Kaspersky revela planos de expansão da Iniciativa Global de Transparência

Kaspersky revela planos de expansão da Iniciativa Global de Transparência

O ano de 2023 marca o 5.º aniversário da Iniciativa Global de Transparência (IGT) da Kaspersky, o programa emblemático da empresa que tem como objetivo estabelecer uma referência do sector na abordagem aos riscos da cadeia de abastecimento. Como a atitude geral em relação aos riscos associados à utilização de software de terceiros está a crescer e as empresas e os reguladores estão mais interessados em saber até que ponto o software que utilizam é seguro, a Kaspersky anuncia os seus planos para expandir ainda mais a iniciativa, aumentando a sua rede de Centros de Transparência em todo o mundo e alargando as opções de revisão do código-fonte.

A procura de uma maior confiança digital está a aumentar num contexto de tendência crescente para a soberania digital, com marcos importantes definidos pelo estabelecimento de regulamentos, como a proposta de Lei Europeia da Ciber-resiliência. Esta última levantou questões sobre os critérios baseados em provas dos produtos digitais adequados e sobre as medidas para verificar a sua conformidade, com a procura, como nunca antes, de frameworks de criação de confiança universais.

Com o objetivo de destacar a fiabilidade das soluções Kaspersky e promover padrões de transparência na indústria da cibersegurança como um todo, a IGT tem vindo a desenvolver-se e a crescer em escala, com o investimento total da empresa no projeto a totalizar os 7,9 milhões de dólares desde o seu lançamento. Atualmente, o IGT engloba seis pilares principais, nomeadamente a relocalização de dados, a abertura de Centros de Transparência em todo o mundo, auditorias independentes regulares, o programa de gestão de vulnerabilidades, o programa educativo de desenvolvimento de capacidades de cibersegurança e relatórios de transparência.

Uma das primeiras ações do IGT foi a relocalização dos dados relacionados com ciberameaças recebidos dos utilizadores dos produtos Kaspersky para centros de dados na Suíça, conhecida pela sua robusta proteção de dados e neutralidade. Atualmente, os dados dos utilizadores Kaspersky na Europa, América do Norte e Latina, Médio Oriente e também em vários países da região Ásia-Pacífico são armazenados e processados em dois centros de dados em Zurique.

"Na Kaspersky, levámos sempre muito a sério a forma como protegemos os dados dos utilizadores. Para garantir a segurança dos dados que os nossos clientes nos confiam, temos seguido uma abordagem integrada, colocando as nossas práticas de gestão de dados em conformidade com os principais padrões da indústria", afirma Anton Ivanov, Diretor de Tecnologia da Kaspersky. "Também convidámos auditores de terceiros para verificar isto e escolhemos instalações de classe mundial em conformidade com as normas da indústria para armazenamento e processamento de dados. Com esta visão holística, esperamos dar aos utilizadores dos produtos Kaspersky uma paz de espírito completa sobre a segurança e a privacidade dos seus dados."

Em conjunto com o lançamento da relocalização de dados, a Kaspersky começou a criar a sua rede global de Centros de Transparência, que se traduzem em instalações onde clientes e parceiros, bem como reguladores governamentais responsáveis pela cibersegurança, podem verificar a integridade das soluções da empresa, revendo o seu código fonte, e aprender mais sobre os processos internos da empresa. Desde a abertura do primeiro Centro de Transparência em Zurique, em novembro de 2018, a Kaspersky abriu mais oito centros na Europa, América do Norte e Latina, e também na Ásia-Pacífico. Até à data, a Kaspersky organizou sessões de informação para quase 60 partes requerentes nos seus Centros de Transparência em todo o mundo, incluindo reguladores nacionais e empresas de todo o mundo.

Até meados de 2024, a Kaspersky planeia expandir a sua rede de Centros de Transparência para o Médio Oriente e África e abrir os seus primeiros Centros de Transparência em cada região, juntamente com a criação de um novo centro na região Ásia-Pacífico. As três novas instalações servirão como centros de informação para que os stakeholders da empresa saibam mais sobre as práticas internas de engenharia e gestão de dados da Kaspersky, mas também sobre as normas e melhores práticas aplicáveis da indústria.

Além disso, a Kaspersky está a expandir o âmbito da revisão de código-fonte proporcionada nos seus Centros de Transparência. Anteriormente, a Kaspersky oferecia para revisão apenas o código-fonte dos seus principais produtos de consumo e empresariais, mas, a partir de julho de 2023, a empresa está a remover as limitações a este respeito e a disponibilizar o código-fonte de todas as suas soluções on-premise para os clientes e parceiros empresariais. A decisão surgiu como resultado do interesse crescente dos clientes na inspeção do código-fonte de outros produtos Kaspersky.

Outra novidade nos Centros de Transparência Kaspersky serão os resultados da auto-certificação dos produtos Kaspersky, incluindo elementos como documentos de design e modelos de ameaças que se relacionam com as recomendações delineadas na proposta da Lei Europeia de Ciber-resiliência.

"Quando a Kaspersky lançou a sua Iniciativa Global de Transparência, foi pioneira na promoção da confiança digital e na defesa da responsabilidade dos fornecedores perante os seus clientes", refere Yuliya Shlychkova, Diretor de Public Affairs da Kaspersky. "Mas, hoje, vemos que a transparência é cada vez mais procurada por organizações de todo o mundo, que estão a adotar uma atitude mais madura em relação à sua ciberproteção e a prestar mais atenção à fiabilidade dos seus fornecedores de software. Isto prova que a Kaspersky é um visionário, antecipando as futuras áreas de desenvolvimento da indústria e as tendências a imperar."

Outros destaques da IGT incluem:

· Auditorias regulares de terceiros, que verificam a segurança das soluções Kaspersky. Desde 2019, os sistemas de gestão de dados da empresa são submetidos a uma certificação regular em conformidade com a norma ISO/IEC 27001:2013, que confirma que a empresa permite uma forte segurança da informação e que o seu Serviço de Dados está em conformidade com as práticas líderes do sector. Além disso, a Kaspersky realiza regularmente uma auditoria SOC 2, por um auditor independente, para analisar o nosso processo de desenvolvimento e distribuição de bases de dados de vírus e verificar se é seguro e protegido contra alterações não autorizadas.

· Lançamento de Relatórios de Transparência, revelando estatísticas sobre o número de pedidos de perícia técnica e dados de utilizador, recebidos de agências governamentais e autoridades judiciais. O relatório mais recente revelou dados sobre os pedidos em duas categorias - dados do utilizador e conhecimentos técnicos -, recebidos durante o segundo semestre de 2022. Durante o segundo semestre de 2022, a Kaspersky recebeu 37 pedidos de governos e autoridades judiciais (LEAs) de seis países. Pelo menos 65% desses pedidos foram rejeitados devido à ausência de dados ou por não cumprirem os requisitos de verificação legal.

· Conduta do Programa Bug Bounty, no qual qualquer pessoa pode comunicar vulnerabilidades ou erros críticos encontrados nos nossos sistemas e receber uma recompensa. Como parte do IGT, aumentámos os prémios para os investigadores de segurança, que são agora elegíveis para recompensas até 100.000 dólares por comunicarem as vulnerabilidades mais críticas. Desde março de 2018, recebemos 55 relatórios sobre vulnerabilidades menores, corrigimo-las e, até à data, pagámos um total de 77.450 dólares em recompensas.

· O Programa de Reforço das Capacidades Cibernéticas (CCBP), concebido para ajudar as organizações a desenvolver mecanismos e competências para a avaliação da segurança dos produtos TIC. Desde 2020, seis organismos governamentais frequentaram o Programa de Reforço das Capacidades Cibernéticas Kaspersky para desenvolver competências na avaliação da fiabilidade do software.

O IGT é um dos tópicos centrais do Kaspersky NEXT, o principal evento de imprensa da empresa, que se concentra em tecnologias futuras e decorre em Zurique, esta terça-feira, 27 de junho.