Nel 2017, abbiamo lanciato la nostra Iniziativa Globale di Trasparenza o GTI (Global Transparency Initiative). Nell’ambito di questo progetto, abbiamo spostato parte della nostra infrastruttura dati in Svizzera e abbiamo aperto dei Transparency Center dove i nostri partner e clienti possono esaminare il codice sorgente dei nostri prodotti. Abbiamo anche fatto valutare i nostri servizi dati e le nostre pratiche ingegneristiche da organizzazioni terze indipendenti accreditate. Inoltre, pubblichiamo regolarmente le informazioni relative alle richieste di dati e competenze tecniche da parte delle agenzie governative, tutti dati che Kaspersky riceve nell’ambito delle indagini sul cybercrimine. Oggi parleremo degli ultimi passi in avanti in merito a questa iniziativa.
Cosa è stato fatto nell’ambito dell’Iniziativa Globale di Trasparenza
Nei cinque anni da quando abbiamo lanciato il programma, abbiamo aperto quattro Transparency Center dove i nostri clienti e partner, per assicurarsi che non ci siano funzioni nascoste o non documentate nelle nostre soluzioni, possono esaminare il codice sorgente dei nostri prodotti e gli aggiornamenti del software. Inoltre, facciamo esaminare in modo esterno le nostre pratiche di ingegneria e di gestione dati. I Kaspersky Transparency Center operano in Europa, America Latina e Asia, ed offriamo visite virtuali a coloro che non possono visitare i nostri centri di persona.
Come azienda di tecnologia e cybersecurity, elaboriamo i dati che i nostri prodotti utilizzano per aumentare l’efficacia della protezione informatica che offriamo ai nostri utenti. Questi dati includono informazioni sulle minacce informatiche come, ad esempio, file sospetti e dannosi che i nostri prodotti inviano (se gli utenti sono d’accordo) per un’analisi automatizzata via cloud del malware. I dati ci aiutano a identificare minacce nuove e sconosciute, a migliorare continuamente le nostre soluzioni e a offrire agli utenti modi migliori per proteggersi.
Da novembre 2018, i dati relativi alle minacce informatiche dei nostri utenti in Europa vengono immagazzinati e processati nei nostri data center in Svizzera. Poco tempo dopo, abbiamo anche trasferito in Svizzera l’analisi e l’archiviazione dei dati per gli utenti del Nord America, America Latina, Medio Oriente e alcuni paesi della regione dell’Asia Pacifico.
Abbiamo anche ricevuto la certificazione di conformità ISO 27001 dall’ente di certificazione indipendente TÜV AUSTRIA. Tale ente ha confermato che la nostra azienda ha un efficace sistema di gestione della sicurezza delle informazioni. I nostri utenti possono essere sicuri che i dati elaborati da Kaspersky vengono trattati seguendo il più alto livello di protezione.
Inoltre, abbiamo lanciato la formazione Cyber Capacity Building Program per aziende, organizzazioni governative e accademiche con il fine di aiutarle a sviluppare le competenze necessarie per proteggere i loro sistemi IT. Di recente, abbiamo altresí ampliato il programma e lanciato una versione digitale della formazione che è ora accessibile sia alle aziende che ai singoli utenti
Nuovi passi verso la trasparenza
Kaspersky ha fatto molta strada e ha lavorato molto per aumentare i livelli di trasparenza, e non ha intenzione di fermarsi qui. Di recente, infatti, abbiamo fatto nuovi passi in avanti nell’ambito dell’Iniziativa Globale di Trasparenza (GTI).
Espansione del data center di Zurigo
Dall’inizio del 2022, abbiamo aumentato significativamente la capacità dei nostri data center di Zurigo, dove ora processiamo i file dannosi e sospetti provenienti da utenti dell’America Latina e del Medio Oriente. Abbiamo anche trasferito qui l’analisi e l’immagazzinamento dei dati relativi alle minacce informatiche per i paesi del Nord America che non erano inclusi in precedenza come Messico, Panama, Giamaica e altre nazioni insulari.
La Svizzera è stata scelta per un motivo molto chiaro: il paese ha uno dei regolamenti più severi sulla protezione dei dati. Anche i nostri due data center di Zurigo operano con tecnologie di prim’ordine, che soddisfano i più alti standard del settore.
Ricertificazione ISO 27001
I sistemi dati Kaspersky sono stati ricertificati da TÜV AUSTRIA secondo i requisiti della norma ISO 27001. Ma non si tratta solo di un rinnovo della certificazione: in questa occasione le verifiche sono state notevolmente più esaustive. La certificazione copre ora sia i sistemi dati per l’elaborazione dei dati relativi alle minacce informatiche (Kaspersky Distributed File System, KLDFS) sia le statistiche (database KSNBuffer).
TÜV AUSTRIA è un ente di certificazione indipendente. Siamo orgogliosi che l’approccio di Kaspersky alla sicurezza dei dati abbia ricevuto ancora una volta tale riconoscimento.
La collaborazione e le richieste del governo e delle forze dell’ordine
A questo punto, direte voi, i dati degli utenti sono sicuri, ma che dire delle richieste di informazioni da parte delle forze dell’ordine? In effetti, Kaspersky applica il suo approccio a favore della trasparenza anche nei confronti di queste richieste e dall’anno scorso, l’azienda ha pubblicato numerosi report sulle richieste inoltrate delle forze dell’ordine e dalle agenzie governative. Inoltre, abbiamo appena pubblicato un report sui dati relativi alla seconda metà del 2021. Ecco alcune cifre chiave:
- I nostri esperti hanno ricevuto 109 richieste da parte dei governi e delle forze dell’ordine appartenenti a 12 paesi.
- 92 richieste si riferivano a competenze tecniche e 17 riguardavano la richiesta di accesso ai dati degli utenti.
- Tutte le 17 richieste di consegnare i dati degli utenti sono state respinte. Alcune di esse non soddisfacevano i requisiti legali, mentre altre chiedevano dati che l’azienda semplicemente non aveva.
Sono molte anche le richieste da parte degli utenti riespetto a dove e come vengono conservati i loro dati personali, e alcune di queste richieste riguardano il loro scaricamento o cancellazione. Nel 2021, abbiamo gestito 2.252 richieste di questo tipo.
Passi in avanti anche con il programma educativo
Kaspersky è sempre pronta a condividere la sua esperienza con la comunità globale. Infatti, abbiamo ampliato il nostro Cyber Capacity Building Program lanciando un corso online simile. Ora un numero maggiore di partner e clienti possono prendere parte al programma. La formazione aiuterà le organizzazioni e gli individui a valutare la sicurezza del software che usano e a ridurre i rischi e le potenziali conseguenze derivate dei cyberattacchi.
Quale sarà il prossimo passo?
Continuiamo a perfezionare le nostre pratiche di sicurezza e a migliorare la nostra Iniziativa Globale di Trasparenza con la speranza che un giorno diventi lo standard internazionale per l’industria della cybersecurity.
Per quanto riguarda la qualità della protezione che le nostre soluzioni di sicurezza forniscono, anche in questo caso abbiamo buone notizie. Abbiamo recentemente pubblicato i risultati di decine di test e recensioni di importanti laboratori indipendenti che hanno incluso i nostri prodotti tra i migliori del 2021. Potete controllare i risultati qui.