كاسبرسكي تنجح في التدقيق العالمي المستقلّ على ضوابط تنظيم الخدمة SOC2
أتمّت كاسبرسكي بنجاح عملية تدقيق ضوابط تنظيم الخدمة من النوع الأول Type 1، والمعروفة اختصاراً بـ SOC 2. وأكّد التقرير النهائي الصادر عن إحدى شركات المحاسبة الأربع الكبرى العالمية، أن إعداد شركة كاسبرسكي قواعد البيانات الخاصة بإرشادات الكشف عن التهديدات الإلكترونية (المعروفة بقواعد بيانات AV)، وإصدارها، محميّان من التغييرات غير المصرح بها عبر مجموعة من الضوابط الأمنية المُحكَمة. وعلى جانب آخر ذي صلة، أعلنت الشركة عن تطورات جديدة في مبادرتها العالمية للشفافية.
وتُعدّ التقارير التي توضع في إطار العمل الخاص بضوابط تنظيم الخدمة (SOC) تقاريرَ عالمية معترفاً بها لضوابط إدارة المخاطر المرتبطة بالأمن الإلكتروني. وجرى تطوير إطار العمل هذا من قِبل المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) لإطلاع العملاء على طرق التصميم والتوظيف الفعالة للضوابط الأمنية. وقد اختارت كاسبرسكي هذا الإطار المعياري لإثبات جدارة منتجاتها وتأكيد حرصها على الالتزام بالمبادئ والمعايير الخدمية الخاصة بدعم الثقة، والتي وضعها المعهد الأمريكي للمحاسبين القانونيين المعتمدين وتتمثل في الأمن والإتاحة وسلامة المعالجة والسرية والخصوصية، وذلك نظراً لكونها شركة تتحلّى بالمسؤولية والشفافية في علاقاتها مع عملائها.
ويشمل الفحصُ الذي اكتمل وفقاً لمعيار SSAE 18 (بيان المعايير لارتباطات التصديق)، الضوابط الداخلية للتحديثات التلقائية المنتظمة لقواعد بيانات مكافحة الفيروسات، والتي أنشأتها ووزعتها كاسبرسكي لمنتجاتها العاملة على خوادم Windows وUnix. وقد حدّد المدقّق المستقلّ من الشركات الأربع الكبرى في تقريره النهائي مدى ملاءمة الضوابط المذكورة وتشغيلها المناسب في تاريخ محدد.
وأكّد أندري إفريموف كبير مسؤولي التقنية في كاسبرسكي أن أمن منتجات شركته يُعدّ بالتأكيد “أحد أهم أولوياتنا”، معرباً عن فخره بالنجاح في إكمال هذا التقييم المستقل الذي قال إنه “يتيح لعملائنا ضماناً لأمن منتجاتنا، والثقة في عمليات البحث والتطوير والضوابط المتبعة لدينا”، وأضاف: “يُعتبر هذا التدقيق خطوة أخرى في جهودنا المتواصلة لإظهار ما تتمتع به كاسبرسكي من شفافية ومسؤولية”.
ووفقاً لشروط العقد المبرم بين كاسبرسكي والجهة التي أجرت التدقيق، فإن الأولى لا تستطيع الكشف عن اسم الثانية، التي تُعدّ من بين الشركات الأربع الكبرى في تدقيق الحسابات، وذلك على الرغم من إمكانية كشف الشركة عن المعلومات الأساسية حول التزاماتها ومتطلباتها المذكورة والواردة في تقرير التدقيق SOC 2 من النوع الأول، عند الطلب.
وتمّت عملية التدقيق في إطار المبادرة العالمية للشفافية، التي كانت أعلنت عنها كاسبرسكي في العام 2017، للتأكيد لشركائها وعملائها أن منتجاتها وخدماتها هي الفضلى من ناحية الحماية من التهديدات الإلكترونية، كما أنها تتعامل مع بيانات العملاء بأعلى مستويات النزاهة والرعاية. كذلك أبدت الشركة التزامها بأمور عدّة أخرى، من بينها الانتقال بتخزين بيانات العملاء ومعالجتها إلى سويسرا. وقد أكملت الشركة اعتباراً من اليوم المرحلة الثانية من نقل المستخدمين الأوروبيين إلى مركز البيانات الذي افتتحته حديثاً في زيورخ وتعتزم الانتهاء من هذا التحوّل في نهاية العام 2019.
كذلك تهدف كاسبرسكي إلى امتلاك ثلاثة مراكز للشفافية على الأقلّ، بحلول العام 2020، كما تواصل الشركة العمل ببرنامجها Bug Bounty لاصطياد الأخطاء البرمجية، في حين تعمل على تنفيذ عدّة مشاريع أخرى تهدف إلى زيادة الشفافية والموثوقية.
وتشمل أبرز التطورات الحاصلة في المبادرة العالمية للشفافية:
برنامج Bug Bounty: تعمل كاسبرسكي باستمرار على تطوير برنامجها Bug Bounty، الذي يستهدف إتاحة المجال أمام خبراء البرمجة في العالم لاصطياد أية أخطاء برمجية قد توجد في حلول كاسبرسكي ومنتجاتها. وقد دفعت الشركة حديثاً 23,000 دولار إلى باحثين من فريق Imaginary لاكتشافهم مشكلة أمنية في أحد حلول الشركة يمكن أن تسمح لأطراف خارجية بتنفيذ شيفرات برمجية عن بُعد على جهاز حاسوب يتمتع بامتيازات وصول خاصة إلى النظام، وهي المكافأة الكبرى في تاريخ البرنامج حتى الآن. وقد أصلحت كاسبرسكي المشكلة المكتشفة على الفور، مُعربة عن شكرها لفريق Imaginary لمساعدتهم في تحسين منتجات الشركة.
الملاذ الآمن للباحثين عن الثغرات: تدعم الشركة الآن منظومة Disclose.io التي تتيح ملاذاً آمناً لخبراء الأمن الإلكتروني الباحثين عن مواطن الضعف والثغرات ممن يشعرون بالخشية من العواقب القانونية السلبية التي قد تترتب عليهم جرّاء اكتشافاتهم للثغرات الأمنية في الأنظمة البرمجية. وتدرك كاسبرسكي أن الخبراء المستقلّين يقدمون مساعدة قيمة من خلال البحث عن الثغرات الأمنية في منتجاتها وإبلاغها عنها، وهي لأجل ذلك على استعداد لتقديم ضمانات إضافية بالتعامل مع التقارير الخاصة بالثغرات الأمنية معاملة عادلة.
مراكز الشفافية: مركز الشفافية الذي أعلنت عنه كاسبرسكي حديثاً في العاصمة الإسبانية مدريد بات منذ يونيو الماضي مفتوحاً رسمياً لعملاء كاسبرسكي وشركائها، فضلاً عن المعنيين من أصحاب المصلحة من الجهات الحكومية. وكما هو الحال في منشأة البيانات الواقعة في زيوريخ، تقدّم الشركة مراجعات للشيفرات البرمجية المصدرية وتُجري إحاطات أمنية حول ممارساتها الخاصة بمعالجة البيانات وطريقة عمل منتجاتها.
دعم حصول السلطات المعنية بإنفاذ القانون على المعلومات المتعلقة بالتهديدات الإلكترونية: أعلنت شركة كاسبرسكي، في مبادرة هي الأولى بين مقدمي حلول الأمن الإلكتروني، عن تقديم خدمة مجانية متطوّرة للسلطات الأمنية المعنية بإنفاذ القانون. ووضعت الشركة نهجاً فريداً مُعدّاً بطريقة خاصة لزيادة الجهود في مكافحة الجرائم الإلكترونية التي لا تعرف حدوداً جغرافية أو سياسة، ويتألف هذا النهج من ثلاثة مكونات:
• إعداد تقارير بالمعلومات المتحصل عليها بشأن التهديدات
• تغذية المعنيين بالبيانات المتعلقة بالتهديدات
• منصة ASAP للتوعية الأمنية المؤتمتة.
وتهدف الشركة، عبر تقديم العون المجاني إلى الجهات الأمنية، إلى زيادة الوعي بكيفية عمل خدمات كاسبرسكي والطريقة التي يمكن بها تقديم المساعدة في مكافحة الجرائم والتهديدات الإلكترونية المعقدة. ويمكن الاطلاع على معلومات أوفى بشأن الخدمة.
هذا، وتواصل كاسبرسكي تطوير مبادرتها العالمية للشفافية وتلتزم بتقديم أحدث المستجدات عن هذه المبادرة إلى الجمهور.