Kaspersky Lab scende nel dettaglio della loro Global Transparency Initiative

Mar 11, 2019 Giancarlo Calzetta Approfondimenti, In evidenza, RSS, Scenario 0

---

Alla luce dell’apertura da parte di altri produttori, al di fuori del settore della sicurezza informatica, di centri per la trasparenza di quanto installato nei loro prodotti, abbiamo chiesto a Kaspesky Lab alcuni approfondimenti sulla GTI di cui abbiamo già parlato qualche settimana fa.

 

Come avevamo previsto e auspicato, anche altre aziende stanno iniziando a seguire la strada tracciata da Kaspersky Lab , aprendo dei centri per l’analisi del software e dell’hardware. Cogliamo, quindi, l’occasione per approfondire un po’ il discorso, chiedendo qualche dettaglio in più ai tecnici di Kaspersky Lab su come funziona la GTI e quali controlli permette di compiere.

 

Security Info: Esattamente, la GTI che controlli permette di effettuare alle aziende che decidono di usare Kaspersky? Si può risalire a ogni dettaglio del funzionamento dei vostri prodotti?

Kaspersky Lab: Kaspersky Lab riconosce che una revisione del codice sorgente non risponde a tutte le domande sulle funzionalità dei suoi prodotti. Tuttavia, tale revisione fornisce una tassonomia comune per i nostri clienti, partner ed esperti indipendenti per aiutarli a capire come funzionano le nostre tecnologie. Inoltre, l’azienda prevede di includere la valutazione degli aggiornamenti del software e delle regole di rilevamento delle minacce nell’ambito della Global Transparency Initiative.

 

Security Info: Sappiamo che è possibile controllare il codice prima del deployment, ma com’è possibile controllare che un deployment sia effettivamente identico a quello che è stato controllato a Zurigo se l’assemblaggio lo si fa in Russia?

Kaspersky Lab: I prodotti distribuiti sono costituiti da moduli e ogni modulo è firmato dalla firma digitale di Kaspersky Lab a conferma della sua autenticità. Il codice sorgente di ogni modulo KL pubblicamente disponibile può essere verificato nel centro di trasparenza, su richiesta. Per verificare che il codice sorgente disponibile per la revisione corrisponda al codice utilizzato per la costruzione di moduli pubblici, al Transparency Center offriamo l’accesso al sistema di costruzione di Kaspersky Lab, che si trova fisicamente nella sede centrale, ma è accessibile da remoto. Gli auditor possono ricostruire il codice sorgente disponibile per la revisione e verificare che non ci siano differenze significative tra il modulo pubblico e quello di ricostruito, quindi confermare che il codice sorgente verificato sia effettivamente uno di essi, che è stato utilizzato per la compilazione di moduli disponibili pubblicamente.

Si noti inoltre che abbiamo piani a lungo termine per trasferire il sistema di costruzione a Zurigo dopo il trasferimento completo delle attività di elaborazione dei dati.

 

Security Info: L’azienda esterna che certifica il funzionamento del data center di Zurigo, che tipo di controlli esegue? E chi li controlla?

Kaspersky Lab: I data center di Zurigo di cui siamo partner (queste aziende offrono spazio per la collocazione delle apparecchiature Kaspersky Lab per l’archiviazione e l’elaborazione dei dati) sono certificati per la conformità agli standard internazionali come ISO/IEC 27001.

Le attuali pratiche di protezione dei dati di Kaspersky Lab sono implementate in conformità ai più elevati standard del settore e forniscono un livello di sicurezza estremamente elevato per qualsiasi informazione elaborata dai prodotti e servizi dell’azienda. Inoltre, come tutte le aziende di tutta Europa, negli ultimi due anni abbiamo lavorato per garantire che i nostri prodotti e il modo in cui utilizziamo e memorizziamo i dati personali siano in linea con le nuove normative GDPR.

 

---

• Cyber Espionage, Global Transparency Initiative, Kaspersky lab, trasparenza

---

---