แคสเปอร์สกี้ (Kaspersky) ได้เผยแพร่เอกสารฉบับใหม่ชื่อ "Protection beyond detection: Why trust and transparency decide your cybersecurity future" ซึ่งอ้างอิงจากการประเมินอิสระด้านความโปร่งใสและความรับผิดชอบของผู้จำหน่ายโซลูชันความปลอดภัยไซเบอร์ชั้นนำ 14 ราย โดยแคสเปอร์สกี้ได้รับการยกย่องให้เป็นหนึ่งในผู้จำหน่ายที่มีความโปร่งใสมากที่สุด มีผลการดำเนินงานที่เหนือกว่ามาตรฐานอุตสาหกรรมอย่างสม่ำเสมอ ทั้งด้านการจัดการข้อมูล ความน่าเชื่อถือในซัพพลายเชน และความสามารถในการตรวจสอบลูกค้า
เอกสารของแคสเปอร์สกี้อ้างถึงการศึกษาอิสระเรื่อง "Transparency Review and Accountability in Cyber Security"* ซึ่งได้รับมอบหมายจากหอการค้า Tyrol Chamber of Commerce (WKO) และดำเนินการโดย MCI | The Entrepreneurial School(R) และผู้เชี่ยวชาญด้านกฎหมาย ร่วมกับองค์กร AV-Comparatives การวิจัยนี้ประเมินผู้จำหน่ายตามเกณฑ์ความโปร่งใสและความรับผิดชอบที่หลากหลาย และพบว่าแม้การปฏิบัติตามเกณฑ์พื้นฐานจะแพร่หลาย แต่แนวทางปฏิบัติที่ตรวจสอบได้ด้านความไว้วางใจยังคงหายากในอุตสาหกรรม
การประเมินได้เปิดเผยความโดดเด่นที่สำคัญดังต่อไปนี้ แคสเปอร์สกี้เป็นหนึ่งในสามผู้จำหน่ายจากทั้งหมด 14 รายที่ได้รับการประเมิน ซึ่งให้บริการลูกค้าด้วยศูนย์ความโปร่งใส (Transparency Center) ที่สามารถตรวจสอบรหัสต้นฉบับหรือซอร์สโค้ด แนวทางการจัดการข้อมูล และกระบวนการอัปเดตได้อย่างอิสระ ในบรรดาผู้จำหน่ายเหล่านี้ แคสเปอร์สกี้โดดเด่นด้วยการนำเสนอศูนย์ความโปร่งใสที่ครอบคลุมที่สุด รวมถึงการตรวจสอบกฎการตรวจจับภัยคุกคามและการตรวจสอบเพื่อยืนยันว่าเวอร์ชันต่างๆ ตรงกับเวอร์ชันที่เผยแพร่สู่สาธารณะ ในฐานะส่วนหนึ่งของโครงการริเริ่มความโปร่งใสระดับโลก (Global Transparency Initiative) แคสเปอร์สกี้ได้เปิดศูนย์ดังกล่าวมากกว่า 10 แห่งทั่วโลก โดยนำเสนอตัวเลือกการตรวจสอบที่หลากหลายสำหรับผู้มีส่วนได้ส่วนเสียในภาคธุรกิจและภาครัฐ
นอกจากนี้ แคสเปอร์สกี้ยังเป็นหนึ่งในสามผู้จำหน่ายที่ให้การเข้าถึงรายการส่วนประกอบซอฟต์แวร์ (Software Bill of Materials หรือ SBOM) และเป็นหนึ่งในสี่ผู้จำหน่ายที่เผยแพร่รายงานความโปร่งใสเป็นประจำ ซึ่งให้รายละเอียดเกี่ยวกับคำขอจากหน่วยงานบังคับใช้กฎหมายและหน่วยงานภาครัฐ ซึ่งเน้นให้เห็นถึงช่องว่างที่สำคัญระหว่างคำมั่นสัญญาที่ระบุไว้และความรับผิดชอบในทางปฏิบัติทั่วทั้งอุตสาหกรรม
แคสเปอร์สกี้โดดเด่นในด้านการนำแนวปฏิบัติมาใช้ในระดับต่ำ
จากเกณฑ์การประเมิน 60 หมวดหมู่ แคสเปอร์สกี้ทำได้ตรงตามหรือเกินกว่ามาตรฐานอุตสาหกรรมใน 57 หมวดหมู่ ซึ่งเป็นผลลัพธ์สูงสุดในบรรดาผู้จำหน่ายที่ได้รับการตรวจสอบ นอกจากนี้ แคสเปอร์สกี้ยังเป็นหนึ่งในสามผู้จำหน่ายที่ตรงตามเกณฑ์ด้านความปลอดภัยทั้งหมดที่วิเคราะห์ รวมถึงการรายงานช่องโหว่ คำแนะนำด้านความปลอดภัย การทำงานร่วมกันและความมุ่งมั่นต่อแถลงการณ์ 'Safe Harbor' ผลการตรวจสอบด้านความปลอดภัย และกระบวนการวงจรการพัฒนาซอฟต์แวร์ (Software Development Life Cycle - SDLC) ที่ปลอดภัย เกณฑ์เหล่านี้ถูกอธิบายไว้ในรายงานว่าเป็น 'ตัวชี้วัดสำคัญของความน่าเชื่อถือและความยืดหยุ่นในระยะยาว'
การประเมินยังรวมถึงการวิเคราะห์ทางเทคนิคเชิงปฏิบัติของผลิตภัณฑ์ด้านความปลอดภัยทางไซเบอร์ Kaspersky Next EDR Optimum แสดงให้เห็นถึงการเก็บรวบรวมข้อมูลน้อยที่สุดในการทดสอบ และได้รับการยอมรับว่าช่วยให้ลูกค้าสามารถปิดใช้งานบริการชื่อเสียงบนคลาวด์และฟังก์ชัน EDR ได้อย่างสมบูรณ์
การประเมินยังพบว่าการควบคุมของลูกค้าเกี่ยวกับการอัปเดตผลิตภัณฑ์นั้นแตกต่างกันอย่างมากระหว่างผู้จำหน่ายแต่ละราย แม้ว่าผู้จำหน่ายเกือบทั้งหมดจะเผยแพร่ประวัติการอัปเดตต่อสาธารณะ แต่มีเพียงแปดรายเท่านั้นที่รองรับการทยอยปล่อยอัปเดต และมีเพียงหกรายซึ่งรวมถึงแคสเปอร์สกี้ที่อนุญาตให้ลูกค้าตรวจสอบฐานข้อมูลไวรัสได้ ความสามารถเหล่านี้มีความสำคัญอย่างยิ่งสำหรับองค์กรที่ดำเนินงานในสภาพแวดล้อมที่มีการควบคุมหรือมีความอ่อนไหว ซึ่งจำเป็นต้องมีการจัดการและการตรวจสอบการเปลี่ยนแปลง
ยูจีน แคสเปอร์สกี้ ผู้ก่อตั้งและซีอีโอของแคสเปอร์สกี้ กล่าวแสดงความคิดเห็นเกี่ยวกับการวิจัยนี้ว่า "เพื่อให้เกิดความน่าเชื่อถือ ความโปร่งใสต้องสามารถพิสูจน์ได้ โซลูชันด้านความปลอดภัยทางไซเบอร์ทำงานอย่างลึกซึ้งภายในระบบของลูกค้า ดังนั้นความรับผิดชอบจึงมีความสำคัญอย่างยิ่ง เมื่อผู้เชี่ยวชาญอิสระตรวจสอบงานของเรา ความโปร่งใสจะกลายเป็นสิ่งที่วัดผลได้ ไม่ใช่แค่การเชื่อโดยไม่มีหลักฐาน เราให้หลักฐานที่เป็นรูปธรรมแก่องค์กรต่างๆ เพื่อให้องค์กรสามารถใช้ตัดสินใจว่าจะไว้วางใจใคร ในขณะเดียวกันก็ส่งเสริมมาตรฐานที่สูงขึ้นทั่วทั้งอุตสาหกรรมความปลอดภัยทางไซเบอร์"
แพลตฟอร์มการตรวจจับและตอบสนองปลายทาง ประมวลผลข้อมูลทางไกล จัดการการอัปเดตอัตโนมัติ และพึ่งพาบริการบนคลาวด์เพื่อมอบการป้องกัน ดังนั้น ความโปร่งใสและความรับผิดชอบจึงเชื่อมโยงอย่างใกล้ชิดกับการกำกับดูแล การปฏิบัติตามกฎระเบียบ และความเสี่ยงในซัพพลายเชน มากกว่าที่จะถูกมองว่าเป็นเพียงคุณลักษณะทางเทคนิคเท่านั้น
ความโปร่งใสเป็นปัจจัยสำคัญ
รายงานสรุปว่า สำหรับ CISO และผู้มีส่วนได้ส่วนเสียในองค์กร ความโปร่งใสควรเป็นเกณฑ์การประเมินที่สำคัญในการเลือกผู้จำหน่าย ผู้จำหน่ายที่ผสมผสานการป้องกันที่แข็งแกร่งเข้ากับความโปร่งใสที่มีโครงสร้าง เช่น ความพร้อมใช้งานของ SBOM กระบวนการอัปเดตที่ตรวจสอบได้ ผลการตรวจสอบที่เผยแพร่ และการไหลของข้อมูลที่ลูกค้าควบคุมได้ จะมอบความมั่นใจในระดับที่สูงขึ้นให้กับองค์กร
ในระดับอุตสาหกรรม การวิจัยสะท้อนให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นไปสู่การกำกับดูแลความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนด้วยความรับผิดชอบ ข้อริเริ่มด้านกฎระเบียบเน้นย้ำถึงการตรวจสอบย้อนกลับ การพัฒนาที่ปลอดภัย และความโปร่งใสหลังการขายมากขึ้นเรื่อย ๆ ซึ่งบ่งชี้ว่าแนวปฏิบัติที่ระบุว่ามีการใช้งานต่ำในปัจจุบันอาจกลายเป็นความคาดหวังพื้นฐานในไม่ช้า การประเมินอิสระเป็นเกณฑ์มาตรฐานสำหรับทั้งผู้จำหน่ายและลูกค้าในขณะที่ความคาดหวังเหล่านี้พัฒนาขึ้น
เพื่อช่วยให้ CISO มั่นใจได้ว่ามีการจัดการความเสี่ยงจากบุคคลภายนอกอย่างมีประสิทธิภาพ แคสเปอร์สกี้ได้รวมรายการตรวจสอบที่นำไปปฏิบัติได้จริงสำหรับ CISO ไว้ในเอกสารนี้ ซึ่งจะช่วยให้สามารถประเมินความน่าเชื่อถือของผู้ให้บริการซอฟต์แวร์และเสริมสร้างความยืดหยุ่นของซัพพลายเชนได้
* รายงานฉบับเต็มเรื่อง "Transparency Review and Accountability in Cybersecurity" ฉบับปี 2025 จัดทำโดย WKO (หอการค้าไทโรล) และดำเนินการโดย AV-Comparatives, MCI | The Entrepreneurial School(R) และ Studio Legale Tremolada
ข้อมูลเพิ่มเติม
- โครงการริเริ่มความโปร่งใสระดับโลก (Global Transparency Initiative)
https://gti.kaspersky.com/
- ศูนย์ความโปร่งใส (Transparency Center)
https://www.kaspersky.com/transparency-center
- เอกสารเรื่อง Protection beyond detection: Why trust and transparency decide your cybersecurity future
https://kas.pr/5d3q
- รายงานฉบับเต็มเรื่อง Transparency Review and Accountability in Cybersecurity
https://www.wko.at/tirol/information-consulting/transparency-review-and-accountability-in-cyber-security-tra.pdf