Een schild van vertrouwen

Cybersecurityrisico’s beheren door middel van een evidence-based aanpak.

Een schild van vertrouwen: cybersecurityrisico's beheren door middel van een evidence-based aanpak.

Het is alweer een maand geleden sinds het Amerikaanse Ministerie van Handel zijn definitieve beslissing heeft genomen met betrekking tot de verkoop en het gebruik van Kaspersky-producten door Amerikaanse burgers. De beslissing van het bureau, mocht u er niet van op de hoogte zijn, was in grote lijnen om Kaspersky-producten te verbieden – met enkele uitzonderingen voor informatie- en onderwijsproducten en -diensten – van de markt. Het resultaat is het volgende: gebruikers in de VS hebben geen toegang meer tot de cybersecuritysoftware die zij kiezen op basis van kwaliteit en expertise.

In zijn 27-jarige geschiedenis is ons bedrijf altijd erkend als leverancier van de beste bescherming op de markt tegen alle soorten cyberbedreigingen – ongeacht waar ze vandaan komen. Hier zijn een paar voorbeelden: eerder dit jaar ontvingen onze producten opnieuw de Product of the Year- award van een gerenommeerd onafhankelijk testlaboratorium. Al jarenlang bieden onze oplossingen 100% bescherming tegen de grootste bedreiging – ransomware; en het Threat Research Team van Kaspersky – gerespecteerd door zowel de wereldwijde InfoSec-gemeenschap als onze gebruikers – dat de grootste en meest geavanceerde door de staat gesponsorde spionagecampagnes ontdekt, analyseert en, nog belangrijker, onthult aan de wereld.

Dus wat zou de reden kunnen zijn voor het verbieden van de beste cybersecurityoplossingen waar miljoenen mensen op vertrouwen? Is het probleem duidelijk en objectief gedefinieerd? Heeft u bewijs gezien voor de risico’s waar de Amerikaanse overheid al jaren naar verwijst? Wij ook niet.

Terwijl we moeten omgaan met de gevolgen van groeiend protectionisme (en de harde gevolgen ervan) – zoals beweringen zonder bewijs van wangedrag, en beschuldigingen puur gebaseerd op theoretische risico’s – ontwikkelen we voortdurend een universele methodologie voor de beoordeling van cybersecurityproducten, terwijl we altijd trouw blijven aan ons belangrijkste principe: maximaal transparant en open zijn over hoe we ons werk doen.

We waren het eerste en blijven het enige grote cybersecuritybedrijf dat derden toegang geeft tot onze broncode, en we staan onze belanghebbenden en vertrouwde partners ook toe om onze dreigingsdetectieregels en software-updates te controleren in een ongeëvenaard gebaar van goede wil. Al enkele jaren hebben we ons Global Transparency Initiative in werking – uniek in zijn omvang en praktische waarde – wat nogmaals onze coöperatieve houding en vastberadenheid weerspiegelt om eventuele zorgen over hoe onze oplossingen werken aan te pakken. Toch bleven we twijfelen over de betrouwbaarheid van onze producten – meestal voortkomend uit externe factoren zoals geopolitieke gissingen – en daarom gingen we een stap verder door een nog grondiger raamwerk voor te stellen, dat de integriteit van onze beveiligingsoplossingen gedurende hun hele levenscyclus zou beoordelen.

Wat ik hieronder zal beschrijven is een raamwerk dat we proactief hebben gedeeld met de partijen die hun zorgen uitten over de geloofwaardigheid van de oplossingen van Kaspersky – inclusief die van de Amerikaanse overheid. Wij geloven dat het raamwerk uitgebreid genoeg is om de meest geuite zorgen aan te pakken en in staat is om een betrouwbare vertrouwensketen te vormen.

De belangrijkste pijlers van de methodologie voor cyberbeveiligingsbeoordeling die we hebben gepresenteerd (en die volgens ons de potentie heeft om de basis te vormen voor een methodologie voor de hele sector) zijn: (i) de lokalisatie van gegevensverwerking, (ii) de beoordeling van ontvangen gegevens en (iii) de beoordeling van zowel de informatie als de updates die aan gebruikersmachines worden geleverd (als onderdeel van software- en bedreigingsdatabase-updates). Net als binnen ons Global Transparency Initiative, is het kernstreven van de strategie de betrokkenheid van een externe reviewer voor het controleren van de processen en oplossingen van het bedrijf. Wat echter nieuw is aan deze methodologie, is zowel de omvang als de diepgang van dergelijke beoordelingen. Laten we de details bekijken…

Lokalisatie van gegevensverwerking

De kwestie van gegevensverwerking en -opslag is een van de meest gevoelige, niet alleen voor Kaspersky, maar voor de hele cybersecurityindustrie. We krijgen regelmatig terechte vragen over welke gegevens onze producten kunnen verwerken, hoe deze gegevens worden opgeslagen en, het allerbelangrijkst, waarom we deze gegevens nodig hebben. Het belangrijkste doel van gegevensverwerking voor Kaspersky is om onze gebruikers en klanten de allerbeste cybersecurityoplossingen te bieden: door gegevens te verzamelen over kwaadaardige en verdachte bestanden die we detecteren op gebruikersmachines, kunnen we onze algoritmen trainen – hen leren hoe nieuwe dreigingen te detecteren en hun verspreiding in te dammen.

Het raamwerk dat we hebben gepresenteerd, impliceert ook grotere lokalisatie van de gegevensverwerkingsinfrastructuur, en de implementatie van technische en administratieve controles die de toegang tot dergelijke verwerkingsinfrastructuur voor medewerkers buiten een bepaald land of regio beperken. We implementeren al een dergelijke aanpak bij het leveren van onze Managed Detection and Response (MDR)-dienst in Saoedi-Arabië, en dezelfde mechanismen zijn voorgesteld in onze gesprekken met de Amerikaanse autoriteiten om hun zorgen weg te nemen. Deze maatregelen moeten ervoor zorgen dat lokale gegevens zowel worden opgeslagen als verwerkt in een fysieke omgeving waar de uiteindelijke controle over de gegevens berust bij personen onder de lokale jurisdictie, of die van een nauw geallieerd land als deze personen dat passend achten. Net als bij de hierboven genoemde stappen kan een onafhankelijke derde partij worden uitgenodigd om de effectiviteit van de geïmplementeerde maatregelen te beoordelen.

Lokale gegevensverwerking vereist lokale dreigingsanalyse en de ontwikkeling van lokale malware-detectiedefinities, en onze methodologie voorziet hierin. Lokalisatie van gegevensverwerking vereist uitbreiding van personele middelen om lokale infrastructuur te ondersteunen, en we zijn bereid om onze regionale R&D- en IT-teams in bepaalde landen verder uit te breiden. Dergelijke teams zijn uitsluitend verantwoordelijk voor het ondersteunen van de verwerking van binnenlandse gegevens, het beheren van lokale datacenter-software en het analyseren van malware om nieuwe APT’s te identificeren die specifiek zijn voor de betreffende regio. Deze maatregel zou er ook voor zorgen dat er meer internationale experts betrokken zijn bij de ontwikkeling van toekomstige productlijnen van Kaspersky – waardoor onze R&D nog meer gedecentraliseerd wordt.

Beoordeling van het proces van gegevensophaling

We beschermen de gegevens die we verzamelen tegen potentiële risico’s met behulp van strikte interne beleidslijnen, praktijken en controles; we schrijven nooit gegevens die we verzamelen toe aan een specifiek individu of organisatie, we anonimiseren het waar mogelijk, en we beperken ook de toegang tot dergelijke gegevens binnen het bedrijf en verwerken 99% ervan automatisch.

Om mogelijke risico’s voor de gegevens van onze klanten verder te beperken, stellen we voor om een externe, geautoriseerde reviewer in te schakelen om ons proces voor het ophalen van gegevens periodiek te beoordelen. Een dergelijke realtime reviewer zou periodiek de gegevens die we ontvangen, beoordelen met data-analysetools en gegevensverwerkingsplatforms om ervoor te zorgen dat er geen persoonlijk identificeerbare informatie of andere beschermde gegevens worden overgedragen aan Kaspersky, en om te bevestigen dat de gegevens die worden opgehaald uitsluitend worden gebruikt voor de detectie en bescherming tegen dreigingen, en op de juiste manier worden behandeld.

Beoordeling van updates en gegevens geleverd aan gebruikersmachines

Als volgende stap aan de productkant zou het risicobeperkingsraamwerk worden geleverd voor regelmatige beoordelingen door derden van onze bedreigingsdatabase-updates en productgerelateerde softwarecode-ontwikkeling om de risico’s van de toeleveringsketen voor onze klanten te beperken. Belangrijk is dat de derde partij een onafhankelijke organisatie is die rechtstreeks rapporteert aan een lokale toezichthouder. Dit zou een aanvulling zijn op het bestaande, strenge en veilige softwareontwikkelingsproces van Kaspersky, dat zich richt op het beperken van risico’s, waaronder een scenario waarin er een indringer in het systeem zit. Zo willen we ervoor zorgen dat niemand ongeautoriseerde code aan onze producten of AV-databases kan toevoegen.

Maar om de veiligheidsgaranties nog verder te verbeteren, is de inzet van een externe realtime reviewer bedoeld om de veiligheid van de door Kaspersky-ingenieurs ontwikkelde code te beoordelen, verbeteringen voor te stellen, potentiële risico’s te identificeren en vervolgens passende oplossingen te bepalen.

Hieronder ziet u een van de scenario’s waarin een dergelijke controle op updates van de bedreigingsdatabase kan worden georganiseerd:

Een van de scenario's van realtime beoordeling van dreigingsdatabases

Een van de scenario’s van realtime beoordeling van dreigingsdatabases

Het is belangrijk om te benadrukken dat de beoordeling door derden blokkerend of niet-blokkerend kan zijn en dat deze op regelmatige basis kan worden uitgevoerd of zodra er een kritische massa aan updates/componenten voor beoordeling is verzameld. De beoordeling kan ook worden toegepast op alle componenten of slechts op een selectie van de componenten. De meest geavanceerde voorgestelde beoordelingsoptie betreft realtime-blokkering, waardoor reviewers volledige controle hebben over de code die aan de machines van gebruikers wordt geleverd. Een blokkerende beoordeling zou voorkomen dat code tijdens het beoordelingsproces in een product of updates terechtkomt – en dus ook in de klanten van Kaspersky.

Dit uitgebreide beoordelingsproces zou verder kunnen worden verbeterd door de handtekening van de reviewer te vereisen voor alle updates die aan de machines van gebruikers worden geleverd nadat de onderliggende code is bevestigd en gebouwd. Dit zou ervoor zorgen dat de code niet is gewijzigd na beoordeling in realtime.

De voorgestelde beoordeling maakt niet alleen realtime verificatie van de veiligheid van nieuw ontwikkelde code mogelijk, maar biedt ook toegang tot de volledige broncode – inclusief de geschiedenis ervan. Hierdoor kan de reviewer de nieuw ontwikkelde code volledig beoordelen, de veranderingen in de loop van de tijd begrijpen en zien hoe deze interageert met andere productcomponenten.

Een dergelijke absolute codebeoordeling zou ook gepaard gaan met toegang tot een kopie van de softwareontwikkelingsomgeving van het bedrijf, die de gebruikte omgeving bij Kaspersky weerspiegelt – inclusief compilatie-instructies en scripts, gedetailleerde ontwerpdocumentatie en technische beschrijvingen van de processen en infrastructuur. Hierdoor kan de realtime reviewer zelfstandig code bouwen/compileren en binaire bestanden en/of tussenliggende buildobjecten vergelijken met de verzonden versies. De reviewer kan ook de gebouwde infrastructuur en software controleren op wijzigingen.

Daarnaast kan een betrouwbare onafhankelijke derde partij toegang krijgen tot de softwareontwikkelingspraktijken van het bedrijf. Een dergelijke onafhankelijke analyse zou verdere garanties moeten bieden dat de door Kaspersky toegepaste maatregelen en processen overeenkomen met toonaangevende praktijken in de sector. De toegang zou alle relevante beveiligingsdocumentatie omvatten, waaronder maar niet beperkt tot: het definiëren van beveiligingsvereisten, bedreigingsmodellering, codebeoordeling, statische en dynamische codeverificatie, penetratietesten, enz.

Kortom, wij zijn van mening dat de bovengenoemde strategie de meeste risico’s in de ICT-toeleveringsketen met betrekking tot productontwikkeling en -distributie op een effectieve en verifieerbare manier kan aanpakken. En zoals ik hierboven al aangaf, zijn dit in feite de mitigerende maatregelen die we in een voorstel ter discussie hebben voorgelegd aan het Amerikaanse Ministerie van Handel – opnieuw een bevestiging van onze openheid voor dialoog en onze vastberadenheid om het hoogste niveau van veiligheidswaarborgen te bieden. Ons voorstel werd echter simpelweg genegeerd. Dit doet me geloven dat de reden gebaseerd is op de vooroordelen van het Ministerie. Het lijkt erop dat ons voorstel niet is beoordeeld op zijn effectiviteit bij het aanpakken van de risico’s, maar dat het is onderzocht om een excuus te vinden om het af te wijzen.

Hoewel we moeten toegeven dat we opnieuw te maken hebben met een vorm van digitale protectionisme, weet ik zeker dat de wereld dringend behoefte heeft aan een wereldwijde strategie voor het beheer van cybersecurityrisico’s. Het is van cruciaal belang om effectief te kunnen inspelen op de veranderende dreigingssituatie en te zorgen voor een uniforme aanpak voor het beheer van cybersecurityrisico’s in verschillende IT-beveiligingsdomeinen. Deze aanpak kan ook helpen om kortzichtige beslissingen te voorkomen die miljoenen gebruikers hun keuzevrijheid met betrekking tot betrouwbare cybersecurity ontnemen en die leiden tot kunstmatige beperkingen op de uitwisseling van gegevens tussen cybersecurityprofessionals. Laten we deze experts in staat stellen zich te concentreren op hun belangrijke werk zonder de extra last van geopolitiek – waarvan de invloed alleen cybercriminelen ten goede komt.

In een onderling verbonden wereld waarin cyberdreigingen de grenzen overschrijden, is een wereldwijde strategie van essentieel belang om de cybersecurity te versterken, vertrouwen te vergroten en een veiliger digitaal ecosysteem te bevorderen. Ons raamwerk opent de deur voor een discussie binnen de sector over hoe een universele beoordeling van de cybersecurity van de toeleveringsketen eruit zou moeten zien – met als ultieme doel het creëren van een betrouwbaar schild van vertrouwen en daarmee een veiligere wereld.

Tips