Sākumlapa » Aizsardzība » Kaspersky iziet auditu: kas, kā un kādēļ?

Kaspersky iziet auditu: kas, kā un kādēļ?

Iespējams, Jevgēņija Kasperska blogā vai oficiālajā paziņojumā presei jau esat lasījuši, ka Kaspersky nesen izturēja SOC 2 auditu. Ja vēl nezināt, kas tas ir un kādēļ tas bija nepieciešams, tad par to visu lasiet zemāk.

 

 

Kas ir SOC 2 audits?

Pakalpojumu un organizācijas kontrole 2 jeb Service and Organization Controls 2 (SOC 2) ir kontroles procedūru audits IT organizācijām, kas sniedz pakalpojumus. Būtībā tas ir starptautisks ziņošanas standarts kiberdrošības riska pārvaldības sistēmām. Šis standarts, ko izstrādājis Amerikas Sertificēto valsts grāmatvežu institūts (AICPA), tika atjaunināts 2018. gada martā.

Šis raksts ir par SOC 2 1. tipa auditu (kuru Kaspersky izturēja), kas apliecina, ka drošības kontroles mehānismi ir efektīvi izveidoti vienotā sistēmā. Tas ir, uzņēmumā ieradās trešo personu auditori un pārbaudīja riska pārvaldības sistēmu, aplūkojot īstenotās prakses, to, cik stingri tiek ievērotas noteiktās procedūras un kā tiek reģistrētas šajā procesā ieviestās izmaiņas.

 

 

Kādēļ nepieciešams veikt auditus?

Jebkuram uzņēmumam, kas sniedz kādus pakalpojumus, ir potenciāls radīt apdraudējumus tā klientiem. Pat pilnībā likumīgs uzņēmums var kļūt par posmu piegādes ķēdē, caur kuru tiek veikti uzbrukumi (piemēram, lasiet: Kiberuzbrucēji inficē datoru ražotāja ASUS programmatūru un izplata to caur oficiālajiem kanāliem (papildināts)). Un uzņēmumiem, kas strādā informācijas drošības jomā, atbildība ir vēl lielāka: to produktiem tiek piešķirta augstākā līmeņa piekļuve lietotāju informācijas sistēmām.

Tādēļ klientiem, īpaši lielajām korporācijām, nereti rodas dažādi pamatoti jautājumi, piemēram: Cik lielā mērā mēs varam uzticēties šiem pakalpojumiem? Kāda veida iekšpolitiku mēs īstenojam attiecībā uz mūsu izmantotajiem pakalpojumiem? Vai kāds ar saviem produktiem vai atbilstošiem pakalpojumiem var mums nodarīt kaitējumu?

Tomēr ir kāda nianse – piegādātāja sniegtajām atbildēm nav nozīmes, jo Kaspersky vai kāda cita uzņēmuma sniegtās atbildes vienmēr izklausīsies pārliecinoši. Tādēļ Kaspersky vērsās pie ārējiem auditoriem, lai saņemtu ārēju ekspertu atzinumu. Uzņēmumam ir svarīgi, lai tā klienti un partneri nešaubītos, ka piedāvātie produkti un pakalpojumi ir uzticami. Kaspersky arī uzskata, ka ir svarīgi, lai uzņēmuma iekšējie procesi atbilstu starptautiskajiem standartiem un labākajai praksei.

 

Ko auditori pārbaudīja?

Lielākās bažas parasti rada mehānisms, kas informāciju nogādā klientu datoros. Kaspersky risinājumi aptver dažādus tirgus segmentus un nozares, un lielākā daļa no tiem lieto antivīrusu kā galveno aizsardzības tehnoloģiju, kas skenē objektus, meklējot kiberapdraudējumu pazīmes. Starp dažādām tā izmantotajām tehnoloģijām ir superātras jaucējsummas, emulācija izolētā vidē, kā arī māšīnmācīšanās matemātiskie modeļi, kas ir ārkārtīgi noturīgi pret mutācijām. Lai šīs tehnoloģijas būtu efektīvas pret mūsdienu kiberapdraudējumiem, antivīrusa datu bāzes nepieciešams regulāri atjaunināt.

Neatkarīgi auditori ir izpētījuši Kaspersky sistēmu šādu datubāzu pārvaldībai, kā arī izvērtējuši metodes, ko uzņēmums izmanto, lai uzraudzītu Windows un Unix serveru antivīrusu produktu datubāzu atjauninājumu integritāti un autentiskumu. Viņi pārliecinājās, ka kontroles metodes darbojas korekti, un pārbaudīja arī antivīrusu datu bāzu izstrādes un izlaides procesu, lai noskaidrotu, vai ir iespējamība veikt neatļautas manipulācijas.

 

Kā viņi veica šo pētījumu?

Auditori aplūko, kā ražotāja procesi atbilst katram no pieciem drošības pamatprincipiem: aizsardzība (vai process ir aizsargāts pret nesankcionētu piekļuvi?), pieejamība (vai process vispārēji funkcionē?), procesa integritāte (vai klientam piegādātie dati tiek uzglabāti drošā veidā?), konfidencialitāte (vai kāds cits var piekļūt šiem datiem?) un privātums (vai tiek uzglabāti personas dati, un ja tā, tad kādā veidā?).

Kaspersky gadījumā auditori pārbaudīja:

  • ko piedāvā uzņēmuma pakalpojumi;
  • kā uzņēmuma sistēmas mijiedarbojas ar lietotājiem un potenciālajiem partneriem;
  • kā Kaspersky īsteno procesu kontroli un kādi ir tās ierobežojumi;
  • kādi kontroles rīki ir pieejami lietotājiem un kā tie mijiedarbojas ar Kaspersky kontroles rīkiem;
  • ar kādiem riskiem sastopas uzņēmuma pakalpojums, un ar kādiem kontroles rīkiem šie riski tiek mazināti.

Lai to visu saprastu, auditori pētīja Kaspersky organizatorisko struktūru un mehānismus, kā arī personālu. Viņi pievērsa uzmanību tam, kā uzņēmums darbinieku atlases procesā veic personu iepriekšējās darbības pārbaudes. Auditori analizēja Kaspersky īstenotās procedūras drošības prasību mainīšanai. Viņi pētīja pirmkodu mehānismam, kas tiek izmantots, lai automātiski nodrošinātu antivīrusu datu bāzes atjauninājumus, un (pats būtiskākais) novērtēja, kādas ir iespējas veikt nesankcionētas izmaiņas šajā kodā. Audita laikā tika aplūkotas arī vairākas citas lietas. Ja vēlaties aplūkot detalizētu audita informāciju, sekojiet tālāk sniegtajai saitei, kas ļaus lejupielādēt pilnu audita ziņojumu.

 

Kurš veica pētījumu un kur es varu izlasīt ziņojumu?

Auditu veica viens no “lielā četrinieka” (KPMG, Ernst & Young (EY), Deloitte un PricewaterhouseCoopers (PwC)) uzņēmumiem. Iespējams, jau pamanījāt, ka nekur nav norādīts, tieši kurš uzņēmums tas bija. Tas nenozīmē, ka auditori bija anonīmi. Vienkārši ir pieņemts viņu vārdus bez īpašas nepieciešamības neminēt. Ziņojums, protams, ir parakstīts.

Galu galā revidenti secināja, ka Kaspersky antivīrusu datu bāzes izstrādes un izlaides procesi ir pietiekami aizsargāti pret nesankcionētām manipulācijām. Detalizētāki secinājumi, izpētes procesa raksturojums un cita informācija atrodama pilnajā ziņojuma tekstā (nepieciešama bezmaksas reģistrācija).

Izmantoti Kaspersky materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

37 − 33 =

Uz augšu