تقرير: كاسبرسكي تتصدر تقييمًا مستقلًا للشفافية بين شركات الأمن السيبراني
أصدرت شركة كاسبرسكي ورقة بحثية جديدة بعنوان «حماية تتجاوز حدود الاكتشاف: لماذا تحدد الثقة والشفافية مستقبل أمنك السيبراني؟»، وتعتمد هذه الورقة البحثية على تقييم مستقل لجوانب الشفافية والمساءلة عند 14 من أبرز الشركات المزودة لخدمات الأمن السيبراني. وبرز اسم كاسبرسكي ضمن أكثر الشركات المشمولة بالتقييم شفافية، فقد تفوقت باستمرار في معايير المجال المتعلقة بمعالجة البيانات، وثقة سلسلة التوريد، وقدرات التحقق من العملاء.
أجرية دراسة «مراجعة الشفافية والمساءلة في الأمن السيبراني»، التي تستند عليها ورقة كاسبرسكي البحثية، بتكليف من غرفة التجارة في تيرول عام 2025، ونفذتها مؤسسة MCI | The Entrepreneurial School النمساوية، وشركة Studio Legale Tremolada، بالتعاون مع مؤسسة AV-Comparatives. وتُقيّم هذه الدراسة الشركات المزودة لخدمات الأمن السيبراني وفقاً لمجموعة واسعة من معايير الشفافية والمساءلة، وقد خلصت نتائجها إلى أنّ الالتزام بالمعايير الأساسية شائع، غير أنّ الممارسات الموثوقة والقابلة للتحقق ما تزال نادرة في هذا المجال.
كشف التقييم عن مجموعة من نقاط التمايز بين الشركات. فمن بين الشركات الـ 14 المشمولة بالتقييم، كانت كاسبرسكي واحدة من ثلاث شركات توفر لعملائها إمكانية الوصول إلى مراكز الشفافية، حيث يمكنهم مراجعة الكود المصدري، وممارسات معالجة البيانات، وعمليات التحديث بشكل مستقل. وتميزت كاسبرسكي عن غيرها بتقديمها أوسع نطاق لمراكز الشفافية، إذ تتيح فحص قواعد اكتشاف التهديدات، وفحصاً آخر للتحقق من مطابقة البنى البرمجية المطورة للإصدارات العامة. وقد افتتحت كاسبرسكي أكثر من 10 مراكز مشابهة حول العالم كجزء من مبادرتها العالمية للشفافية، مما يتيح خيارات مراجعة متنوعة للمؤسسات والجهات الحكومية المعنية.
كما تعد كاسبرسكي واحدة من ثلاث شركات تتيح الوصول إلى قائمة مكونات البرمجيات (SBOM)، وهي أيضاً واحدة من أربع شركات تنشر تقارير شفافية دورية تُفصّل الطلبات الواردة من جهات إنفاذ القانون والوكالات الحكومية، مما يكشف عن فجوة كبيرة من الالتزامات المعلنة وإجراءات المساءلة العملية في هذا القطاع.
تفوق كاسبرسكي في الممارسات القليلة التبني
من أصل المعايير الستين الخاضعة للتقييم، تفوقت كاسبرسكي في معايير الصناعة ضمن 57 فئة، وهذا أعلى مستوى بين الشركات المشمولة بالتقييم. علاوة على ذلك، كانت كاسبرسكي ضمن ثلاث شركات فقط استوفت جميع معايير الوضع الأمني التي جرى تحليلها وتقييمها، ومنها تقارير الثغرات الأمنية، والتوصيات الأمنية، والتعاون والالتزام ببيان «الملاذ الآمن»، ونتائج التدقيق الأمني، والعمليات الآمنة لدورة حياة تطوير البرمجيات (SDLC). ويصف التقرير هذه المعايير بأنها «مؤشرات رئيسية للموثوقية والمناعة على المدى الطويل».
وتضمنت عملية التقييم تحليلاً تقنياً عملياً لمنتجات الأمن السيبراني المتنوعة. وبينت الاختبارات أنّ منتج Kaspersky Next EDR Optimum يجمع الحد الأدنى من البيانات مقارنة بغيره، وحاز الإشادة لمنحه العملاء القدرة على تعطيل خدمات السمعة السحابية ووظائف الاكتشاف والاستجابة للنقاط الطرفية (EDR) بشكل كامل.
كما كشف التقييم عن تباين كبير بين الشركات فيما يتعلق بتحكم العملاء بتحديثات المنتجات الأمنية. فصحيح أنّ جميع الشركات المشمولة بالتقييم تنشر سجلات التحديثات العامة، غير أنّ ثماني شركات فقط تدعم طرح التحديثات على مراحل، وست فقط، منها كاسبرسكي، تتيح للعملاء مراجعة تعريفات الفيروسات. ولا ريب أنّ هذه الإمكانيات مهمة كثيراً للمؤسسات العاملة في بيئات حساسة أو خاضعة للوائح التنظيمية، حيث تصبح إدارة التغييرات والتحقق منها شرطاً لازماً.
يعلق على هذه التقرير يوجين كاسبرسكي مؤسس شركة كاسبرسكي ورئيسها التنفيذي، إذ قال إنّ الشفافية ليست مجرد أقوال، بل هي ممارسات قابلة للتحقق منها ومن مصداقيتها، وأردف قائلاً: «تتغلغل حلول الأمن السيبراني عميقاً في أنظمة عملائنا، لذلك تصبح المساءلة أمراً بالغ الأهمية. فعندما يراجع خبراء مستقلون عملنا، تتحول الشفافية إلى أمرٍ قابل للقياس والتحقق، فلا تكون مجرد ثقة عمياء بيننا وبين العملاء. إننا نزود المؤسسات بأدلة ملموسة لتحدد بمن تثق، ونشجع في الوقت نفسه على الارتقاء بمعايير الأمن السيبراني في هذا المجال كافة»
تتولى منصات الاكتشاف والاستجابة للنقاط الطرفية معالجة بيانات القياس عن بعد، وتدير التحديثات التلقائية، وتعتمد على الخدمات السحابية لتوفير الحماية. لذلك، باتت الشفافية والمساءلة الآن مرتبطتين بشكل وثيق بالحوكمة والامتثال ومخاطر سلسلة التوريد، وليسا فقط سمات تقنية.
الشفافية عامل حاسم
يؤكد التقرير أنّ الشفافية يجب أن تكون معياراً أساسياً لمسؤولي أمن المعلومات وأصحاب القرار في المؤسسات عند اختيار الشركات المزودة للخدمات. وينبغي للمؤسسات أن تمنح ثقة أعلى بمزودي خدمات الأمن السيبراني الذين يجمعون بين حلول الحماية القوية والشفافية المنظمة مثل توفر قائمة مكونات البرمجيات، وعمليات التحديث القابلة للتحقق، ونتائج التدقيق المنشورة للعامة، وتمكين العملاء من التحكم في البيانات.
يعكس البحث على مستوى المجال أن هنالك تحولاً واسعاً نحو حوكمة الأمن السيبراني المعتمدة على المساءلة. وباتت المبادرات التنظيمية تولي اهتماماً أكبر بإمكانية التتبع، والتطوير الآمن، والشفافية بعد التسويق، مما يشير إلى أنّ الممارسات التي تعرف بأنها قليلة التبني من قبل مزودي خدمات الأمن السيبراني ستصبح الآن قريباً من المعايير الأساسية. وتوفر التقييمات المستقلة معياراً مرجعياً للشركات والعملاء، لا سيما مع تطور المتطلبات والتوقعات.
أدرجت كاسبرسكي قائمة عملية مرجعية ضمن الورقة البحثية لمساعدة مسؤولي أمن المعلومات في ضمان الإدارة السليمة لمخاطر الأطراف الخارجية، وبهذا يمكنهم تقييم مستويات الموثوقية والمصداقية للشركات المزودة لبرامجهم، وزيادة مرونة سلسلة التوريد في مؤسساتهم.
للاطلاع على التقرير الكامل بعنوان «مراجعة الشفافية والمساءلة في الأمن السيبراني»، يرجى زيارة الرابط التالي: هنا.