In tempi di attacchi informatici di supply chain, dare trasparenza e garantire integrità nella realizzazione di un software è quanto mai importante. Kaspersky va in questa direzione con la scelta di pubblicare la propria documentazione Software Bill of Materials (Sbom), che aiuterà clienti e partner a comprendere come sia stato realizzato ciascun prodotto. A detta del vendor, questo darà alle aziende “una garanzia ancora più forte per la sicurezza e l'integrità delle soluzioni” di Kaspersky.
Sbom è una documentazione in cui vengono descritte tutte le componenti di un software e in cui vengono chiarite le relazioni tra di esse, cioè l’architettura del prodotto. Questa è una buona pratica emergente nel settore del software, nata proprio per garantire una maggiore trasparenza e visibilità in un momento storico nel quale crescono gli attacchi di supply chain, cioè attacchi nei quali è coinvolto un soggetto della catena di fornitura di un prodotto hardware o software.
Gli attaccanti possono intercettare una vulnerabilità o inserire una backdoor in un certo punto della catena per ottenere scopi di furto dati ai danni degli utilizzatori finali del prodotto compromesso). Eclatante, nel 2020, è stato il caso del software di SolarWinds. Secondo l’analisi della European Union Agency for Cybersecurity (Enisa) quest’anno gli attacchi tesi al furto di dati che coinvolgevano dati condivisi con i fornitori sono stati la tipologia di incidente più costosa: hanno fatto danni pari a 1,4 milioni di dollari.
“Sbom rappresenta un passo in avanti nel miglioramento della sicurezza e dell'integrità delle supply chain di software”, ha dichiarato Oleg Abdurashitov, Head of Public Affairs di Kaspersky. “Aiuta i produttori di software a essere più trasparenti riguardo ai componenti, aumentando la visibilità e la consapevolezza degli utenti su quali "elementi" include un software. Introducendo Sbom a livello globale, i nostri clienti e partner avranno maggiori rassicurazioni nel momento in cui decidono di affidarsi alle soluzioni di sicurezza di Kaspersky e avranno a disposizione tutte le informazioni necessarie su come vengono progettati i nostri prodotti, cosa includono e come funzionano. Inoltre, mantenere e fornire Sbom è indice che i produttori di software dispongono dei controlli e delle conoscenze organizzative necessarie per supportare i propri clienti nella creazione di un'infrastruttura digitale sicura e affidabile".
La documentazione è disponibile attraverso i quattro Transparency Center di Zurigo, Madrid, San Paolo e Kuala Lumpur, che sono sia visitabili in presenza sia accessibili virtualmente da remoto, in entrambi i casi previa richiesta. Kaspersky è anche impegnata, insieme ad altre aziende, nell’iniziativa Geneva Dialogue on Responsible Behavior in Cyberspace.