Nezavisna studija „Pregled transparentnosti i odgovornosti u sajber bezbednosti“, Privredne komore Tirola (WKO), izdvojila tri kompanije koje korisnicima daju punu kontrolu onoga što kupuju i primenjuju da bi bili bezbedni.
Nezavisna studija „Pregled transparentnosti i odgovornosti u sajber bezbednosti“, naručena je od strane Privredne komore Tirola (WKO), a sproveli su je MCI The Entrepreneurial School i pravni stručnjaci, u saradnji sa organizacijom AV-Comparatives, pokazala je da, iako je osnovna usklađenost sa propisima široko rasprostranjena, mnoge proverljive prakse koje grade poverenje i dalje ostaju retkost u industriji pružanja sajber-bezbednosti.
Studija u čijem je centru bila transparentnost i odgovornost, je pokazala da među 14 dobavljača sigurnosnih rešenja, postoje tri koji svojim korisnicima omogućavaju pristup centrima za transparentnost, u kojima se mogu nezavisno pregledati izvorni kod, prakse obrade podataka i procesi ažuriranja. To su Cisco, Microsoft i Kaspersky.
Transparentnost kao ključni faktor odlučivanja
U izveštaju se zaključuje da transparentnost treba da bude jedan od ključnih kriterijuma pri izboru dobavljača za CISO-e (direktore informacione bezbednosti) i druge korporativne donosioce odluka.
Dobavljači koji kombinuju snažnu zaštitu sa struktuiranom transparentnošću – kao što su dostupnost SBOM-a, proverljivi procesi ažuriranja, objavljeni rezultati revizija i tokovi podataka pod kontrolom korisnika – pružaju organizacijama viši nivo sigurnosti i poverenja.
Na nivou industrije, istraživanje ukazuje na širi pomak ka modelu sajber bezbednosti zasnovanom na odgovornosti. Regulatorne inicijative sve više stavljaju akcenat na sledljivost, bezbedan razvoj softvera i post-market transparentnost, što sugeriše da prakse koje su danas slabo zastupljene mogu uskoro postati osnovni industrijski standard.
Kaspersky: Sve je proverljivo
Među ocenjivanim dobavljačima Kaspersky se, ističu iz te kompanije, izdvojio kao jedan od najtransparentnijih, dosledno prevazilazeći industrijske standarde u oblastima upravljanja podacima, poverenja u lanac snabdevanja i mogućnostima verifikacije od strane korisnika.
Kaspersky ima najširi obim ponude u okviru Centara za transparentnost, koji uključuje i analizu pravila za detekciju pretnji, kao i verifikacionu proveru kojom se potvrđuje da se izgradnje softvera podudaraju sa javno objavljenim verzijama. U okviru svoje Globalne inicijative za transparentnost, Kaspersky je otvorio više od 10 ovakvih objekata širom sveta, nudeći različite modele revizije za korporativne i državne aktere.
Komentarišući rezultate istraživanja, osnivač i generalni direktor kompanije Kaspersky, Jevgenij Kasperski, izjavio je da transparentnost, kako bi bila kredibilna, mora biti dokaziva.
„Rešenja za sajber bezbednost duboko su integrisana u sisteme naših korisnika, zbog čega je odgovornost od suštinskog značaja. Kada nezavisni stručnjaci pregledaju naš rad, transparentnost postaje nešto što se može meriti – a ne samo prihvatiti na osnovu poverenja. Organizacijama pružamo konkretne dokaze na osnovu kojih mogu da odluče kome će verovati, dok istovremeno podstičemo podizanje standarda u čitavoj industriji sajber bezbednosti.“, ističe Jevgenij Kasperski. “
Kompanija Kaspersky je na osnovu tog istraživanja objavila belu knjigu nazivom „Zaštita povrh detekcije: Zašto poverenje i transparentnost odlučuju o budućnosti vaše sajber bezbednosti“.
Kaspersky se takođe nalazi među samo tri dobavljača koji obezbeđuju pristup Softverskom spisku materijala (Software Bill of Materials – SBOM), kao i među svega četiri kompanije koje redovno objavljuju izveštaje o transparentnosti u vezi sa zahtevima organa za sprovođenje zakona i državnih institucija. Ovi nalazi ukazuju na značajan jaz između deklarisanih obaveza i stvarne, praktične odgovornosti u okviru industrije.
Kaspersky se posebno ističe u primeni praksi koje su još uvek slabo zastupljene u industriji
Od ukupno 60 kriterijuma obuhvaćenih procenom, Kaspersky je ispunio ili premašio industrijske referentne vrednosti u čak 57 kategorija, što predstavlja najbolji rezultat među analiziranim dobavljačima.
Pored toga, Kaspersky je bio jedan od samo tri dobavljača koji su ispunili sve analizirane kriterijume bezbednosne posture, uključujući izveštavanje o ranjivostima, bezbednosna upozorenja, saradnju i posvećenost izjavi „Safe Harbor“, rezultate bezbednosnih revizija i primenu bezbednog životnog ciklusa razvoja softvera (Secure Software Development Life Cycle – SDLC). Ovi kriterijumi su u izveštaju opisani kao „ključni indikatori pouzdanosti i dugoročne otpornosti“.
Procena je takođe obuhvatila praktičnu tehničku analizu sajber bezbednosnih proizvoda. Rešenje Kaspersky Next EDR Optimum pokazalo je minimalno prikupljanje podataka tokom testiranja i prepoznato je po tome što korisnicima omogućava potpuno isključivanje cloud-baziranih servisa reputacije, kao i EDR funkcionalnosti u celosti.
Procena je pokazala i da se nivo kontrole korisnika nad ažuriranjima proizvoda značajno razlikuje među dobavljačima. Iako gotovo svi dobavljači objavljuju javne istorije ažuriranja, samo osam njih podržava postepeno (fazno) uvođenje ažuriranja, dok samo šest – uključujući Kaspersky – omogućava korisnicima da pregledaju virusne definicije. Ove mogućnosti su od ključnog značaja za organizacije koje posluju u regulisanim ili osetljivim okruženjima, gde su upravljanje promenama i verifikacija obavezni.
Platforme za detekciju i odgovor na krajnjim tačkama (Endpoint Detection and Response – EDR) obrađuju telemetrijske podatke, upravljaju automatizovanim ažuriranjima i oslanjaju se na servise u cloud okruženju kako bi obezbedile zaštitu. Kao rezultat toga, danas su transparentnost i odgovornost tesno povezane sa upravljanjem, regulatornom usklađenošću i rizicima u lancu snabdevanja, umesto da se posmatraju isključivo kao tehničke karakteristike.
