllare le nostre regole di rilevamento delle minacce e gli aggiornamenti software. Da diversi anni mettiamo in atto la nostra Global Transparency Initiative, unica per portata e valore pratico, che riflette ancora una volta il nostro atteggiamento collaborativo e la determinazione ad affrontare qualsiasi potenziale problema relativo al funzionamento delle nostre soluzioni. Nonostante ciò ci siamo trovati ad affrontare timori sull’affidabilità dei nostri prodotti, di solito derivanti da fattori esterni come congetture geopolitiche, facendo il possibile dando suggerimenti per un framework ancora più completo che valutasse l’integrità delle nostre soluzioni di sicurezza durante il loro intero ciclo di vita.

Il framework che descriverò di seguito è ciò che abbiamo condiviso in modo proattivo con le parti che esprimono preoccupazioni sulla credibilità delle soluzioni Kaspersky, anche all’interno del governo degli Stati Uniti. Riteniamo che questo framework sia sufficientemente completo per affrontare le preoccupazioni più comunemente espresse e che sia in grado di creare una catena di fiducia affidabile.

I pilastri della metodologia di valutazione della cybersecurity da noi presentata (che, per inciso, riteniamo abbiano il potenziale per formare la base di una metodologia a livello di settore) includono: (i) la localizzazione dell’elaborazione dei dati, (ii) la revisione dei dati ricevuti e (iii) la revisione sia delle informazioni che degli aggiornamenti forniti ai computer degli utenti (come parte degli aggiornamenti del software e del database delle minacce). Proprio come nell’ambito della nostra Global Transparency Initiative, al centro della strategia c’è l’impiego di un revisore esterno per il controllo dei processi e delle soluzioni aziendali. A rappresentare una novità in questa metodologia è sia l’estensione che la profondità di tali revisioni. Entriamo nei dettagli…

Localizzazione dell’elaborazione dei dati

La questione dell’elaborazione e dell’archiviazione dei dati è una delle più delicate, non solo per Kaspersky, ma per l’intero settore della cybersecurity. Riceviamo spesso domande ragionevoli riguardanti i dati che i nostri prodotti possono elaborare, le modalità di archiviazione e, soprattutto, i motivi per cui necessitiamo di questi dati. Lo scopo principale di Kaspersky nell’elaborazione dei dati è fornire ai nostri utenti e clienti le migliori soluzioni di cybersecurity: raccogliendo dati sui file dannosi e sospetti che rileviamo nei computer degli utenti possiamo addestrare i nostri algoritmi, insegnando loro come rilevare nuove minacce e contenerne la diffusione.

Il framework che presentiamo implica anche una maggiore localizzazione dell’infrastruttura di elaborazione dei dati e l’attuazione di controlli tecnici e amministrativi che limitano l’accesso a tale infrastruttura da parte di dipendenti al di fuori di un determinato Paese o area geografica. Abbiamo già attuato tale approccio nella fornitura del nostro servizio Managed Detection and Response (MDR) in Arabia Saudita e gli stessi meccanismi sono stati suggeriti nelle nostre discussioni con le autorità statunitensi per alleviarne le preoccupazioni. Queste misure garantirebbero che i dati locali vengano sia archiviati che elaborati in un ambiente fisico in cui il controllo finale spetta a persone soggette alla giurisdizione locale o a quella di un Paese strettamente alleato, se ritenuto appropriato da queste persone. Proprio come per i passaggi sopra menzionati, un validatore di terze parti indipendente potrebbe essere invitato a rivedere l’efficacia delle misure messe in atto.

L’elaborazione dei dati locali richiede l’analisi delle minacce locali e lo sviluppo locale di firme di rilevamento del malware, e la nostra metodologia fornisce proprio questo. La localizzazione dell’elaborazione dei dati richiede l’espansione delle risorse umane per supportare l’infrastruttura locale e siamo pronti a rafforzare ulteriormente i nostri team di ricerca e sviluppo e IT regionali in determinati Paesi. Tali team sarebbero esclusivamente responsabili del supporto dell’elaborazione dei dati nazionali, della gestione del software del data center locale e dell’analisi del malware per identificare nuovi APT specifici per una determinata area geografica. Questa misura garantirebbe anche la presenza di più esperti internazionali nello sviluppo delle future linee di prodotti Kaspersky, rendendo il nostro R&D ancora più decentralizzato.

Revisione del processo di recupero dei dati

Proteggiamo i dati che raccogliamo da potenziali rischi utilizzando rigorose politiche, pratiche e controlli interni; non attribuiamo mai i dati raccolti a un individuo o a un’organizzazione specifici, li rendiamo anonimi ove possibile, ne limitiamo l’accesso all’interno dell’azienda e ne elaboriamo in modo automatico il 99%.

Per mitigare ulteriormente qualsiasi potenziale rischio per i dati dei nostri clienti, abbiamo suggerito di incaricare un revisore autorizzato di terze parti di rivedere periodicamente il nostro processo di recupero dei dati. Tale revisore in tempo reale valuterebbe periodicamente i dati che riceviamo con gli strumenti di analisi dei dati e le piattaforme di elaborazione dei dati per garantire che nessuna informazione di identificazione personale o altri dati protetti vengano trasferiti a Kaspersky e per confermare che i dati recuperati siano utilizzati esclusivamente per il rilevamento e la protezione contro le minacce e che siano gestiti in modo appropriato.

Revisione degli aggiornamenti e dei dati forniti ai computer degli utenti

Come passaggio successivo dal lato del prodotto, verrebbe fornito un framework di mitigazione per revisioni regolari da parte di terzi degli aggiornamenti del database delle minacce e dello sviluppo del codice software relativo al prodotto per mitigare i rischi della supply chain tra i nostri clienti. È importante sottolineare che questa terza parte sarebbe un’organizzazione indipendente che riferisce direttamente a un regolatore locale. Questo si aggiungerebbe al rigoroso e sicuro processo di sviluppo software di Kaspersky che si concentra sulla mitigazione dei rischi, incluso uno scenario in cui è presente un intruso nel sistema, per garantire che nessuno possa aggiungere codice non autorizzato ai nostri prodotti o ai database anti-virus.

Ma per migliorare ulteriormente le garanzie di sicurezza, l’incarico di un revisore esterno in tempo reale ha lo scopo di valutare la sicurezza del codice sviluppato dagli ingegneri di Kaspersky, suggerire miglioramenti, identificare potenziali rischi e determinare soluzioni appropriate.

Tra i possibili scenari di organizzazione di un tale controllo degli aggiornamenti del database delle minacce indichiamo il seguente:

Uno degli scenari di revisione in tempo reale dei database delle minacce

Uno degli scenari di revisione in tempo reale dei database delle minacce

È importante sottolineare che la revisione di terze parti può essere bloccante o non bloccante, condotta su base regolare o per accumulo di una massa critica di aggiornamenti/componenti per la revisione, nonché applicata a tutti o solo a una selezione di componenti. L’opzione di revisione più avanzata proposta prevede il blocco in tempo reale che consente ai revisori di controllare completamente il codice inviato ai computer degli utenti. Una revisione di blocco impedirebbe a qualsiasi codice durante il processo di revisione di accedere a un prodotto o agli aggiornamenti, e quindi ai clienti di Kaspersky.

Questo completo processo di revisione potrebbe essere ulteriormente migliorato richiedendo la firma del revisore su tutti gli aggiornamenti forniti ai computer dell’utente dopo che il codice sottostante è stato confermato e creato. Ciò impedirebbe modifiche al codice dopo essere stato revisionato in tempo reale.

La revisione proposta non solo consente la verifica in tempo reale della sicurezza del codice appena sviluppato, ma fornisce anche l’accesso all’intero codice sorgente, inclusa la sua cronologia. Ciò consente al revisore di valutare appieno il codice appena sviluppato, comprenderne le modifiche nel tempo e vedere come interagisce con altri componenti del prodotto.

Una tale revisione assoluta del codice sarebbe anche accompagnata dall’accesso a una copia dell’ambiente di creazione del software dell’azienda che rispecchia quello utilizzato in Kaspersky, comprese le istruzioni e gli script di compilazione, la documentazione di progettazione dettagliata e le descrizioni tecniche dei processi e dell’infrastruttura. Il revisore in tempo reale potrebbe quindi creare/compilare il codice in modo indipendente e confrontare i file binari e/o gli oggetti di compilazione intermedi con le versioni fornite. Il revisore sarebbe anche in grado di verificare le modifiche all’infrastruttura della build e al software.

Possiamo anche fornire a una terza parte indipendente attendibile l’accesso alle pratiche di sviluppo software dell’azienda. Tale analisi indipendente mirerebbe a fornire ulteriori garanzie che le misure e i processi applicati da Kaspersky corrispondano alle principali pratiche del settore. L’accesso coprirebbe tutta la documentazione di sicurezza pertinente, tra cui ad esempio la definizione dei requisiti di sicurezza, la modellazione delle minacce, la revisione del codice, la verifica del codice statico e dinamico, i penetration test e così via.

A nostro giudizio la suddetta strategia può affrontare la maggior parte dei rischi ICT nella supply chain relativi allo sviluppo e alla distribuzione del prodotto in modo efficace e verificabile. E come ho già detto, queste sono a tutti gli effetti le misure di mitigazione che abbiamo presentato in una proposta di discussione al Dipartimento del Commercio degli Stati Uniti, confermando ancora una volta la nostra apertura al dialogo e la determinazione a fornire il massimo livello di garanzie di sicurezza. Tuttavia, la nostra proposta è stata semplicemente ignorata. Questo mi porta a ritenere che il motivo sia basato su idee preconcette del Dipartimento. Sembra che invece di valutare la nostra proposta per la sua efficacia nell’affrontare i rischi, sia stata esaminata per trovare una scusa per rifiutarla.

Anche se dobbiamo ammettere che ancora una volta abbiamo a che fare con un atto di protezionismo digitale, so per certo che il mondo ha urgente bisogno di una strategia globale di gestione dei rischi nell’ambito della cybersecurity. È fondamentale essere in grado di affrontare in modo efficace il panorama in continua evoluzione delle minacce e garantire un approccio unificato alla gestione dei rischi per la cybersecurity nei diversi domini dell’IT. Questo approccio potrebbe anche aiutare a prevenire decisioni miopi che privino milioni di utenti della libertà di scelta in merito a una protezione informatica credibile e a impedire l’instaurazione di restrizioni artificiali allo scambio di dati tra i professionisti della cybersecurity. Consentiamo a questi esperti di concentrarsi sul loro importante lavoro senza l’onere aggiuntivo della geopolitica, la cui influenza avvantaggia solo i cybercriminali.

In un mondo interconnesso in cui le cyberminacce trascendono i confini, una strategia globale è fondamentale per rafforzare le difese della cybersecurity, rafforzare la fiducia e promuovere un ecosistema digitale più sicuro. Il nostro framework apre le porte a una discussione all’interno del settore su come dovrebbe essere una valutazione universale della cybersecurity nella supply chain, con l’obiettivo finale di costruire uno scudo affidabile e, come conseguenza, un mondo più sicuro.

Consigli