Η Kaspersky δημοσίευσε το Protection beyond detection: Why trust and transparency decide your cybersecurity future (Προστασία πέραν του εντοπισμού: Γιατί η εμπιστοσύνη και η διαφάνεια είναι καθοριστικές για το μέλλον της κυβερνοασφάλειας), μια νέα Λευκή Βίβλο που βασίζεται σε ανεξάρτητη αξιολόγηση της διαφάνειας και εταιρικής υπευθυνότητας 14 κορυφαίων παρόχων κυβερνοασφάλειας.
Η Kaspersky αναδείχθηκε ως ένας από τους πλέον διαφανείς παρόχους που αξιολογήθηκαν, υπερβαίνοντας σταθερά τα πρότυπα της αγοράς σε τομείς όπως η διαχείριση δεδομένων, η αξιοπιστία της εφοδιαστικής αλυσίδας και οι δυνατότητες επαλήθευσης πελατών.
Η ανεξάρτητη Αξιολόγηση Διαφάνειας και Υπευθυνότητας στον Τομέα της Κυβερνοασφάλειας, στην οποία βασίζεται η νέα Λευκή Βίβλος της Kaspersky, ανατέθηκε από το Εμπορικό Επιμελητήριο Τιρόλου (WKO), υλοποιήθηκε από το MCI | The Entrepreneurial School και νομικούς εμπειρογνώμονες, σε συνεργασία με τον οργανισμό AV-Comparatives. Η έρευνα αξιολογεί τους παρόχους βάσει ενός εκτεταμένου φάσματος κριτηρίων διαφάνειας και εταιρικής υπευθυνότητας και καταλήγει στο συμπέρασμα ότι, παρότι η συμμόρφωση με τις βασικές αρχές είναι ευρέως διαδεδομένη, πολλές αξιόπιστες και επαληθεύσιμες πρακτικές παραμένουν σπάνιες στον κλάδο.
Η αξιολόγηση ανέδειξε τα ακόλουθα βασικά σημεία διαφοροποίησης: η Kaspersky συγκαταλέχθηκε ανάμεσα στους μόλις τρεις παρόχους, από τους 14 που αξιολογήθηκαν, οι οποίοι παρέχουν στους πελάτες τους πρόσβαση σε Κέντρα Διαφάνειας (Transparency Centers), όπου ο πηγαίος κώδικας, οι πρακτικές διαχείρισης δεδομένων και οι διαδικασίες ενημερώσεων μπορούν να ελεγχθούν ανεξάρτητα. Μεταξύ αυτών, η Kaspersky ξεχωρίζει προσφέροντας το πιο ολοκληρωμένο πλαίσιο Κέντρων Διαφάνειας, που περιλαμβάνει, μεταξύ άλλων, έλεγχο κανόνων ανίχνευσης απειλών και μηχανισμό επαλήθευσης ώστε να επιβεβαιώνεται ότι τα builds ταυτίζονται με τις δημόσιες εκδόσεις. Στο πλαίσιο της Παγκόσμιας Πρωτοβουλίας Διαφάνειας (Global Transparency Initiative), η Kaspersky έχει δημιουργήσει περισσότερες από 10 τέτοιες εγκαταστάσεις παγκοσμίως, προσφέροντας πολλαπλές επιλογές ελέγχου για εταιρικούς και κυβερνητικούς φορείς.
Η Kaspersky βρίσκεται επίσης μεταξύ των μόλις τριών παρόχων που προσφέρουν πρόσβαση σε Software Bill of Materials (SBOM), καθώς και μεταξύ των τεσσάρων που δημοσιεύουν τακτικές εκθέσεις διαφάνειας, στις οποίες καταγράφονται αιτήματα από διωκτικές αρχές και κυβερνητικούς οργανισμούς. Το εύρημα αυτό αναδεικνύει ένα σημαντικό χάσμα στον κλάδο μεταξύ των δεσμεύσεων που έχουν διατυπωθεί και της ουσιαστικής εταιρικής υπευθυνότητας στην πράξη.
Υπεροχή της Kaspersky σε πρακτικές που υιοθετούνται σπάνια
Σε σύνολο 60 κριτηρίων που αξιολογήθηκαν, η Kaspersky κάλυψε ή ξεπέρασε τα πρότυπα του κλάδου σε 57 κατηγορίες, καταγράφοντας την υψηλότερη επίδοση μεταξύ των παρόχων που συμμετείχαν στην έρευνα. Παράλληλα, ήταν μία από τις μόλις τρεις εταιρείες που πληρούσαν το σύνολο των κριτηρίων ασφάλειας που αναλύθηκαν. Ανάμεσα σε αυτά, συμπεριλαμβάνονται οι αναφορές αδυναμιών, οι προειδοποιήσεις ασφαλείας, η συμμόρφωση και δέσμευση στη συμφωνία «Safe Harbor», τα αποτελέσματα ελέγχων ασφάλειας και οι αξιόπιστες διαδικασίες ανάπτυξης λογισμικού (Secure SDLC). Τα κριτήρια αυτά περιγράφονται στην έκθεση ως «βασικοί δείκτες αξιοπιστίας και μακροπρόθεσμης ανθεκτικότητας».
Η αξιολόγηση περιλάμβανε επίσης τεχνική ανάλυση προϊόντων κυβερνοασφάλειας στην πράξη. Το Kaspersky Next EDR Optimum παρουσίασε ελάχιστη περισυλλογή δεδομένων κατά τη διάρκεια των δοκιμών και αναγνωρίστηκε για τη δυνατότητα που προσφέρει στους πελάτες να απενεργοποιούν πλήρως τις υπηρεσίες αξιολόγησης αξιοπιστίας μέσω cloud, καθώς και τη λειτουργικότητα EDR.
Επιπλέον, διαπιστώθηκε ότι ο βαθμός ελέγχου των πελατών επί των ενημερώσεων προϊόντων διαφέρει σημαντικά μεταξύ των παρόχων. Παρότι σχεδόν όλοι δημοσιεύουν το ιστορικό ενημερώσεών τους, μόνο οκτώ υποστηρίζουν σταδιακή διανομή ενημερώσεων, ενώ μόλις έξι –μεταξύ αυτών και η Kaspersky– επιτρέπουν στους πελάτες να βλέπουν την περιγραφή των ιών. Οι δυνατότητες αυτές είναι ιδιαίτερα κρίσιμες για οργανισμούς που δραστηριοποιούνται σε ελεγχόμενα ή ευαίσθητα περιβάλλοντα, όπου απαιτείται αυστηρή διαχείριση αλλαγών και επαλήθευση.
Σχολιάζοντας τα ευρήματα της έκθεσης, ο Eugene Kaspersky, ιδρυτής και CEO της Kaspersky, δήλωσε ότι για να παρέχει αξιοπιστία, η διαφάνεια πρέπει να αποδεικνύεται στην πράξη. «Οι λύσεις κυβερνοασφάλειας λειτουργούν σε βάθος μέσα στα συστήματα των πελατών μας, επομένως η εταιρική υπευθυνότητα έχει καθοριστική σημασία», εξήγησε. «Όταν ανεξάρτητοι ειδικοί ελέγχουν το έργο μας, η διαφάνεια γίνεται κάτι μετρήσιμο – δεν είναι πια απλώς θέμα εμπιστοσύνης. Παρέχουμε στους οργανισμούς απτά στοιχεία ώστε να αποφασίσουν ποιον μπορούν να εμπιστευτούν, δίνοντας παράλληλα το παράδειγμα για υψηλότερα πρότυπα σε ολόκληρη τη βιομηχανία κυβερνοασφάλειας.»
Οι πλατφόρμες endpoint detection and response (EDR) επεξεργάζονται δεδομένα τηλεμετρίας, διαχειρίζονται αυτοματοποιημένες ενημερώσεις και βασίζονται σε υπηρεσίες cloud για την παροχή προστασίας. Ως αποτέλεσμα, η διαφάνεια και η εταιρική υπευθυνότητα συνδέονται πλέον άμεσα με τη διακυβέρνηση, την τήρηση των κανονισμών και τους κινδύνους στην εφοδιαστική αλυσίδα, αντί να αντιμετωπίζονται αποκλειστικά ως τεχνικά χαρακτηριστικά.
Η διαφάνεια ως καθοριστικός παράγοντας
Η έκθεση καταλήγει στο συμπέρασμα ότι για τους Υπεύθυνους Ασφάλειας Πληροφοριών (CISOs) και τα στελέχη επιχειρήσεων, η διαφάνεια θα πρέπει να αποτελεί βασικό κριτήριο αξιολόγησης κατά την επιλογή παρόχου. Οι εταιρείες που συνδυάζουν ισχυρή προστασία με δομημένες πρακτικές διαφάνειας –όπως η διαθεσιμότητα SBOM, οι επαληθεύσιμες διαδικασίες ενημερώσεων, τα δημοσιευμένα αποτελέσματα ελέγχων και η παρακολούθηση ροών δεδομένων από τον πελάτη– προσφέρουν υψηλότερο βαθμό εγγύησης στις επιχειρήσεις.
Σε επίπεδο κλάδου, η έρευνα αντικατοπτρίζει μια ευρύτερη στροφή προς την επικράτηση της κυβερνοασφάλειας που εστιάζει στην εταιρική υπευθυνότητα. Οι ρυθμιστικές πρωτοβουλίες δίνουν ολοένα και μεγαλύτερη έμφαση στην ανίχνευση, την ασφαλή ανάπτυξη και τη διαφάνεια μετά τη διάθεση στην αγορά, γεγονός που υποδηλώνει ότι πρακτικές με χαμηλή υιοθέτηση σήμερα ενδέχεται σύντομα να αποτελέσουν βασική απαίτηση. Οι ανεξάρτητες αξιολογήσεις προσφέρουν ένα σημείο αναφοράς τόσο για τους παρόχους όσο και για τους πελάτες, καθώς αυτές οι προσδοκίες εξελίσσονται.
Για να βοηθήσει τους Υπεύθυνους Ασφάλειας Πληροφοριών να διασφαλίσουν αποτελεσματική διαχείριση των κινδύνων από τρίτους, η Kaspersky έχει συμπεριλάβει στη Λευκή Βίβλο ένα πρακτικό checklist για τους ίδιους, το οποίο τους επιτρέπει να αξιολογούν την αξιοπιστία των παρόχων λογισμικού και να ενισχύουν την ανθεκτικότητα της εφοδιαστικής τους αλυσίδας.
Η πλήρης έκθεση με τίτλο «Αξιολόγηση Διαφάνειας και Εταιρικής Υπευθυνότητας στην Κυβερνοασφάλεια», είναι διαθέσιμη εδώ.
