15/05/2018

Nasze pierwsze Centrum Transparentności będzie w Szwajcarii

Projekt specjalny Prywatność

Kilka miesięcy temu poinformowaliśmy, że mamy zamiar uruchomić naszą inicjatywę Global Transparency Initiative. Wczesną wiosną poczyniliśmy już pierwszy krok, zwiększając wysokość naszej nagrody bug bounty do 100 tys. dolarów. Dziś jesteśmy gotowi na kolejny: przenosimy znaczną część naszej infrastruktury do Zurychu (Szwajcaria), w tym „linię produkcyjną oprogramowania” oraz serwery przechowujące i przetwarzające dane uzyskane w ramach systemu Kaspersky Security Network, a także tworząc nasze pierwsze Centrum Transparentności.

Poprzez dzisiejszy post chcielibyśmy pomóc naszym użytkownikom zrozumieć cel oraz istotność wspomnianej inicjatywy.

O co chodzi z linią produkcyjną i danymi KSN?

Po pierwsze, nasze systemy kompilacyjne — nazywane tu „linią produkcyjną” — które odpowiadają za kompilację i tworzenie produktów Kaspersky Lab oraz aktualizacje reguł wykrywania zagrożeń, będą teraz mieściły się w Zurychu. W ten sposób nasze oprogramowanie będzie kompilowane i podpisywane w Szwajcarii pod nadzorem organizacji zewnętrznej, zanim zostanie rozesłane do klientów.

Po drugie, przenosimy serwery, które przetwarzają i przechowują informacje zgromadzone w ramach systemu Kaspersky Security Network od użytkowników zlokalizowanych w Europie, Ameryce Północnej, Australii, Japonii, Korei Południowej i Singapurze, a wkrótce dołączą do nich pozostałe kraje. One również będą podlegały niezależnej kontroli.

Jaki jest cel przenoszenia linii produkcyjnej i danych systemu KSN?

Chociaż obecny poziom ochrony naszej infrastruktury przetwarzania danych i rozwoju oprogramowania jest bardzo wysoki, nieustannie pracujemy nad jego ulepszeniem. Aby zwiększyć naszą odporność na zagrożenia dla łańcucha dostaw oraz poziom transparentności dla naszych klientów, należy sprawić, aby kod źródłowy analizowany w naszym Centrum Transparentności oraz kod aktualnie skompilowany w produktach dostarczonych klientom był tak sam. To dlatego przenosimy proces kompilacji i podpisywania również do Szwajcarii.

To samo dotyczy danych przetwarzanych w ramach systemu Kaspersky Security Network: przechowywanie ich w Szwajcarii pod nadzorem niezależnej organizacji oznacza, że wszelki dostęp do tych danych będzie skrupulatnie rejestrowany — a w przypadku pojawienia się jakichkolwiek wątpliwości wszystkie logi można sprawdzić w dowolnym momencie.

Co to jest Centrum Transparentności?

To miejsce, w którym zaufani partnerzy i zainteresowane organy rządowe mogą sprawdzać kod źródłowy naszych produktów, a także wykorzystywanych przez nas narzędzi. Będzie w nim można uzyskać dostęp do:

  • chronionej dokumentacji rozwoju oprogramowania,
  • kodu źródłowego wszelkich publicznie dostępnych produktów (także ich starszych wersji),
  • baz reguł wykrywania zagrożeń,
  • kodu źródłowego usług chmurowych odpowiedzialnych za gromadzenie i przechowywanie danych klientów w Europie, Ameryce Północnej, Australii, Japonii, Korei Południowej i Singapurze,
  • narzędzi programowych używanych do tworzenia produktów (skrypty budujące), bazy danych oraz usługi chmurowe.

Dlaczego to robimy?

Głównym celem naszej inicjatywy Global Transparency Initiative jest to, aby nie trzeba było nam wierzyć tylko na słowo, jeśli chodzi o nasze zapewnienia odnośnie audytów, integralności naszych produktów, aktualizacji, reguł wykrywania czy przechowywania danych. Odpowiedzialne zainteresowane organizacje rządowe i prywatne, posiadające odpowiednią wiedzę specjalistyczną, będą mogły sprawdzać nasze oprogramowanie, aby mieć pewność, że wszystko w nim działa, jak należy.

Kto może być zainteresowany sprawdzeniem, że działamy zgodnie z zasadami?

Organizacja zewnętrzna będzie mogła oceniać wszystko, co będzie się działo w naszym budynku w Zurychu. Organizacja ta będzie miała tak szeroki dostęp, jaki tylko jest możliwy. Do jej zadań będzie należało:

  • nadzorowanie i rejestrowanie przypadków, w których pracownicy Kaspersky Lab uzyskują dostęp do metadanych produktów otrzymanych w ramach systemu Kaspersky Security Network i przechowywanych w szwajcarskim centrum danych,
  • organizowanie i przeprowadzanie analizy kodu źródłowego,
  • wykonywanie innych zadań obejmujących uzyskiwanie dostępu oraz weryfikowanie wiarygodności produktów Kaspersky Lab.

Kaspersky Lab wspiera tworzenie nowej organizacji działającej w kształcie non-profit, która będzie odpowiedzialna za wymienione zadania — robimy to nie tylko dla siebie, ale także dla innych partnerów i członków, którzy chcieliby dołączyć. Należy tu podkreślić, że Centrum Transparentności oraz organizacja nadzorująca to dwie całkowicie inne i niezależne podmioty.

Dlaczego Szwajcaria?

Wybraliśmy tę lokalizację z dwóch powodów. Po pierwsze, Szwajcaria utrzymuje swoją politykę neutralności od ponad dwustu lat. Po drugie, kraj ten ma solidne przepisy dotyczące ochrony danych. Według nas te dwie cechy czynią ze Szwajcarii idealne miejsce, do którego możemy przenieść część naszej wrażliwej infrastruktury.

Czy będą kolejne Centra Transparentności?

Planujemy otworzyć dodatkowe centra w Ameryce Północnej i Azji do 2020 r. Jednak na chwilę obecną nie możemy ujawnić żadnych szczegółów.

Ile czasu zajmie zapowiadana relokacja?

Oczywiście potrzebujemy na nią trochę czasu. Zmiana lokalizacji naszej linii produkcyjnej, czyli łatwiejsza część procesu, powinna zostać zrealizowana do końca 2018 r. Jednak tworzenie infrastruktury przetwarzania danych wymaga przeniesienia z Moskwy do Zurychu i zaimplementowania kilkudziesięciu usług. Projekt już ruszył i prawdopodobnie zakończy się do końca 2019 r.

O ile nam wiadomo, jesteśmy pierwszą firmą z obszaru cyberbezpieczeństwa, która podjęła się realizacji takiej inicjatywy. Fakt bycia pionierem zawsze wiąże się z wieloma problemami w realizacji danego pomysłu, a mimo to gorąco wierzymy, że nadszedł czas, aby uczynić proces tworzenia oprogramowania transparentnym. Wobec tego każda firma wcześniej czy później będzie musiała postąpić tak samo. Z pewnością bycie pierwszymi daje nam w tym aspekcie przewagę.