Nacisk na większą transparentność i odpowiedzialność

Nasz pierwszy raport dotyczący transparentności obejmuje zapytania organów ścigania i organizacji rządowych na całym świecie.

Dzięki temu, że technologie informatyczne są nierozerwalnie złączone ze współczesnym społeczeństwem, rośnie znaczenie cyberbezpieczeństwa. Nigdy wcześniej zaufanie nie odgrywało tak ważnej roli. Klienci i partnerzy firm działających w dziedzinie bezpieczeństwa informacji muszą wiedzieć, kto jest zaangażowany w ochronę ich poufnych danych, jakie informacje są udostępniane i komu, jakimi zasadami kierują się te podmioty itp. Aby odpowiedzieć na te pytania, kilka lat temu poinformowaliśmy o naszej Globalnej Inicjatywie Transparentności.

Dzisiaj inicjatywa ta otrzymuje ważną aktualizację: jako pierwsi na rynku cyberbezpieczeństwa publikujemy raport dotyczący transparentności, publicznie informując o zapytaniach, które otrzymaliśmy w latach 2020–2021 od organów ścigania i organizacji rządowych na całym świecie, a także od naszych użytkowników końcowych. Ponadto chcielibyśmy skorzystać z okazji, aby udostępnić więcej informacji na temat tego, w jaki sposób przetwarzamy takie żądania, w tym jakie informacje przekazujemy.

Chcemy, aby nasi użytkownicy byli bezpieczni, chronieni i pewni siebie w cyberświecie – świecie, którego istnieniu zagraża szerząca się cyberprzestępczość. W ramach naszego wkładu w walkę z międzynarodową cyberprzestępczością regularnie współpracujemy z organami ścigania na całym świecie, dostarczając analizy techniczne szkodliwych programów w celu wspierania dochodzeń związanych z cyberprzestępczością. Organizacje te czasami wysyłają do firmy Kaspersky prośby o udostępnienie im wiedzy technicznej lub nieosobowych informacji technicznych, a także prośby o udostępnienie danych, jakie podał użytkownik.

Jako firma zajmująca się cyberbezpieczeństwem, nie przetwarzamy i nie posiadamy danych zawartości (danych, które użytkownicy tworzą lub komunikują), których czasami potrzebują organy ścigania w ramach dowodów elektronicznych. Ograniczona ilość gromadzonych przez nas danych użytkowników (takich jak na przykład szczegóły dot. licencji czy wersji systemu operacyjnego) jest wymagana do prawidłowego działania naszego produktu. Niemniej jednak chcemy, aby nasi użytkownicy znali nasze podejście w kwestii zapewniania bezpieczeństwa i prywatności ich danych oraz wiedzieli, jak reagujemy na zapytania organów ścigania. Dlatego publikujemy nasz raport dotyczący egzekwowania prawa i zapytań rządowych oraz informujemy o naszych podstawowych zasadach dotyczących reagowania na zapytania organów ścigania i rządów.

Jak reagujemy na zapytania

Po pierwsze, firma Kaspersky nigdy nie zapewnia żadnym organom ścigania ani organizacjom rządowym dostępu do danych użytkowników ani infrastruktury firmy. Przekazujemy informacje o takich danych na żądanie, ale żadna strona zewnętrzna nie może bezpośrednio ani pośrednio uzyskać dostępu do naszej infrastruktury i danych, a pracownicy firmy Kaspersky weryfikują i przetwarzają każde żądanie.

Po drugie, w przypadku tak istotnej roli, jaką krajowe, regionalne i międzynarodowe organy ścigania odgrywają w zapewnianiu bezpieczeństwa naszym użytkownikom i technologii, dzielimy się wiedzą techniczną i technicznymi, nieosobowymi informacjami. Nasi elitarni badacze i eksperci ds. cyberbezpieczeństwa są przekonani, że dzielenie się wiedzą, doświadczeniem i umiejętnościami z innymi osobami walczącymi z cyberprzestępcami stanowi element ich obowiązków.

Po trzecie, każde żądanie, które otrzymujemy, przechodzi weryfikację prawną w celu zapewnienia zgodności z obowiązującymi przepisami i procedurami. Nasz proces decyzyjny dotyczący zatwierdzania, odrzucania lub odwoływania się od przychodzących wniosków opiera się na wieloetapowym schemacie, opisanym poniżej.

1. Zewnętrzne organy ścigania lub rządowe tworzą i wysyłają zapytanie.

2. W pierwszej kolejności firma Kaspersky przeprowadza weryfikację prawną wszystkich zapytań pod kątem obowiązujących krajowych i międzynarodowych przepisów prawa i procedur prawnych.

Zapytania:

  • Powinny być uzasadnione prawnie.
  • Powinny być wydane zgodnie z obowiązującymi przepisami i procedurami prawnymi.
  • Powinny być zgodne z powyższymi zasadami.
  • Powinny być możliwe do realizacji technicznie.
  • Ich implementacja nie powinna wpływać na bezpieczeństwo ani prywatność użytkowników produktów firmy Kaspersky ani integralności jej produktów i usług.

3.

a) Tak:

  • Jeśli zapytanie zostanie zatwierdzone przez firmę Kaspersky, dostarcza ona żądanych danych i/lub ekspertyzę techniczną, zgodnie z powyższymi zasadami.
  • Tam, gdzie jest to dopuszczone przez prawo, wstępnie zawiadamiamy użytkowników, których dane te dotyczą.

b) Nie:

  • Jeśli zapytanie nie zostanie zatwierdzone przez firmę Kaspersky, odrzuca ona lub zmienia je lub zwraca się o dodatkowe wyjaśnienia.

4. Wszystkie zapytania są rejestrowane, a informacje o nich są udostępniane publicznie na stronie Globalnej Inicjatywy Transparentności: https://www.kaspersky.com/transparency-center

Wreszcie, zawsze odrzucamy prośby o udostępnienie kluczy szyfrowania lub wprowadzenie niezadeklarowanych funkcji. Ciężko pracujemy, aby zagwarantować jakość i integralność naszych produktów, co potwierdzają niezależne oceny naszych praktyk inżynieryjnych i systemów bezpieczeństwa danych, a organy regulacyjne, partnerzy i inne strony mogą to weryfikować za pośrednictwem naszych Centrów Transparentności.

Wierzymy, że publikowanie tych zasad i danych po otrzymaniu zapytania jest ważną częścią budowania i podtrzymywania zaufania. Postępując zgodnie z najlepszymi praktykami branży IT, dziś publikujemy dane dotyczące takich wniosków za rok 2020 i pierwsze sześć miesięcy 2021 r., a liczby te będziemy aktualizować co pół roku. Chcemy, aby nasi użytkownicy mieli pewność co do prywatności swoich danych, a nasi partnerzy w walce z cyberprzestępczością mieli pewność, że nadal będziemy zaangażowani we wspieranie ich.

Dzisiaj ujawniamy informacje o wszystkich zapytaniach od organów ścigania i rządów. Ponadto raport przedstawia dane o zapytaniach otrzymanych od użytkowników w wielu celach: w celu usunięcia ich danych osobowych, uzyskania informacji o tym, które dane są przechowywane i gdzie, a także prośby o dostarczenie tych informacji użytkownikom. Pełny tekst naszego pierwszego raportu na temat transparentności można znaleźć tutaj.

Porady