Non è un mistero per nessuno che Kaspersky, per i propri natali russi, negli ultimi mesi si sia ritrovata nella difficile posizione di dover difendere la propria integrità e la sicurezza dei propri software agli occhi di società e governi del mondo occidentale. Tra diffidenze e, in certi casi, vere e proprie indicazioni di organismi pubblici (come l’Agenzia per la Cybersicurezza Nazionale italiana, Acn) a rivolgersi altrove, la società ha continuato a ribadire di non aver nulla da nascondere. E già a prima dell’invasione militare della Russia in Ucraina, cioè nell’ottobre del 2021, aveva deciso di pubblicare la propria documentazione Software Bill of Materials (Sbom) per aiutare i propri clienti e partner a guardare da vicino i prodotti Kaspersky.

Ora l’azienda prosegue sulla stessa linea annunciando l’apertura di tre nuovi Transparency Center negli Stati Uniti, in Giappone e a Singapore. Dopo il lancio del primo centro nel 2018, a Zurigo, la rete si è via via ampliata, aggiungendo anche tre sedi di revisione del codice in Spagna (Madrid), in Malesia (Kuala Lumpur) e in Brasile (San Paolo). Le tre aggiunte annunciate ora sono i due nuovi Transparency Center di Tokyo e Singapore e la sede statunitense di Woburn, che sostituisce il precedente centro per la trasparenza ubicato in Canada.

I Transparency Center sono, sostanzialmente, delle sedi in cui clienti, partner e altri soggetti interessati possono visionare il codice sorgente dei software e conoscere le pratiche di progettazione e di elaborazione dei dati dei servizi Kaspersky. Queste sedi sono uno degli elementi della Iniziativa Globale di Trasparenza lanciata dalla società nel 2017 per conservare, conquistare o in certi casi riconquistare la fiducia dei clienti e degli utenti.

Si collocano all’interno dell’iniziativa anche la decisione di trasferire in Svizzera le attività di elaborazione e archiviazione dei dati relativi alle minacce informatiche per gli utenti residenti in America Latina e in Medio Oriente, e la ricertificazione dei data service di Kaspersky da parte dell’ente di certificazione indipendente Tuv Austria. Oggi Kaspersky torna a ribadire queste sue scelte mentre i tempi sono cambiati e la guerra in corso fa nascere nuove paure di cyberspionaggio realizzato tramite backdoor. Inoltre questi sono tempi di forte crescita degli attacchi informatici di supply chain, in cui software legittimi possono essere alterati in qualsiasi passaggio della catena che va dal fornitore iniziale all’utente finale.

“Siamo la prima azienda nel settore della cybersicurezza ad aprire il nostro codice sorgente a revisioni esterne”, ha sottolineato il chief business development officer, Andrey Efremov. “Kaspersky ha lavorato duramente per dimostrare di essere un partner affidabile e degno di fiducia. Vorrei invitare i nostri clienti, potenziali ed esistenti, e le autorità governative a visitare i nostri nuovi Transparency Center dove faremo del nostro meglio per rispondere a tutte le domande possibili sul nostro codice sorgente, sulle regole di rilevamento delle minacce, sugli aggiornamenti del software e sulle nostre pratiche di ingegneria e di elaborazione dei dati”.


Come funzionano i Transparency Center di Kaspersky
Chi fa richiesta di accesso può visionare il codice software delle soluzioni Kaspersky, a patto ovviamente di superare i controlli (con “policy di accesso tra le più rigide”, sottolinea l’azienda) tesi a verificare le buone intenzioni del richiedente. Le visite variano in base alle competenze e agli interessi dei visitatori stessi: si va da una panoramica generale sulle pratiche di sicurezza e trasparenza di Kaspersky a una revisione completa del codice sorgente, fatta sempre “sotto la guida degli esperti dell’azienda”. Per ovvie ragioni, la revisione si limita alla modalità lettura, cioè non è possibile apportare modifiche al codice software. 

Il codice visionabile è quello dei principali prodotti per utenti privati e aziende, antivirus compresi, oltre che quello degli aggiornamenti software. I visitatori possono anche verificare i dettagli delle regole di rilevamento delle minacce. Inoltre è possibile controllare la distinta base del software (SBOM) dei prodotti Kaspersky ed esaminare i risultati degli audit di sicurezza di terze parti. Oltre che visitando il centro di persona, alcune di queste attività sono accessibili da remoto.