Kompanija Kaspersky je objavila novu belu knjigu pod nazivom „Zaštita povrh
detekcije: Zašto poverenje i transparentnost odlučuju o budućnosti vaše sajber
bezbednosti“, zasnovanu na nezavisnoj proceni transparentnosti i odgovornosti
14 vodećih dobavljača sajber bezbednosnih rešenja 1 . Među ocenjivanim
dobavljačima, Kaspersky se izdvojio kao jedan od najtransparentnijih, dosledno
prevazilazeći industrijske standarde u oblastima upravljanja podacima,
poverenja u lanac snabdevanja i mogućnostima verifikacije od strane korisnika.
Nezavisna studija „Pregled transparentnosti i odgovornosti u sajber bezbednosti“, na
kojoj se zasniva nova bela knjiga kompanije Kaspersky, naručena je od strane Privredne
komore Tirola (WKO), a sproveli su je MCI | The Entrepreneurial School® i pravni stručnjaci, u
saradnji sa organizacijom AV-Comparatives. Istraživanje je ocenjivalo dobavljače prema
širokom spektru kriterijuma transparentnosti i odgovornosti. Nalazi su pokazali da, iako je
osnovna usklađenost sa propisima široko rasprostranjena, mnoge proverljive prakse koje
grade poverenje i dalje ostaju retkost u industriji.
Od ukupno 14 ocenjenih dobavljača, Kaspersky je jedan od tri koji svojim korisnicima
omogućavaju pristup centrima za transparentnost, u kojima se mogu nezavisno pregledati
izvorni kod, prakse obrade podataka i procesi ažuriranja. Među njima, Kaspersky se izdvaja
najširim obimom ponude u okviru Centara za transparentnost, koji uključuje i analizu pravila za
detekciju pretnji, kao i verifikacionu proveru kojom se potvrđuje da se izgradnje softvera
podudaraju sa javno objavljenim verzijama. U okviru svoje Globalne inicijative za
transparentnost, Kaspersky je otvorio više od 10 ovakvih objekata širom sveta, nudeći različite
modele revizije za korporativne i državne aktere.
Kaspersky se takođe nalazi među samo tri dobavljača koji obezbeđuju pristup Softverskom
spisku materijala (Software Bill of Materials – SBOM), kao i među svega četiri kompanije koje
redovno objavljuju izveštaje o transparentnosti u vezi sa zahtevima organa za sprovođenje
zakona i državnih institucija. Ovi nalazi ukazuju na značajan jaz između deklarisanih obaveza i
stvarne, praktične odgovornosti u okviru industrije.
Kaspersky se posebno ističe u primeni praksi koje su još uvek slabo zastupljene u industriji
Od ukupno 60 kriterijuma obuhvaćenih procenom, Kaspersky je ispunio ili premašio
industrijske referentne vrednosti u čak 57 kategorija, što predstavlja najbolji rezultat među
analiziranim dobavljačima. Pored toga, Kaspersky je bio jedan od samo tri dobavljača koji su
ispunili sve analizirane kriterijume bezbednosne posture, uključujući izveštavanje o
ranjivostima, bezbednosna upozorenja, saradnju i posvećenost izjavi „Safe Harbor“, rezultate
bezbednosnih revizija i primenu bezbednog životnog ciklusa razvoja softvera (Secure Software
Development Life Cycle – SDLC). Ovi kriterijumi su u izveštaju opisani kao „ključni indikatori
pouzdanosti i dugoročne otpornosti“.
Procena je takođe obuhvatila praktičnu tehničku analizu sajber bezbednosnih proizvoda.
Rešenje Kaspersky Next EDR Optimum pokazalo je minimalno prikupljanje podataka tokom
testiranja i prepoznato je po tome što korisnicima omogućava potpuno isključivanje cloud-
baziranih servisa reputacije, kao i EDR funkcionalnosti u celosti.
Procena je pokazala i da se nivo kontrole korisnika nad ažuriranjima proizvoda značajno
razlikuje među dobavljačima. Iako gotovo svi dobavljači objavljuju javne istorije ažuriranja,
samo osam njih podržava postepeno (fazno) uvođenje ažuriranja, dok samo šest – uključujući
Kaspersky – omogućava korisnicima da pregledaju virusne definicije. Ove mogućnosti su od
ključnog značaja za organizacije koje posluju u regulisanim ili osetljivim okruženjima, gde su
upravljanje promenama i verifikacija obavezni.
Komentarišući rezultate istraživanja, osnivač i generalni direktor kompanije Kaspersky,
Jevgenij Kaspersky, izjavio je da transparentnost, kako bi bila kredibilna, mora biti dokaziva:
„Rešenja za sajber bezbednost duboko su integrisana u sisteme naših korisnika, zbog čega je
odgovornost od suštinskog značaja“ – objasnio je. „Kada nezavisni stručnjaci pregledaju naš
rad, transparentnost postaje nešto što se može meriti – a ne samo prihvatiti na osnovu
poverenja. Organizacijama pružamo konkretne dokaze na osnovu kojih mogu da odluče kome
će verovati, dok istovremeno podstičemo podizanje standarda u čitavoj industriji sajber
bezbednosti.“
Platforme za detekciju i odgovor na krajnjim tačkama (Endpoint Detection and Response –
EDR) obrađuju telemetrijske podatke, upravljaju automatizovanim ažuriranjima i oslanjaju se
na servise u cloud okruženju kako bi obezbedile zaštitu. Kao rezultat toga, danas su
transparentnost i odgovornost tesno povezane sa upravljanjem, regulatornom usklađenošću i
rizicima u lancu snabdevanja, umesto da se posmatraju isključivo kao tehničke karakteristike.
Transparentnost kao ključni faktor odlučivanja
U izveštaju se zaključuje da transparentnost treba da bude jedan od ključnih kriterijuma pri
izboru dobavljača za CISO-e (direktore informacione bezbednosti) i druge korporativne
donosioce odluka. Dobavljači koji kombinuju snažnu zaštitu sa struktuiranom transparentnošću
– kao što su dostupnost SBOM-a, proverljivi procesi ažuriranja, objavljeni rezultati revizija i
tokovi podataka pod kontrolom korisnika – pružaju organizacijama viši nivo sigurnosti i
poverenja.
Na nivou industrije, istraživanje ukazuje na širi pomak ka modelu sajber bezbednosti
zasnovanom na odgovornosti. Regulatorne inicijative sve više stavljaju akcenat na sledljivost,
bezbedan razvoj softvera i post-market transparentnost, što sugeriše da prakse koje su danas
slabo zastupljene mogu uskoro postati osnovni industrijski standard.
Kako bi pomogao direktorima informacione bezbednosti u obezbeđivanju efikasnog upravljanja
rizicima trećih strana, Kaspersky je u okviru bele knjige uključio i praktičnu kontrolnu listu
(checklist) koja omogućava procenu pouzdanosti softverskih dobavljača i jačanje otpornosti
lanca snabdevanja.
Celokupan izveštaj „Transparency Review and Accountability in Cybersecurity“ dostupan je na
navedenom linku.