Milano, 19 aprile 2022 - Kaspersky ha ampliato la portata del suo trasferimento di dati relativi alle minacce informatiche, che ora copre anche gli utenti di America Latina e Medio Oriente. L’impegno dell’azienda nel voler implementare le migliori pratiche di protezione dati è stato confermato anche da TUV AUSTRIA, che ri-certifica i data service di Kaspersky. Inoltre, l’azienda ha anche diffuso pubblicamente le informazioni relative alle richieste di dati e competenze tecniche ricevute nella seconda metà del 2021 da parte di enti governativi, forze dell'ordine e utenti.

Queste misure riflettono il continuo impegno dell’azienda verso una maggiore trasparenza, intrapresa come parte della Global Transparency Initiative (GTI). Attraverso il lancio di questa campagna nel 2017 Kaspersky ha stabilito un punto di riferimento per la fiducia digitale ed è diventato il primo fornitore di cybersicurezza a rendere il suo codice sorgente disponibile per la revisione. Ben determinata ad essere un partner affidabile per i suoi utenti, attualmente Kaspersky resta una dei pochi vendor IT internazionali che cerca di trasformare la trasparenza in uno standard del settore, compiendo enormi passi avanti verso una maggior responsabilità.

Da marzo 2022, Kaspersky elabora e archivia, nei data center di Zurigo, in Svizzera, file malevoli o sospetti ricevuti da utenti di America Latina e Medio Oriente che prima venivano elaborati da strutture situate in Russia. In precedenza, il trasferimento del processo di archiviazione dei dati era stato completato per l'Europa, il Nord America e per un certo numero di paesi dell'Asia-Pacifico. I data center svizzeri forniscono strutture di livello mondiale conformi ai più alti standard del settore, offrendo agli utenti la certezza che i loro dati sono al sicuro.

Inoltre, Kaspersky ha rinnovato la sua certificazione ISO 27001*, rilasciata dall'ente di certificazione indipendente TÜV AUSTRIA: si tratta di uno standard di sicurezza applicabile riconosciuto a livello internazionale. Oltre all'audit superato nel 2020, questa volta l'ambito della certificazione è stato esteso e ora copre non solo il sistema Kaspersky Security Network (KSN) per l'archiviazione e l'accesso sicuro ai file dannosi e sospetti (chiamato KLDFS), ma anche i sistemi KSN per l'elaborazione delle statistiche (chiamato KSNBuffer database). La conformità alla norma ISO/IEC 27001:2013 - riconosciuta a livello internazionale come lo standard di sicurezza applicabile e di settore di best practice - è alla base dell'approccio di Kaspersky in merito all'implementazione e alla gestione della sicurezza delle informazioni. La certificazione - concessa dall'ente di certificazione accreditato da terzi, TÜV AUSTRIA - dimostra l'impegno dell'azienda verso una forte sicurezza delle informazioni e la conformità del suo Data Service alle pratiche leader del settore. Il documento è disponibile qui: TÜV AUSTRIA Certificate Directory e può anche essere consultato pubblicamente sul sito di Kaspersky a questo link.

Andrey Efremov, Chief Business Development Officer di Kaspersky, ha affermato: “Abbiamo trasferito l’elaborazione e l’archiviazione dei dati relativi alle minacce informatiche da un determinato numero di paesi e territori alle nostre strutture in Svizzera – paese famoso per la sua severa legislazione in termini di protezione dei dati. Questi provvedimenti sono parte della nostra Global Transparency Initiative, che include anche valutazioni indipendenti dei data service dell’azienda, dell’integrità delle pratiche di ingegneria e la disponibilità del codice sorgente dei nostri prodotti per una revisione aperta. Insieme, queste misure sottolineano ulteriormente il nostro impegno a garantire piena trasparenza nel modo in cui gestiamo i dati dei nostri utenti, e nel modo in cui continueremo a fornire ai nostri clienti e partner soluzioni e servizi affidabili e sicuri”.

La nuova versione del Transparency report

Kaspersky ha messo a punto una pratica solida di divulgazione delle informazioni relative all’approccio che l’azienda adotta quando si tratta di gestire le richieste dei dati, e rilascia un regolare report “Law Enforcement and Government Requests", suddividendo i dati in due categorie: dati utente e competenze tecniche**. L’ultimo rapporto esamina questi dati raccolti duranti la seconda metà del 2021.

Più precisamente, durante la seconda parte del 2021, Kaspersky ha ricevuto 109 richieste da parte di governi e forze dell’ordine (LEAs) di 12 paesi. Almeno il 36% delle richieste è stato respinto per mancanza di dati o perché non venivano rispettati i requisiti di verifica legale. In totale, 92 delle richieste ricevute durante la seconda metà dell’anno riguardavano competenze tecniche.

Complessivamente, in tutto il 2021, Kaspersky ha ricevuto un totale di 214 richieste (rispetto alle 160 ricevute nel 2020), da parte di governi e forze dell’ordine di 17 paesi. 181 richieste riguardavano competenze tecniche (rispetto alle 132 ricevute nel 2020). Qui è possibile trovare ulteriori informazioni riguardanti le successive fasi di elaborazione delle suddette richieste.

Allo stesso tempo, il numero di richieste da parte di utenti che chiedono dettagli su come e dove sono conservati i propri dati e la loro fornitura o rimozione è aumentato, raggiungendo le 2.252 richieste totali.

Per promuovere responsabilità e trasparenza in merito agli standard del settore della sicurezza informatica, Kaspersky condivide la sua esperienza con una comunità più ampia. A questo proposito, come parte della Global Transparency Initiative, Kaspersky ha ampliato ulteriormente il Cyber Capacity Building Program (CCBP): si tratta di un programma che mira ad aiutare le realtà di tutto il mondo affinché sviluppino strumenti pratici e competenze per le valutazioni di sicurezza attraverso un interessante corso online – “Digital Cyber Capacity Building Program”. Il corso online, che ora è disponibile per un pubblico ancora più vasto, consentirà ad un numero maggiore di organizzazioni e individui di migliorare la propria resilienza informatica insegnando loro come effettuare corrette valutazioni di sicurezza dei prodotti.

È possibile ottenere maggiori informazioni sulla Global Transparency Initiative visitando il sito web.

*ISO/IEC 27001 è lo standard di sicurezza delle informazioni più diffuso, elaborato e pubblicato dall'International Organization for Standardization (ISO), il più grande sviluppatore mondiale di standard internazionali volontari.

**I dati dell'utente comprendono le informazioni fornite dagli utenti a Kaspersky quando utilizzano i prodotti e i servizi dell'azienda. Dipendono dai servizi, dai prodotti e dalle funzionalità che gli utenti utilizzano e sono protetti come descritto nella policy sulla privacy di Kaspersky.

Le richieste di competenze tecniche includono informazioni tecniche non personali prodotte e fornite dai ricercatori di sicurezza Kaspersky e dagli algoritmi di apprendimento automatico. Ciò può includere gli hash MD5 del malware, gli indicatori di compromissione (IoC), le informazioni sul modus operandi dei cyberattacchi, i risultati del reverse engineering del malware, le statistiche e altri risultati di indagini e ricerche.

