De SOC 2-audit: waar, hoe en waarom?

We leggen uit wat een SOC 2-audit is, hoe we deze succesvol ondergaan hebben en hoe deze is uitgevoerd.

Update: 18 mei 2022

In 2022 heeft Kaspersky opnieuw een SOC 2-audit (Service Organization Control for Service Organizations) Type 1 afgerond, die in 2019 voor het eerst bij het bedrijf werd uitgevoerd. De onafhankelijke beoordeling werd uitgevoerd door een internationaal accountingkantoor dat tot de zogenaamde Big Four behoort.
De herbeoordeling, die eind januari 2022 van start ging, werd eind april met succes afgerond en bevestigde dat de ontwikkelings- en uitgaveprocessen van Kaspersky’s antivirusbases door beveiligingscontroles beschermd zijn tegen ongeoorloofde wijzigingen. Tijdens het onderzoek controleerden de Big Four-auditors onder andere het beleid en de procedures van het bedrijf met betrekking tot de ontwikkeling en uitgave van antivirus (AV)-bases, de netwerk- en fysieke beveiliging van de infrastructuur die bij dit proces betrokken is en de monitoringtools die door het Kaspersky-team worden gebruikt.
De reikwijdte van de huidige audit is uitgebreid ten opzichte van de beoordeling van 2019, omdat Kaspersky sindsdien nieuwe beveiligingstools en -controles heeft geïntroduceerd. Het volledige verslag kan op verzoek aan onze klanten worden verstrekt.

Zoals u wellicht weet, dankzij de blog van Eugene Kaspersky of via ons officiële persbericht, hebben we onlangs onze SOC 2-audit succesvol ondergaan. Voor het geval u niet weet wat dit is en waarom dit nodig was, verstrekken we u nu de details.

Wat is een SOC 2-audit?

De Service and Organization Controls 2 (SOC 2) is een audit van controleprocedures en IT-organisaties die diensten verlenen. Dit is in feite een internationale rapportagestandaard voor risicobeheerssystemen voor cyberveiligheid. Deze standaard, ontwikkeld door het American Institute of Certified Public Accountants (AICPA), is in maart 2018 geüpdatet.

Deze publicatie gaat over de audit SOC 2 Type 1 (die we succesvol hebben doorstaan), die bevestigt dat de veiligheidscontrolemechanismen effectief zijn ingesteld in een enkel systeem. Auditors van derde partijen kwamen ons risicobeheersysteem onderzoeken, keken naar welke praktijken we hebben geïmplementeerd, hoe nauw we de vastgestelde procedures volgen en hoe we wijzigingen in het proces opslaan.

Waarom moeten we audits ondergaan?

Elk bedrijf dat diensten aanbiedt heeft de potentie om een dreiging te vormen voor zijn klanten. Zelfs een volledig legitiem bedrijf kan een link vormen in een toeleveringsketen door welke een aanval kan worden uitgevoerd. Maar bedrijven die op het gebied van informatiebeveiliging werkzaam zijn, hebben een nog grotere verantwoordelijkheid: hun producten moeten het hoogste toegangsniveau toestaan aan gebruikersinformatiesystemen.

Daarom kan het zijn dat klanten, vooral grote ondernemingen, zo nu en dan legitieme vragen hebben, zoals: In hoeverre kunnen we deze diensten vertrouwen? Wat voor interne beleidsmaatregelen hebben we voor de diensten die we gebruiken? Kan iemand ons kwaad doen met hun producten of bijbehorende diensten?

En dit is de twist: de antwoorden die wij bieden doen er niet toe, aangezien de antwoorden die wij, of welk bedrijf dan ook bieden, kunnen namelijk altijd overtuigend klinken. Daarom wendden we ons tot externe auditors voor de beoordeling van een expert van buitenaf. Het is belangrijk dat onze klanten en partners geen twijfels hebben over de betrouwbaarheid van onze producten en diensten. We geloven ook dat het belangrijk is dat onze interne processen voldoen aan de internationale standaarden en beste praktijken.

Wat hebben de auditors onderzocht?

De grootste zorg is altijd het mechanisme voor het leveren van informatie aan client-computers. Onze oplossingen worden in verschillende marktsegmenten en industrieën ingezet, en de meeste daarvan gebruiken een antivirus-engine als belangrijkste bescherming voor het scannen van objecten op tekenen van cyberdreigingen. Onder de vele technologieën, gebruikt de engine supersnelle hashes, emulatie in een geïsoleerde omgeving, en machine-learning van wiskundige modellen die zeer resistent zijn tegen mutaties, en die allemaal regelmatige updates vereisen van de antivirus-databases om effectief te zijn tegen moderne cyberdreigingen.

Onafhankelijke auditors hebben ons systeem voor het beheer van deze databases en onze methodes voor de controle van de integriteit en authenticiteit van updates voor antivirus-productdatabases voor Windows- en Unix-servers bestudeerd. Ze hebben vastgesteld dat onze controlemethodes correct functioneren, en hebben tevens de ontwikkeling en het uitgaveproces van antivirus-databases gecontroleerd op eventuele risico’s op ongeautoriseerde manipulatie.

Hoe hebben ze hun onderzoek uitgevoerd?

De auditors keken naar hoe vendor-processen voldoen aan elk van de vijf fundamentele beveiligingsprincipes: bescherming (is het proces beschermd tegen ongeautoriseerde toegang?), beschikbaarheid (is het proces over het algemeen functioneel?), procesintegriteit (kan iemand anders toegang tot de data verkrijgen?) en privacy (zijn er persoonlijke gegevens opgeslagen aan onze kant, en zo ja, hoe dan?)

In ons geval hebben de auditors het volgende onderzocht:

  • Wat onze diensten aanbieden
  • Hoe onze systemen met gebruikers en potentiële partners communiceren
  • Hoe we procescontrole implementeren en wat de beperkingen daarvan zijn
  • Welke controle-tools gebruikers hebben en hoe deze communiceren met onze controle-tools
  • Welke risico’s er zijn voor onze dienst en welke controle-tools deze risico’s minimaliseren

Om daar allemaal inzicht in te krijgen, hebben ze onze organisatiestructuur, mechanismes en personeel bestudeerd. Ze waren geïnteresseerd in hoe we achtergrondchecks uitvoeren als we nieuw personeel aannemen. Ze analyseerden onze procedures voor het omgaan met wijzigingen wat betreft veiligheidseisen. Ze bestudeerden de broncode van het mechanisme dat we gebruiken om updates van antivirus-databases automatisch te leveren, en het belangrijkste: ze waren geïnteresseerd in wat de mogelijkheden zijn voor het doorvoeren van ongeautoriseerde wijzigingen in deze code. Er werden nog vele andere zaken bekeken. Als u interesse hebt in de details van de audit, gebruik dan de link onderaan deze post om het volledige rapport te downloaden.

Wie voerde het onderzoek uit en waar kan ik het rapport lezen?

De audit werd uitgevoerd door een bedrijf van de Grote Vier. Zoals u misschien al ziet, vermelden we niet welk bedrijf het precies was. Maar dat betekent niet dat de auditors anoniem waren. Het is simpelweg gebruikelijk om hun naam niet te vermelden. Het rapport is uiteraard ondertekend.

Uiteindelijk concludeerden de auditors dat de ontwikkeling van onze antivirus-database en uitgave-processen voldoende beschermd zijn tegen ongeautoriseerde manipulatie. Voor meer gedetailleerde conclusies, een beschrijving van het onderzoeksproces en andere details, kunt u de volledige tekst van het rapport nalezen (gratis aanmelding vereist).

Tips