Kompanija Kaspersky je objavila novu belu knjigu pod nazivom „Zaštita povrh detekcije: Zašto poverenje i transparentnost odlučuju o budućnosti vaše sajber bezbednosti“, zasnovanu na nezavisnoj proceni transparentnosti i odgovornosti 14 vodećih dobavljača sajber bezbednosnih rešenja[1]. Među ocenjivanim dobavljačima, Kaspersky se izdvojio kao jedan od najtransparentnijih, dosledno prevazilazeći industrijske standarde u oblastima upravljanja podacima, poverenja u lanac snabdevanja i mogućnostima verifikacije od strane korisnika.
Nezavisna studija „Pregled transparentnosti i odgovornosti u sajber bezbednosti“, na kojoj se zasniva nova bela knjiga kompanije Kaspersky, naručena je od strane Privredne komore Tirola (WKO), a sproveli su je MCI | The Entrepreneurial School® i pravni stručnjaci, u saradnji sa organizacijom AV-Comparatives. Istraživanje je ocenjivalo dobavljače prema širokom spektru kriterijuma transparentnosti i odgovornosti. Nalazi su pokazali da, iako je osnovna usklađenost sa propisima široko rasprostranjena, mnoge proverljive prakse koje grade poverenje i dalje ostaju retkost u industriji.
Od ukupno 14 ocenjenih dobavljača, Kaspersky je jedan od tri koji svojim korisnicima omogućavaju pristup centrima za transparentnost, u kojima se mogu nezavisno pregledati izvorni kod, prakse obrade podataka i procesi ažuriranja. Među njima, Kaspersky se izdvaja najširim obimom ponude u okviru Centara za transparentnost, koji uključuje i analizu pravila za detekciju pretnji, kao i verifikacionu proveru kojom se potvrđuje da se izgradnje softvera podudaraju sa javno objavljenim verzijama. U okviru svoje Globalne inicijative za transparentnost, Kaspersky je otvorio više od 10 ovakvih objekata širom sveta, nudeći različite modele revizije za korporativne i državne aktere.
Kaspersky se takođe nalazi među samo tri dobavljača koji obezbeđuju pristup Softverskom spisku materijala (Software Bill of Materials – SBOM), kao i među svega četiri kompanije koje redovno objavljuju izveštaje o transparentnosti u vezi sa zahtevima organa za sprovođenje zakona i državnih institucija. Ovi nalazi ukazuju na značajan jaz između deklarisanih obaveza i stvarne, praktične odgovornosti u okviru industrije.
Kaspersky se posebno ističe u primeni praksi koje su još uvek slabo zastupljene u industriji
Od ukupno 60 kriterijuma obuhvaćenih procenom, Kaspersky je ispunio ili premašio industrijske referentne vrednosti u čak 57 kategorija, što predstavlja najbolji rezultat među analiziranim dobavljačima. Pored toga, Kaspersky je bio jedan od samo tri dobavljača koji su ispunili sve analizirane kriterijume bezbednosne posture, uključujući izveštavanje o ranjivostima, bezbednosna upozorenja, saradnju i posvećenost izjavi „Safe Harbor“, rezultate bezbednosnih revizija i primenu bezbednog životnog ciklusa razvoja softvera (Secure Software Development Life Cycle – SDLC). Ovi kriterijumi su u izveštaju opisani kao „ključni indikatori pouzdanosti i dugoročne otpornosti“.
Procena je takođe obuhvatila praktičnu tehničku analizu sajber bezbednosnih proizvoda. Rešenje Kaspersky Next EDR Optimum pokazalo je minimalno prikupljanje podataka tokom testiranja i prepoznato je po tome što korisnicima omogućava potpuno isključivanje cloud-baziranih servisa reputacije, kao i EDR funkcionalnosti u celosti.
Procena je pokazala i da se nivo kontrole korisnika nad ažuriranjima proizvoda značajno razlikuje među dobavljačima. Iako gotovo svi dobavljači objavljuju javne istorije ažuriranja, samo osam njih podržava postepeno (fazno) uvođenje ažuriranja, dok samo šest – uključujući Kaspersky – omogućava korisnicima da pregledaju virusne definicije. Ove mogućnosti su od ključnog značaja za organizacije koje posluju u regulisanim ili osetljivim okruženjima, gde su upravljanje promenama i verifikacija obavezni.
Komentarišući rezultate istraživanja, osnivač i generalni direktor kompanije Kaspersky, Jevgenij Kaspersky, izjavio je da transparentnost, kako bi bila kredibilna, mora biti dokaziva: „Rešenja za sajber bezbednost duboko su integrisana u sisteme naših korisnika, zbog čega je odgovornost od suštinskog značaja“ – objasnio je. „Kada nezavisni stručnjaci pregledaju naš rad, transparentnost postaje nešto što se može meriti – a ne samo prihvatiti na osnovu poverenja. Organizacijama pružamo konkretne dokaze na osnovu kojih mogu da odluče kome će verovati, dok istovremeno podstičemo podizanje standarda u čitavoj industriji sajber bezbednosti.“
Platforme za detekciju i odgovor na krajnjim tačkama (Endpoint Detection and Response – EDR) obrađuju telemetrijske podatke, upravljaju automatizovanim ažuriranjima i oslanjaju se na servise u cloud okruženju kako bi obezbedile zaštitu. Kao rezultat toga, danas su transparentnost i odgovornost tesno povezane sa upravljanjem, regulatornom usklađenošću i rizicima u lancu snabdevanja, umesto da se posmatraju isključivo kao tehničke karakteristike.
Transparentnost kao ključni faktor odlučivanja
U izveštaju se zaključuje da transparentnost treba da bude jedan od ključnih kriterijuma pri izboru dobavljača za CISO-e (direktore informacione bezbednosti) i druge korporativne donosioce odluka. Dobavljači koji kombinuju snažnu zaštitu sa struktuiranom transparentnošću – kao što su dostupnost SBOM-a, proverljivi procesi ažuriranja, objavljeni rezultati revizija i tokovi podataka pod kontrolom korisnika – pružaju organizacijama viši nivo sigurnosti i poverenja.
Na nivou industrije, istraživanje ukazuje na širi pomak ka modelu sajber bezbednosti zasnovanom na odgovornosti. Regulatorne inicijative sve više stavljaju akcenat na sledljivost, bezbedan razvoj softvera i post-market transparentnost, što sugeriše da prakse koje su danas slabo zastupljene mogu uskoro postati osnovni industrijski standard.
Kako bi pomogao direktorima informacione bezbednosti u obezbeđivanju efikasnog upravljanja rizicima trećih strana, Kaspersky je u okviru bele knjige uključio i praktičnu kontrolnu listu (checklist) koja omogućava procenu pouzdanosti softverskih dobavljača i jačanje otpornosti lanca snabdevanja.
Celokupan izveštaj „Transparency Review and Accountability in Cybersecurity“ dostupan je na navedenom linku.
[1] „Transparency Review and Accountability in Cybersecurity“, izdanje za 2025. godinu, naručeno od strane WKO (Privredne komore Tirola), a sprovedeno od strane AV-Comparatives, MCI | The Entrepreneurial School® i advokatske kancelarije Studio Legale Tremolada.
