Já faz um mês desde que o Departamento de Comércio dos EUA emitiu sua determinação final com relação à venda e ao uso de produtos da Kaspersky por pessoas dos EUA. A decisão da agência, caso você não esteja ciente disso, em termos gerais, foi de proibir a comercialização dos produtos da Kaspersky, com algumas exceções para produtos e serviços informativos e educacionais. O resultado é o seguinte: os usuários nos EUA não podem mais escolher livremente o software de segurança cibernética com base na qualidade e na experiência.
Ao longo de seus 27 anos de história, nossa empresa sempre foi reconhecida por fornecer a melhor proteção do mercado contra todos os tipos de ameaças cibernéticas, não importa de onde elas venham. Eis alguns exemplos: no início deste ano, nossos produtos mais uma vez receberam o prêmio de Produto do Ano de um renomado laboratório de testes independente; ano após ano, nossas soluções têm demonstrado 100% de proteção contra a ameaça mais significativa: ransomwares. E é a equipe de pesquisa de ameaças da Kaspersky, respeitada tanto pela comunidade InfoSec global quanto por nossos usuários, que descobre, analisa e, o mais importante, revela ao mundo as maiores e mais sofisticadas campanhas de espionagem patrocinadas pelo Estado.
Então, qual pode ser o motivo para proibir as melhores soluções de segurança cibernética da categoria, nas quais milhões de pessoas confiam? O problema foi definido de forma clara e objetiva? Você viu alguma evidência desses riscos aos quais o governo dos EUA se refere há anos? Nós também não.
Apesar de termos que enfrentar os resultados do crescente protecionismo e seus impactos significativos, como alegações infundadas de má conduta e acusações baseadas apenas em riscos teóricos, continuamos a desenvolver uma metodologia universal para a avaliação de produtos de segurança cibernética. Permanecemos sempre fiéis ao nosso princípio fundamental: ser o mais transparentes e abertos possível sobre a forma como realizamos nosso trabalho.
Nos tornamos a primeira e continuamos sendo a única grande empresa de segurança cibernética a fornecer a terceiros acesso ao nosso código-fonte e também permitimos que nossos stakeholders e parceiros de confiança verifiquem nossas regras de detecção de ameaças e atualizações de software em um gesto de boa vontade nunca visto. Há vários anos, temos nossa Iniciativa de Transparência Global em vigor. Ela é única em seu escopo e valor prático, o que mais uma vez reflete nossa atitude cooperativa e determinação em abordar quaisquer preocupações potenciais sobre como nossas soluções funcionam. No entanto, ainda enfrentamos apreensão em relação à confiabilidade de nossos produtos, geralmente decorrentes de fatores externos, como conjecturas geopolíticas. Por isso, fomos além, sugerindo uma estrutura ainda mais completa, que avaliaria a integridade de nossas soluções de segurança ao longo de seu ciclo de vida.
O que vou descrever abaixo é uma estrutura que estamos compartilhando proativamente com as partes que expressam preocupações sobre a credibilidade das soluções da Kaspersky, incluindo aquelas no governo dos Estados Unidos. Acreditamos que a estrutura é abrangente o suficiente para abordar as preocupações mais comumente expressas e é capaz de formar uma cadeia de confiança confiável.
Os principais pilares da metodologia de avaliação de segurança cibernética que estamos apresentando (que, aliás, acreditamos ter o potencial de formar a base de uma metodologia para todo o setor) incluem: (i) a localização do processamento de dados, (ii) a revisão dos dados recebidos e (iii) a revisão das informações e das atualizações entregues às máquinas do usuário (como parte das atualizações do software e do banco de dados de ameaças). Assim como em nossa Iniciativa de Transparência Global, o objetivo principal da estratégia é o envolvimento de um revisor externo para verificar os processos e as soluções da empresa. As novidades sobre metodologia são a extensão e a profundidade de tais revisões. Vejamos os detalhes…
Localização do processamento de dados
A questão do processamento e armazenamento de dados tem sido uma das mais delicadas, não apenas para a Kaspersky, mas para todo o setor de segurança cibernética. Frequentemente, recebemos perguntas relevantes sobre quais dados nossos produtos podem processar, como esses dados são armazenados e, mais fundamentalmente, por que precisamos desses dados. O objetivo principal do processamento de dados da Kaspersky é fornecer aos nossos usuários e clientes as melhores soluções de segurança cibernética ao coletar dados sobre arquivos maliciosos e suspeitos que detectamos nas máquinas dos usuários, podemos treinar nossos algoritmos, ensinando-os a detectar novas ameaças e conter sua disseminação.
A estrutura que estamos apresentando também implica uma maior localização da infraestrutura de processamento de dados e a implementação de controles técnicos e administrativos que restringem o acesso a essa infraestrutura de processamento para funcionários fora de um determinado país ou região. Já implementamos essa abordagem ao fornecer nosso serviço de Detecção e Resposta Gerenciada (MDR) na Arábia Saudita, e os mesmos mecanismos foram sugeridos em nossas discussões com as autoridades dos EUA para aliviar suas preocupações. Essas medidas garantiriam que os dados locais fossem armazenados e processados em um ambiente físico onde o controle final sobre os dados caberia a pessoas sob a jurisdição local ou de um país estreitamente aliado, conforme considerado apropriado por essas pessoas. Assim como nas etapas acima mencionadas, um validador terceirizado independente pode ser convidado a revisar a eficácia das medidas implementadas.
O processamento de dados locais requer análise de ameaças locais e o desenvolvimento de assinaturas locais de detecção de malware, e nossa metodologia fornece exatamente isso. A localização do processamento de dados requer a expansão dos recursos humanos para dar suporte à infraestrutura local, e estamos preparados para desenvolver ainda mais nossas equipes regionais de P&D e TI em determinados países. Essas equipes seriam exclusivamente responsáveis por dar suporte ao processamento de dados domésticos, gerenciar o software do data center local e analisar malware para identificar novos APTs específicos para uma determinada região. Essa medida também garantiria que houvesse mais especialistas internacionais envolvidos no desenvolvimento de futuras linhas de produtos da Kaspersky, tornando nossa área de P&D ainda mais descentralizada.
Revisão do processo de recuperação de dados
Protegemos os dados que coletamos contra riscos potenciais usando políticas, práticas e controles internos rigorosos. Nunca atribuímos os dados coletados a um indivíduo ou organização específica, os tornamos anônimos sempre que possível. Além disso, limitamos o acesso a esses dados dentro da empresa e processamos 99% deles automaticamente.
Para mitigar ainda mais quaisquer riscos potenciais para os dados de nossos clientes, sugerimos a contratação de um revisor autorizado de terceiros para revisar periodicamente nosso processo de recuperação de dados. Esse revisor em tempo real avalia periodicamente os dados que recebemos com ferramentas de análise de dados e plataformas de processamento de dados para garantir que nenhuma informação pessoalmente identificável ou outros dados protegidos sejam transferidos para a Kaspersky e para confirmar que os dados recuperados sejam usados exclusivamente para detecção e proteção contra ameaças, e tratados adequadamente.
Revisão de atualizações e dados entregues às máquinas do usuário
Como uma próxima etapa em relação ao produto, a estrutura de mitigação seria fornecida para revisões regulares de terceiros de nossas atualizações de banco de dados de ameaças e desenvolvimento de código de software relacionado ao produto para mitigar os riscos da cadeia de suprimentos para nossos clientes. É importante destacar que o terceiro seria uma organização independente, subordinada diretamente a um regulador local. Isso se somaria ao rigoroso e seguro processo de desenvolvimento de software existente da Kaspersky, que se concentra na mitigação de riscos, incluindo um cenário em que há um intruso no sistema, para garantir que ninguém possa adicionar código não autorizado aos nossos produtos ou bancos de dados de antivírus.
Mas, para aprimorar ainda mais as garantias de segurança, a contratação de um revisor externo em tempo real tem como objetivo avaliar a segurança do código desenvolvido pelos engenheiros da Kaspersky, sugerir melhorias, identificar riscos potenciais e, então, determinar as soluções apropriadas.
Um dos cenários de como essa verificação de atualizações do banco de dados de ameaças pode ser organizada é descrito a seguir:
É importante enfatizar que a revisão de terceiros pode ser crítica ou menos crítica, conduzida regularmente ou depois que um número suficiente de atualizações/componentes para revisão é acumulado, bem como aplicada a todos ou apenas a uma seleção de componentes. A opção de revisão mais avançada proposta envolve o bloqueio em tempo real, permitindo que os revisores controlem totalmente o código entregue às máquinas do usuário. Uma revisão crítica impediria que qualquer código durante o processo de revisão fosse incluído em um produto ou atualizações e, portanto, chegasse aos clientes da Kaspersky.
Esse processo de revisão abrangente pode ser aprimorado ainda mais, exigindo a assinatura do revisor em todas as atualizações entregues às máquinas do usuário após o código subjacente ter sido confirmado e compilado. Isso garantiria que o código não fosse alterado depois de ser revisado em tempo real.
A revisão proposta não apenas permite a verificação em tempo real da segurança do código recentemente desenvolvido, mas também fornece acesso a todo o código-fonte, incluindo seu histórico. Isso permite que o revisor avalie completamente o código recentemente desenvolvido, entenda suas alterações ao longo do tempo e veja como ele interage com outros componentes do produto.
Essa revisão de código absoluta também seria acompanhada com o acesso a uma cópia do ambiente de compilação de software da empresa, que espelha o usado na Kaspersky, incluindo instruções e scripts de compilação, documentação de projeto detalhada e descrições técnicas dos processos e da infraestrutura. Portanto, o revisor em tempo real pode construir/compilar o código de forma independente e comparar os binários e/ou os objetos intermediários de construção com as versões distribuídas. O revisor também seria capaz de verificar a infraestrutura de construção e o software em busca de alterações.
Além disso, um terceiro independente confiável poderia ter acesso às práticas de desenvolvimento de software da empresa. Essa análise independente teria como objetivo fornecer garantias adicionais de que as medidas e processos aplicados pela Kaspersky correspondem às principais práticas do setor. O acesso cobriria toda a documentação de segurança relevante, incluindo, mas não se limitando a: definição de requisitos de segurança, modelagem de ameaças, revisão de código, verificação de código estático e dinâmico, teste de penetração etc.
O resultado é que, em nossa opinião, a estratégia acima pode abordar a maioria dos riscos da cadeia de fornecimento de TIC relacionados ao desenvolvimento e distribuição de produtos de maneira eficaz e verificável. E, como mencionei acima, essas são de fato as medidas de mitigação que enviamos em uma proposta para discussão ao Departamento de Comércio dos EUA, mais uma vez confirmando nossa abertura ao diálogo e determinação em fornecer o nível máximo de garantias de segurança. No entanto, nossa proposta foi simplesmente ignorada. Isso me leva a acreditar que a razão é baseada em ideias preconcebidas do Departamento. Parece que, em vez de avaliar nossa proposta com base na sua eficácia em lidar com os riscos, ela foi analisada apenas para encontrar uma justificativa para rejeitá-la.
Embora tenhamos que admitir que mais uma vez estamos tendo que lidar com um ato de protecionismo digital, sei que o mundo precisa urgentemente de uma estratégia global de gerenciamento de riscos de segurança cibernética. É essencial ser capaz de lidar com o cenário de ameaças em evolução de forma eficaz e garantir uma abordagem unificada para gerenciar os riscos de segurança cibernética em diversos domínios de segurança de TI. Essa abordagem também poderia ajudar a evitar decisões focadas em benefícios imediatos que privem milhões de usuários de sua liberdade de escolha em relação à proteção confiável de segurança cibernética e a criação de restrições artificiais à troca de dados entre profissionais de segurança cibernética. Vamos permitir que esses especialistas se concentrem em seu trabalho importante sem a carga adicional da geopolítica, cuja influência beneficia apenas os cibercriminosos.
Em um mundo interconectado no qual as ameaças cibernéticas transcendem as fronteiras, uma estratégia global é vital para reforçar as defesas de segurança cibernética, aumentar a confiança e promover um ecossistema digital mais seguro. Nossa estrutura abre as portas para uma discussão dentro do setor sobre como deve ser uma avaliação universal de segurança cibernética da cadeia de suprimentos, com o objetivo final de desenvolver uma proteção confiável e, consequentemente, um mundo mais seguro.