KASPERSKY è sicuro? A nostro parere SI!!

In questi giorni in Italia si pongono domande sulla sicurezza delle soluzioni Kaspersky. Sono state lanciate accuse ed è stata presentata un'interrogazione parlamentare.
È fondamentale essere consapevoli di dove e come si muovono i dati, per quali finalità possono essere utilizzati ed entro quale perimetro opera il soggetto che effettua il trattamento.
Ognuno di noi utilizza strumenti software e servizi che spesso non sono messi a disposizione da soggetti con sede legale in Italia: si pensi al sistema operativo e alle funzioni telemetria integrate, agli account cloud dei vari gestori, al servizio di backup dei propri dati offerto dal produttore dello smartphone, agli strumenti che consentono di stabilire dove si trovano i propri device e molto altro ancora.

Tra le soluzioni per la sicurezza informatica più utilizzate in Italia ci sono sicuramente quelle a marchio Kaspersky: Kaspersky Lab è infatti un'azienda con sede principale a Mosca che svolge importanti attività di ricerca e sviluppo ma il suo principale centro R&S è in Israele dal 2017.

L'Italia ha un forte legame con le soluzioni di sicurezza Kaspersky che sono utilizzate anche in molti enti pubblici, compresi Ministeri e agenzie di sicurezza. Come si comporta Kaspersky nel garantire la sicurezza di informazioni riservate e di dati che hanno evidenti legami con la sicurezza nazionale?

Queste le risposte di Kaspersky LAB.
A) I dati dei clienti italiani, elaborati dai prodotti Kaspersky sono sicuri e protetti certi dell'integrità e della sicurezza delle soluzioni di Kaspersky, delle sue pratiche ingegneristiche e dei data service. Questi sono stati confermati anche da valutazioni indipendenti di terze parti.
B) La sicurezza e l'integrità dei data service e delle pratiche di ingegneria sono state confermate da valutazioni di terze parti indipendenti, due organizzazioni di audit esterne indipendenti: attraverso il SOC 2 Audit (Service Organization Control for Service Organizations) da un revisore, Big Four, che ha confermato la sicurezza del processo di Kaspersky per lo sviluppo e il rilascio di aggiornamenti AV contro il rischio di modifiche non autorizzate. I data service di Kaspersky sono stati anche certificati da TÜV AUSTRIA secondo ISO/IEC 27001:2013.
C) Vengono gestiti Transparency Center in tutto il mondo che servono come strutture per i partner fidati e le parti interessate del governo per esaminare il codice dell'azienda, gli aggiornamenti del software e le regole di rilevamento delle minacce. Attraverso di essi, vengono forniti ai governi e ai partner informazioni sui prodotti e sulla loro sicurezza, compresa la documentazione tecnica essenziale e importante, per una valutazione esterna in un ambiente sicuro. I servizi del Transparency Center sono disponibili anche per l'accesso remoto su richiesta.
D) Kaspersky è a conoscenza dell’interrogazione parlamentare che contiene informazioni errate e speculazioni. Un esempio è l’affermazione secondo la quale Eugene Kaspersky sia un ex agente del KGB. Eugene Kaspersky non ha mai lavorato per il KGB. Inoltre, Kaspersky non è soggetta al Russian System of Operational Investigative Measures (SORM) o ad altre legislazioni simili e non è quindi obbligata a fornire informazioni. Questo è stato confermato da una valutazione legale indipendente di terzi sulla legislazione russa in materia di trattamento dei dati. I risultati sono liberamente disponibili online e forniscono una valutazione legale imparziale ed equa.

Negli ultimi 25 anni, Kaspersky ha mantenuto i più alti standard del settore in termini di etica e pratiche commerciali e di trattamento dei dati degli utenti. La risposta pubblicata dalla Commissione europea nell'aprile 2019 ha confermato pubblicamente ciò che abbiamo sentito molte volte da diversi regolatori e politici. Speriamo anche che le pubblicazioni di tali dichiarazioni aiutino le parti interessate a prendere decisioni basate su prove, non basate su voci e cattivi rapporti.

Kaspersky è un'azienda privata internazionale con la sua holding registrata nel Regno Unito. Le pratiche di sviluppo del software sono organizzate secondo i più alti standard industriali ed ha ottenuto il rapporto SOC 2 Type 1 in conformità con lo standard SSAE 18 (criteri di sicurezza) rilasciato da un revisore indipendente di terze parti "Big Four". L'ambito della valutazione include i controlli interni sugli aggiornamenti automatici regolari dei database antivirus creati e distribuiti da Kaspersky per i suoi prodotti operanti su server Windows e Unix.

Nell'ambito della Global Transparency Iniziative, Kaspersky ha trasferito l'infrastruttura di elaborazione dei dati a Zurigo, in Svizzera: i file dannosi e sospetti (dati relativi alle minacce informatiche) condivisi volontariamente dagli utenti dei prodotti Kaspersky in Europa, Stati Uniti, Canada e diversi Paesi dell'Asia-Pacifico vengono elaborati e archiviati in due data center svizzeri che offrono strutture di livello mondiale per garantire i massimi livelli di sicurezza. Inoltre, la Svizzera è tra i pochi paesi ad avere una decisione di adeguatezza con l'UE: è stata riconosciuta come paese in grado di fornire un'adeguata protezione dei dati personali.