Come noto, il mondo Kaspersky è stato messo alla porta dal mondo della cybersecurity in virtù della sua provenienza russa. Comprendere il meccanismo, aiuta a comprendere il reale profilo di rischio nell’uso del software e la reale urgenza necessaria nel cambio della propria fornitura nel caso in cui in passato si sia scelto proprio Kaspersky per i propri PC o per la propria azienda.
Nessuno ha infatti fin qui messo in discussione la bontà di Kaspersky in qualità di soluzione antivirus. Le certificazioni del passato sono confermate, il brand è noto e la diffusione è ampia da molto tempo senza che fossero mai sollevate reali perplessità. Tuttavia la cautela in tempo di guerra alza di molto la propria asticella ed i timori diffusisi sono oggi relativi non tanto al valore della soluzione tecnica, quanto ai rischi del profilo geopolitico. Come reagirebbe l’azienda, insomma, nel caso in cui la Federazione Russa imponesse scelte specifiche o richiedesse informazioni che possano mettere a rischio infrastrutture estere?
Una promozione che non cambia la situazione
Ecco perché risulta importante, ma non dirimente, la nuova promozione che Kaspersky ha ricevuto attraverso l’audit SOC 2 (Service Organization Control for Service Organizations) Type 1, una valutazione indipendente che ha “riconfermato che il processo di sviluppo e rilascio degli AV database di Kaspersky è protetto da modifiche non autorizzate grazie a rigidi controlli di sicurezza“. Si tratta infatti di una riconferma legata ad un aspetto mai realmente messo in dubbio, utile a ribadire la bontà di Kaspersky senza nulla aggiungere a quanto fosse già noto.
Spiega Kaspersky nel comunicare il risultato conseguito:
La rivalutazione è stata avviata a fine gennaio 2022 e si è conclusa con successo a fine aprile. Durante l’esame, i revisori di Big Four hanno esaminato, tra le altre cose, le politiche e le procedure dell’azienda relative allo sviluppo e al rilascio di database antivirus (AV), la sicurezza fisica e di rete dell’infrastruttura coinvolta in questo processo e gli strumenti di monitoraggio utilizzati dal team Kaspersky. L’esame ha riguardato anche il modo in cui l’azienda comunica i termini e le condizioni del processo di rilascio dei database AV ai propri dipendenti, utenti e clienti.
E ancora, ad ulteriore conferma:
Una volta completato l’audit, è stato concluso che i controlli interni di Kaspersky per la protezione del processo di sviluppo e rilascio dei database antivirus per i sistemi operativi Windows e Unix sono adeguatamente progettati per soddisfare tutte e cinque le categorie di affidabilità coperte dal TSC. L’ambito dell’audit attuale è stato ampliato rispetto alla valutazione del 2019, poiché Kaspersky ha introdotto nuovi strumenti e controlli di sicurezza.
L’Italia da parte sua ha chiesto alla PA maggior “diversificazione“, ostacolando la diffusione dell’antivirus russo in favore di opzioni alternative e geopoliticamente meno scomode. Per i privati la scelta è per il momento libera: Kaspersky (Russia), McAfee (USA), Norton (USA), Avira (Germania), Avast (Repubblica Ceca), AVG (Olanda) o BitDefender (Romania)? Libera scelta in libero stato, ma con un contesto di sfondo estremamente complicato e stiracchiato tra audit e ostracismo, tra pericoli e libertà.