Alcuni mesi fa, abbiamo annunciato il lancio della nostra iniziativa globale di trasparenza. La scorsa primavera, abbiamo fatto un ulteriore passo in avanti, aumentando a 100 mila dollari la ricompensa del bug bounty. E oggi proseguiamo in questa direzione con un’importante decisione: trasferiamo una buona parte della nostra infrastruttura a Zurigo, Svizzera, compresa la nostra “catena di assemblaggio del software” e i server che immagazzinano e processano i dati di Kaspersky Security Network. Inoltre, siamo in procinto di creare il nostro primo Transparency Center.
Per farvi capire l’importanza di questo cambiamento e le ragioni che ci hanno spinto verso questa decisione, vi diamo qualche delucidazione.
Cos’è la catena di assemblaggio e cosa sono i dati di Kaspersky Security Network?
I nostri sistemi di costruzione (che chiamiamo “linea di assemblaggio”) che si occupano della compilazione e della creazione dei prodotti Kaspersky Lab, oltre all’aggiornamento delle regole di identificazione delle minacce, saranno spostati a Zurigo. Il nostro software sarà quindi compilato e firmato in Svizzera con la supervisione di un’organizzazione esterna prima di essere disponibile per i nostri clienti.
Inoltre, sposteremo i server che processano e immagazzinano le informazioni presenti su Kaspersky Security Network per gli utenti che si trovano in Europa, Nord America, Giappone, Corea del Sud e Singapore (nel tempo aggiungeremo altri paesi). Anche questa parte sarà supervisionata da un ente esterno.
Perché spostare la linea di assemblaggio e i dati di KSN?
Nonostante l’attuale livello di protezione che riguarda la gestione dei nostri dati sia estremamente alto, così come la sicurezza delle nostre infrastrutture di sviluppo dei software, lavoriamo senza sosta per migliorarci. E per migliorare anche la nostra resilienza nei confronti dei rischi inerenti alla catena di produzione e per offrire sempre maggiore trasparenza ai nostri clienti, è fondamentale essere certi che il codice sorgente sia stato revisionato nel nostro Transparency Center e che si tratti dello stesso codice che sarà poi presente nei nostri prodotti distribuiti ai nostri clienti. Per questo abbiamo deciso di spostare in Svizzera anche tutte le infrastrutture che riguardano la compilazione e la firma dei nostri software.
Lo stesso vale per i dati processati da Kaspersky Security Network. Se si immagazzinano questi dati in Svizzera, con la supervisione di un’organizzazione indipendente, l’accesso a questi dati sarà meticolosamente registrato, e i registri potranno essere revisionati in qualsiasi momento nel caso dovesse insorgere un problema.
Cos’è un Transparency Center?
Si tratta di un’infrastruttura dove i nostri partner di fiducia e i membri di enti governativi possono revisionare il codice sorgente dei nostri prodotti e gli strumenti che utilizziamo. In questa infrastruttura si potrà avere accesso ai seguenti elementi:
- Documentazione inerete allo sviluppo sicuro dei software;
- Codice sorgente di qualsiasi prodotto disponibile al pubblico (comprese le precedenti versioni);
- Database delle regole di individuazione delle minacce;
- Codice sorgente dei servizi su cloud, che ricevono e immagazzinano i dati dei clienti di Europa, Nord America, Australia, Giappone, Corea del Sud e Singapore;
- Strumenti software impiegati per la creazione di un prodotto (build script), database e servizi su cloud.
Qual è lo scopo di tutto ciò?
L’obiettivo primario della nostra iniziativa globale di trasparenza è stabilire una procedure generale di revisione che non si affidi solo alla nostra parola e che riguardi l’integrità dei nostri prodotti, gli aggiornamenti, le regole di identificazione delle minacce, immagazzinamento dati etc. I membri responsabili di governi ed enti privati con una certa esperienza potranno revisionare il nostro software e verificare che tutto funzioni come dovuto.
Chi si occuperà di verificare che tutto sia in regola?
Un’organizzazione esterna valuterà l’affidabilità di tutto ciò che riguarda le nostre infrastrutture a Zurigo, e le conferiremo il maggior accesso possibile. Le sue funzioni comprendono:
- Supervisionare e registrare gli accessi dei dipendenti di Kaspersky Lab ai metadati dei prodotti ottenuti attraverso Kaspersky Security Network e immagazzinati nel data center svizzero;
- Organizzare ed effettuare la revisione del codice sorgente;
- Effettuare altri compiti con lo scopo di verificare e valutare l’affidabilità dei prodotti Kaspersky Lab.
Kasperksy Lab sostiene la creazione di una nuova organizzazione non profit che si assuma tali responsabilità; un valore aggiunto non solo per la nostra azienda ma anche per i partner e gli altri membri che vogliano unirsi al progetto. Il Transparency Center e l’organizzazione di supervisione sono due enti indipendenti, è importante sottolinearlo.
Perché la Svizzera?
Abbiamo scelto questo paese per due ragioni; innanzitutto, la Svizzera mantiene una posizione neutrale da oltre due secoli. In secondo luogo, è un paese con leggi solide riguardanti la protezione dei dati. Si tratta di due caratteristiche che rendono la Svizzera il paese perfetto dove trasferire le nostre infrastrutture che richiedono maggiore attenzione.
Saranno aperti ulteriori Transparency Center?
Sì, abbiamo intenzione di aprire nuovi centri in Nord America e Asia per il 2020, anche se non è ancora arrivato il momento di parlarne in dettaglio.
Quali saranno le tempistiche di questo spostamento?
Ci vorrà un po’ di tempo. La fase di ricollocazione della nostra linea di assemblaggio, la parte più semplice dell’intero processo, sarà completata a fine 2018. La creazione dell’infrastruttura per la gestione dei dati necessita la riubicazione e l’implementazione di varie decine di servizi da Mosca a Zurigo. Inizieremo ora questo processo e abbiamo intenzione di concluderlo a fine 2019.
Per quanto ne sappiamo, siamo la prima azienda di cybersicurezza a impegnarsi in una iniziativa del genere. Quando si è pionieri in un campo, le difficoltà possono essere molte ma siamo fermamente convinti di trovarci nel momento ideale per offrire una maggiore trasparenza nello sviluppo dei software. E prima o poi tutte le aziende del settore dovranno affrontare questa decisione. Essere i primi a intraprendere questa strada ci dà un certo vantaggio.