Kaspersky ขึ้นนำในกลุ่มผู้จำหน่ายโซลูชันความปลอดภัยไซเบอร์ ด้านการประเมินความโปร่งใสและความรับผิดชอบ

เอกสารของแคสเปอร์สกี้อ้างถึงการศึกษาอิสระเรื่อง "Transparency Review and Accountability in Cyber Security"* ซึ่งได้รับมอบหมายจากหอการค้า Tyrol Chamber of Commerce (WKO) และดำเนินการโดย MCI | The Entrepreneurial School(R) และผู้เชี่ยวชาญด้านกฎหมาย ร่วมกับองค์กร AV-Comparatives การวิจัยนี้ประเมินผู้จำหน่ายตามเกณฑ์ความโปร่งใสและความรับผิดชอบที่หลากหลาย และพบว่าแม้การปฏิบัติตามเกณฑ์พื้นฐานจะแพร่หลาย แต่แนวทางปฏิบัติที่ตรวจสอบได้ด้านความไว้วางใจยังคงหายากในอุตสาหกรรม

การประเมินได้เปิดเผยความโดดเด่นที่สำคัญดังต่อไปนี้ แคสเปอร์สกี้เป็นหนึ่งในสามผู้จำหน่ายจากทั้งหมด 14 รายที่ได้รับการประเมิน ซึ่งให้บริการลูกค้าด้วยศูนย์ความโปร่งใส (Transparency Center) ที่สามารถตรวจสอบรหัสต้นฉบับหรือซอร์สโค้ด แนวทางการจัดการข้อมูล และกระบวนการอัปเดตได้อย่างอิสระ ในบรรดาผู้จำหน่ายเหล่านี้ แคสเปอร์สกี้โดดเด่นด้วยการนำเสนอศูนย์ความโปร่งใสที่ครอบคลุมที่สุด รวมถึงการตรวจสอบกฎการตรวจจับภัยคุกคามและการตรวจสอบเพื่อยืนยันว่าเวอร์ชันต่างๆ ตรงกับเวอร์ชันที่เผยแพร่สู่สาธารณะ ในฐานะส่วนหนึ่งของโครงการริเริ่มความโปร่งใสระดับโลก (Global Transparency Initiative) แคสเปอร์สกี้ได้เปิดศูนย์ดังกล่าวมากกว่า 10 แห่งทั่วโลก โดยนำเสนอตัวเลือกการตรวจสอบที่หลากหลายสำหรับผู้มีส่วนได้ส่วนเสียในภาคธุรกิจและภาครัฐ

นอกจากนี้ แคสเปอร์สกี้ยังเป็นหนึ่งในสามผู้จำหน่ายที่ให้การเข้าถึงรายการส่วนประกอบซอฟต์แวร์ (Software Bill of Materials หรือ SBOM) และเป็นหนึ่งในสี่ผู้จำหน่ายที่เผยแพร่รายงานความโปร่งใสเป็นประจำ ซึ่งให้รายละเอียดเกี่ยวกับคำขอจากหน่วยงานบังคับใช้กฎหมายและหน่วยงานภาครัฐ ซึ่งเน้นให้เห็นถึงช่องว่างที่สำคัญระหว่างคำมั่นสัญญาที่ระบุไว้และความรับผิดชอบในทางปฏิบัติทั่วทั้งอุตสาหกรรม

แคสเปอร์สกี้โดดเด่นในด้านการนำแนวปฏิบัติมาใช้ในระดับต่ำ

จากเกณฑ์การประเมิน 60 หมวดหมู่ แคสเปอร์สกี้ทำได้ตรงตามหรือเกินกว่ามาตรฐานอุตสาหกรรมใน 57 หมวดหมู่ ซึ่งเป็นผลลัพธ์สูงสุดในบรรดาผู้จำหน่ายที่ได้รับการตรวจสอบ นอกจากนี้ แคสเปอร์สกี้ยังเป็นหนึ่งในสามผู้จำหน่ายที่ตรงตามเกณฑ์ด้านความปลอดภัยทั้งหมดที่วิเคราะห์ รวมถึงการรายงานช่องโหว่ คำแนะนำด้านความปลอดภัย การทำงานร่วมกันและความมุ่งมั่นต่อแถลงการณ์ 'Safe Harbor' ผลการตรวจสอบด้านความปลอดภัย และกระบวนการวงจรการพัฒนาซอฟต์แวร์ (Software Development Life Cycle - SDLC) ที่ปลอดภัย เกณฑ์เหล่านี้ถูกอธิบายไว้ในรายงานว่าเป็น 'ตัวชี้วัดสำคัญของความน่าเชื่อถือและความยืดหยุ่นในระยะยาว'

การประเมินยังรวมถึงการวิเคราะห์ทางเทคนิคเชิงปฏิบัติของผลิตภัณฑ์ด้านความปลอดภัยทางไซเบอร์ Kaspersky Next EDR Optimum แสดงให้เห็นถึงการเก็บรวบรวมข้อมูลน้อยที่สุดในการทดสอบ และได้รับการยอมรับว่าช่วยให้ลูกค้าสามารถปิดใช้งานบริการชื่อเสียงบนคลาวด์และฟังก์ชัน EDR ได้อย่างสมบูรณ์

การประเมินยังพบว่าการควบคุมของลูกค้าเกี่ยวกับการอัปเดตผลิตภัณฑ์นั้นแตกต่างกันอย่างมากระหว่างผู้จำหน่ายแต่ละราย แม้ว่าผู้จำหน่ายเกือบทั้งหมดจะเผยแพร่ประวัติการอัปเดตต่อสาธารณะ แต่มีเพียงแปดรายเท่านั้นที่รองรับการทยอยปล่อยอัปเดต และมีเพียงหกรายซึ่งรวมถึงแคสเปอร์สกี้ที่อนุญาตให้ลูกค้าตรวจสอบฐานข้อมูลไวรัสได้ ความสามารถเหล่านี้มีความสำคัญอย่างยิ่งสำหรับองค์กรที่ดำเนินงานในสภาพแวดล้อมที่มีการควบคุมหรือมีความอ่อนไหว ซึ่งจำเป็นต้องมีการจัดการและการตรวจสอบการเปลี่ยนแปลง

ยูจีน แคสเปอร์สกี้ ผู้ก่อตั้งและซีอีโอของแคสเปอร์สกี้ กล่าวแสดงความคิดเห็นเกี่ยวกับการวิจัยนี้ว่า "เพื่อให้เกิดความน่าเชื่อถือ ความโปร่งใสต้องสามารถพิสูจน์ได้ โซลูชันด้านความปลอดภัยทางไซเบอร์ทำงานอย่างลึกซึ้งภายในระบบของลูกค้า ดังนั้นความรับผิดชอบจึงมีความสำคัญอย่างยิ่ง เมื่อผู้เชี่ยวชาญอิสระตรวจสอบงานของเรา ความโปร่งใสจะกลายเป็นสิ่งที่วัดผลได้ ไม่ใช่แค่การเชื่อโดยไม่มีหลักฐาน เราให้หลักฐานที่เป็นรูปธรรมแก่องค์กรต่างๆ เพื่อให้องค์กรสามารถใช้ตัดสินใจว่าจะไว้วางใจใคร ในขณะเดียวกันก็ส่งเสริมมาตรฐานที่สูงขึ้นทั่วทั้งอุตสาหกรรมความปลอดภัยทางไซเบอร์"

แพลตฟอร์มการตรวจจับและตอบสนองปลายทาง ประมวลผลข้อมูลทางไกล จัดการการอัปเดตอัตโนมัติ และพึ่งพาบริการบนคลาวด์เพื่อมอบการป้องกัน ดังนั้น ความโปร่งใสและความรับผิดชอบจึงเชื่อมโยงอย่างใกล้ชิดกับการกำกับดูแล การปฏิบัติตามกฎระเบียบ และความเสี่ยงในซัพพลายเชน มากกว่าที่จะถูกมองว่าเป็นเพียงคุณลักษณะทางเทคนิคเท่านั้น

ความโปร่งใสเป็นปัจจัยสำคัญ

รายงานสรุปว่า สำหรับ CISO และผู้มีส่วนได้ส่วนเสียในองค์กร ความโปร่งใสควรเป็นเกณฑ์การประเมินที่สำคัญในการเลือกผู้จำหน่าย ผู้จำหน่ายที่ผสมผสานการป้องกันที่แข็งแกร่งเข้ากับความโปร่งใสที่มีโครงสร้าง เช่น ความพร้อมใช้งานของ SBOM กระบวนการอัปเดตที่ตรวจสอบได้ ผลการตรวจสอบที่เผยแพร่ และการไหลของข้อมูลที่ลูกค้าควบคุมได้ จะมอบความมั่นใจในระดับที่สูงขึ้นให้กับองค์กร

ในระดับอุตสาหกรรม การวิจัยสะท้อนให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นไปสู่การกำกับดูแลความปลอดภัยทางไซเบอร์ที่ขับเคลื่อนด้วยความรับผิดชอบ ข้อริเริ่มด้านกฎระเบียบเน้นย้ำถึงการตรวจสอบย้อนกลับ การพัฒนาที่ปลอดภัย และความโปร่งใสหลังการขายมากขึ้นเรื่อย ๆ ซึ่งบ่งชี้ว่าแนวปฏิบัติที่ระบุว่ามีการใช้งานต่ำในปัจจุบันอาจกลายเป็นความคาดหวังพื้นฐานในไม่ช้า การประเมินอิสระเป็นเกณฑ์มาตรฐานสำหรับทั้งผู้จำหน่ายและลูกค้าในขณะที่ความคาดหวังเหล่านี้พัฒนาขึ้น

เพื่อช่วยให้ CISO มั่นใจได้ว่ามีการจัดการความเสี่ยงจากบุคคลภายนอกอย่างมีประสิทธิภาพ แคสเปอร์สกี้ได้รวมรายการตรวจสอบที่นำไปปฏิบัติได้จริงสำหรับ CISO ไว้ในเอกสารนี้ ซึ่งจะช่วยให้สามารถประเมินความน่าเชื่อถือของผู้ให้บริการซอฟต์แวร์และเสริมสร้างความยืดหยุ่นของซัพพลายเชนได้

* รายงานฉบับเต็มเรื่อง "Transparency Review and Accountability in Cybersecurity" ฉบับปี 2025 จัดทำโดย WKO (หอการค้าไทโรล) และดำเนินการโดย AV-Comparatives, MCI | The Entrepreneurial School(R) และ Studio Legale Tremolada

ข้อมูลเพิ่มเติม

• โครงการริเริ่มความโปร่งใสระดับโลก (Global Transparency Initiative)

https://gti.kaspersky.com/

• ศูนย์ความโปร่งใส (Transparency Center)

https://www.kaspersky.com/transparency-center

• เอกสารเรื่อง Protection beyond detection: Why trust and transparency decide your cybersecurity future

https://kas.pr/5d3q

• รายงานฉบับเต็มเรื่อง Transparency Review and Accountability in Cybersecurity

https://www.wko.at/tirol/information-consulting/transparency-review-and-accountability-in-cyber-security-tra.pdf

• ข่าวแคสเปอร์สกี้
• ข่าวความปลอดภัย
• ข่าวภัยไซเบอร์
• ข่าวซัพพลายเชน
• ข่าวอุตสาหกรรม