Kaspersky je objavio belu knjigu Zaštita povrh detekcije: Zašto poverenje i transparentnost odlučuju o budućnosti vaše sajber bezbednosti. Zasnovana je na nezavisnoj proceni transparentnosti i odgovornosti 14 vodećih dobavljača sajber bezbednosnih rešenja. Među ocenjivanim dobavljačima, Kaspersky se izdvojio kao jedan od najtransparentnijih. Dosledno je prevazilazila industrijske standarde u oblastima upravljanja podacima, poverenja u lanac snabdevanja i mogućnostima verifikacije od strane korisnika. Upravo zbog toga su budućnost sajber bezbednosti transparentnost i poverenje.
Nezavisna studija Pregled transparentnosti i odgovornosti u sajber bezbednosti, na kojoj se zasniva nova bela knjiga kompanije Kaspersky, naručena je od strane Privredne komore Tirola (WKO), a sproveli su je MCI | The Entrepreneurial School i pravni stručnjaci, u saradnji sa organizacijom AV-Comparatives. Istraživanje je ocenjivalo dobavljače prema širokom spektru kriterijuma transparentnosti i odgovornosti. Nalazi su pokazali da, iako je osnovna usklađenost sa propisima široko rasprostranjena, mnoge proverljive prakse koje grade poverenje i dalje ostaju retkost u industriji.
Pristup centrima za transparentnost u samo tri slučaja
Od ukupno 14 ocenjenih dobavljača, Kaspersky je jedan od tri koji svojim korisnicima omogućavaju pristup centrima za transparentnost. Tamo se mogu nezavisno pregledati izvorni kod, prakse obrade podataka i procesi ažuriranja. Među njima, Kaspersky se izdvaja najširim obimom ponude u okviru Centara za transparentnost.
Ponuda uključuje i analizu pravila za detekciju pretnji, kao i verifikacionu proveru. Tom proverom se potvrđuje da se izgradnje softvera podudaraju sa javno objavljenim verzijama. U okviru Globalne inicijative za transparentnost, Kaspersky je otvorio više od 10 ovakvih objekata. Tako nudi različite modele revizije za korporativne i državne aktere.
Kaspersky se takođe nalazi među samo tri dobavljača koji obezbeđuju pristup Softverskom spisku materijala (Software Bill of Materials – SBOM). Takođe, među svega četiri kompanije je koje redovno objavljuju izveštaje o transparentnosti u vezi sa zahtevima organa za sprovođenje zakona i državnih institucija. Ovi nalazi ukazuju na značajan jaz između deklarisanih obaveza i stvarne, praktične odgovornosti u okviru industrije.
Slabo zastupljene prakse u industriji
Od ukupno 60 kriterijuma obuhvaćenih procenom, Kaspersky je ispunio ili premašio industrijske referentne vrednosti u čak 57. To predstavlja najbolji rezultat među analiziranim dobavljačima. Dodatno, Kaspersky je bio jedan od samo tri dobavljača koji su ispunili sve analizirane kriterijume bezbednosne posture. To uključuje izveštavanje o ranjivostima, bezbednosna upozorenja, saradnju i posvećenost izjavi Safe Harbor, rezultate bezbednosnih revizija i primenu bezbednog životnog ciklusa razvoja softvera (Secure Software Development Life Cycle – SDLC). Ovi kriterijumi su u izveštaju opisani kao ključni indikatori pouzdanosti i dugoročne otpornosti.
Procena je takođe obuhvatila praktičnu tehničku analizu sajber bezbednosnih proizvoda. Rešenje Kaspersky Next EDR Optimum pokazalo je minimalno prikupljanje podataka tokom testiranja. Prepoznato je i po tome što korisnicima omogućava potpuno isključivanje servisa reputacije baziranih na oblaku i EDR funkcionalnosti u celosti.
Procena je pokazala i da se nivo kontrole korisnika nad ažuriranjima proizvoda značajno razlikuje među dobavljačima. Iako gotovo svi dobavljači objavljuju javne istorije ažuriranja, samo osam njih podržava postepeno (fazno) uvođenje ažuriranja. Samo šest – uključujući Kaspersky – omogućava korisnicima da pregledaju virusne definicije. Ove mogućnosti su ključne za organizacije koje posluju u regulisanim ili osetljivim okruženjima, gde su upravljanje promenama i verifikacija obavezni.
Kompanije da provere, ne samo da slepo veruju
Komentarišući istraživanje, Kaspersky osnivač i generalni direktor, Jevgenij Kaspersky, izjavio je da transparentnost, kako bi bila kredibilna, mora biti dokaziva. To i jeste ključ za uspešnu budućnost sajber bezbednosti.
„Rešenja za sajber bezbednost duboko su integrisana u sisteme naših korisnika. Zbog toga je odgovornost od suštinskog značaja“ – objasnio je. „Kada nezavisni stručnjaci pregledaju naš rad, transparentnost postaje nešto što se može meriti. Mi ne zahtevamo da prihvate nešto samo na osnovu poverenja. Organizacijama pružamo konkretne dokaze na osnovu kojih mogu da odluče kome će verovati. Istovremeno podstičemo podizanje standarda u čitavoj industriji sajber bezbednosti“, zaključio je Kaspersky.
Platforme za detekciju i odgovor na krajnjim tačkama (Endpoint Detection and Response – EDR) obrađuju različite podatke. Među njima i telemetrijske podatke, upravljaju automatizovanim ažuriranjima i oslanjaju se na servise u Cloud okruženju kako bi obezbedile zaštitu. Shodno tome, danas su transparentnost i odgovornost tesno povezane sa upravljanjem, regulatornom usklađenošću i rizicima u lancu snabdevanja.
Transparentnost kao ključni faktor odlučivanja
U izveštaju se zaključuje da transparentnost mora da bude jedan od ključnih kriterijuma pri izboru dobavljača za CISO-e. Isto tako, to bi trebalo da bude prioritet i za druge korporativne donosioce odluka. Dobavljači koji kombinuju snažnu zaštitu sa struktuiranom transparentnošću – kao što su dostupnost SBOM-a, proverljivi procesi ažuriranja, objavljeni rezultati revizija i tokovi podataka pod kontrolom korisnika – pružaju organizacijama viši nivo sigurnosti i poverenja.
Na nivou industrije, istraživanje ukazuje na širi pomak ka modelu sajber bezbednosti zasnovanom na odgovornosti. Regulatorne inicijative sve više stavljaju akcenat na sledljivost, bezbedan razvoj softvera i post-market transparentnost. Ovo sugeriše da prakse koje su danas slabo zastupljene mogu uskoro postati osnovni industrijski standard.
Kaspersky je u okviru bele knjige uključio i praktičnu kontrolnu listu (checklist). Na taj način omogućava procenu pouzdanosti softverskih dobavljača i jačanje otpornosti lanca snabdevanja. Kompanija ovo čini kako bi pomogla direktorima informacione bezbednosti u obezbeđivanju efikasnog upravljanja rizicima trećih strana.
Kompletan izveštaj Transparency Review and Accountability in Cybersecurity dostupan je na navedenom linku. Saznajte sve detalje o tome kako su budućnost sajber bezbednosti transparentnost i poverenje.
