Più trasparenti dell’aria che respiriamo

Ciao a tutti!

Credo nella possibilità di trovare sempre, a volte anche con un po’ di sforzo, qualcosa di buono anche nelle situazioni più difficili.

La campagna negativa perpetrata di recente contro Kaspersky Lab dalla stampa statunitense non è stata affatto piacevole per noi ma ci siamo sforzati e abbiamo trovato comunque qualcosa di positivo in tutto ciò: ci ha consentito di elaborare alcune curiose osservazioni e deduzioni. Inoltre, ci ha permesso di dare una svolta verso alcune iniziative di business che tempo fa non avrebbero visto la luce; di una di queste ne parlerò proprio in questo post.

Il business della cybersicurezza si basa sulla fiducia, tra l’utente e lo sviluppatore del prodotto. Ad esempio qualsiasi antivirus, per fare il proprio lavoro come si deve (ovvero scoprire i malware e garantire la protezione adeguata), impiega numerose tecnologie che richiedono ampie autorizzazioni di accesso ai computer degli utenti. Se non dispongono di tali autorizzazioni, non servono a nulla. D’altro canto, i cybercriminali utilizzano tutti i metodi disponibili per penetrare nei computer e insinuare malware nei sistemi operativi di questi dispositivi. L’unica maniera per individuare e far venir fuori questi malware è avere le loro stesse autorizzazioni di accesso. Tutto ciò, però, dà adito a tutta una serie di teorie cospiratorie, a partire da quelle vecchio stile: “sono le stesse aziende antivirus a scrivere i virus (mi spaventa pensare a una teoria del genere applicata ad altri settori tipo i pompieri o i medici che danneggiano la propria categoria). L’ultima teoria che ci riguarda e che ha avuto terreno fertile è la seguente: i nostri prodotti sono stati hackerati da cyber-militari per spiare altri cyber-militari.

Ci sono tre elementi che accomunano tutti gli attacchi dei media statunitensi a KL: (i) la totale mancanza di prove nelle loro notizie; (ii) l’uso solamente di fonti anonime e (iii) il modo sgradevole in cui si è parlato di un presunto abuso della relazione di fiducia che esiste necessariamente tra noi e gli utenti. Bisogna ammettere, infatti, che la relazione di fiducia costruita durante decenni è stata purtroppo danneggiata. E ciò non riguarda solo KL ma l’intera industria della cybersicurezza, dal momento che tutti i vendor utilizzano tecnologie simili per garantire una protezione di qualità.

Si può superare questa crisi? E se sì, come?

Sì, è possibile. Anzi, è nostro dovere. Ma bisogna farlo solo prendendo alcune decisioni che dimostrino a livello tecnico quanto siamo affidabili per evitare che niente e nessun altro ci possa minacciare. Gli utenti potranno così fidarsi degli sviluppatori come un tempo, sviluppatori che hanno sempre avuto, continuano ad avere e sempre avranno una sola missione: proteggere gli utenti dalle minacce informatiche.

Abbiamo sempre informato il più possibile circa i progetti e le iniziative in programma, soprattutto quelli che riguardavano i nostri aspetti tecnologici. Tutte le nostre tecnologie chiave sono documentate con attenzione (quasi quasi riveliamo segreti industriali) e pubblicamente catalogate. E qualche giorno fa abbiamo fatto un ulteriore passo in avanti: abbiamo annunciato la nostra Global Transparency Initiative, per eliminare ogni dubbio sui nostri prodotti, per garantire la massima trasparenza in merito ai nostri processi interni e per dimostrare la totale conformità ai più alti standard del settore.

Cosa faremo in concreto?

Innanzitutto inviteremo le organizzazioni indipendenti ad analizzare il codice sorgente dei nostri prodotti e degli aggiornamenti. Potranno analizzare letteralmente di tutto, fino all’ultimo byte dei nostri backup più datati. La parola chiave è indipendenti e giusto vicino c’è un’altra parola chiave, aggiornamenti. Le analisi e gli audit non riguarderanno solo i prodotti ma anche gli aggiornamenti.

In secondo luogo, avremo una stima ugualmente indipendente de (i) i nostri processi di ciclo di vita per lo svilupo di un software sicuro; (ii) delle nostre strategie di mitigazione dei rischi che applichiamo ai prodotti rivolti agli utenti finali.

Infine,  apriremo tre Transparency Center, in USA, Europa e Asia dove utenti, partner e rappresentanti governativi  potranno ottenere informazioni dettagliate sui nostri prodotti e le nostre tecnologie per poi elaborare le proprie analisi e valutazioni.

Questo è solo l’inizio. Abbiamo altri progetti in cantiere per essere più trasparenti dell’aria  (niente battute sull’inquinamento nelle grandi città). Il progetto sta per partire e vi terremo informati sulla sua evoluzione. Seguiteci, mi raccomando.

PS: Per qualsiasi idea o suggerimento o commento potete scriverci qui.