Globalna Inicjatywa Transparentności

Aktualny stan implementacji naszej Globalnej Inicjatywy Transparentności.

W październiku 2017 r. ogłosiliśmy projekt Globalna Inicjatywa Transparentności, którego celem jest udowodnienie, że nie mamy nic do ukrycia, a nasi Klienci mogą nam zaufać — nie tylko dlatego, że tak byśmy chcieli, ale także dlatego, że staramy się tego dowieść.

Na przestrzeni kilku ostatnich lat pod naszym adresem padło wiele fałszywych oskarżeń. Mimo że nie istnieje ani jeden fakt, który by te zarzuty poparł, uważamy, że naszym zadaniem jest udowodnienie, że firmie Kaspersky można i należy ufać. I są ku temu solidne podstawy. W tym celu powstała Globalna Inicjatywa Transparentności.

Będziemy aktualizować ten post w miarę rozwoju projektu.

Aktualizacja: 17 listopada 2020 r.

Zmiana miejsca przetwarzania i przechowywania danych, ogłoszona w listopadzie 2018 roku, dobiegła końca. Oprócz Europy, Stanów Zjednoczonych i Kanady firma Kaspersky zmieniła miejsce przechowywania danych i przetwarzania także w przypadku wielu krajów z regionu Azji i Pacyfiku, takich jak: Australia, Nowa Zelandia, Japonia, Bangladesz, Brunei, Kambodża, Indie, Indonezja, Korea Południowa, Laos, Malezja, Nepal, Pakistan, Filipiny, Singapur, Sri Lanka, Tajlandia oraz Wietnam.

Teraz pochodzące od klientów dane dotyczące zagrożeń przetwarzamy w tych lokalizacjach w dwóch centrach danych w Zurychu (Szwajcaria). Dane te obejmują podejrzane lub wcześniej nieznane szkodliwe pliki, które nasze produkty wysyłają do Kaspersky Security Network (KSN) w celu przeprowadzenia automatycznej analizy pod kątem szkodliwego oprogramowania.

Informujemy o otwarciu naszego Centrum Transparentności w Ameryce Północnej we współpracy z CyberNB Association, organizacją nonprofit w Nowym Brunszwiku, w Kanadzie.

Obiekt zacznie działać na początku 2021 r. Ta piąta lokalizacja firmy umożliwi partnerom firmy Kaspersky przegląd naszego kodu źródłowego i zapoznania się z praktykami związanymi z inżynierią i przetwarzaniem danych, jak również naszą ofertą produktów.

Wcześniej w 2020 roku swoją działalność rozpoczęły Centra Transparentności w Sao Paulo i Kuala Lumpur. Firma Kaspersky ponownie uruchomiła swoje pierwsze Centrum Transparentności w Zyrychu, które przenieśliśmy do centrum danych Interxion.

W związku z ograniczeniami w zakresie podróżowania i odwiedzin klienci i partnerzy mogą przeglądać kod źródłowy również zdalnie. Aby uzyskać dostęp zdalny do Centr Transparentności firmy Kaspersky, należy kliknąć to łącze.

Uruchomiliśmy Cyber Capacity Building Program, o którym informowaliśmy w maju 2020 r., wraz z Urzędem ds. Bezpieczeństwa Informacji w Wietnamie (AI), które obejmuje krajowy zespół CERT i Narodowe Centrum Cyberbezpieczeństwa (National Cyber Security Centre, NCSC). Program ten obejmuje teraz dodatkową sekcję fuzzowania kodu, przeprowadzaną wraz z zespołem ICS CERT firmy Kaspersky. W 2021 roku program będzie dostępny dla partnerów biznesowych i innych firm w celu zwiększenia ich gotowości, jak również oceny odporności ich systemów i sieci na zagrożenia związane z łańcuchem dostaw. Aby uzyskać dostęp, kliknij to łącze.

Rozszerzyliśmy też wachlarz produktów biorących udział w naszym programie bug bounty. Badacze mogą teraz wysyłać zgłoszenia wykrytych luk w rozwiązaniu Kaspersky VPN Secure Connection, w tym w modułach oprogramowania innych firm będących elementem rozwiązania VPN. Od marca 2018 roku nasz program przyczynił się do wyeliminowania 76 błędów, a 37 zgłoszeń zostało nagrodzone łączną kwotą 57 750 dol.

Aktualizacja: 13 lutego 2020 r.

Nasza Globalna Inicjatywa Transparentności robi postępy. W ramach tego procesu uzyskaliśmy certyfikat ISO/IEC 27001:2013. Wydała go organizacja TÜV AUSTRIA i potwierdza on, że nasze firmowe systemy ochrony danych, w tym Kaspersky Security Network, spełniają najlepsze praktyki branżowe.

Aby zdobyć certyfikat, musieliśmy udowodnić, że przestrzegamy standardów podczas implementacji, monitorowania i utrzymywania oraz nieustannego ulepszania naszego systemu Information Security Management System (ISMS).

Ocena przeprowadzona przez niezależny organ certyfikujący TÜV AUSTRIA objęła systemy zarządzania dostarczaniem szkodliwych i podejrzanych plików za pośrednictwem infrastruktury Kaspersky Security Network (KSN), jak również bezpieczne przechowywanie i uzyskiwanie dostępu do takich plików w naszym systemie Distributed File System (KLDFS). System ten obejmuje nasze centra danych w Zurychu (Szwajcaria), Frankfurcie (Niemcy), Toronto (Kanada) i Moskwa (Rosja).

Certyfikat jest dostępny publicznie na stronie TÜV AUSTRIA Certificate Directory oraz na naszej stronie. Audyt związany z normą ISO 27001 stanowi kolejny krok w kierunku utwierdzania naszych partnerów i klientów co do tego, że nasze produkty i usługi są najlepsze, jeśli chodzi o ochronę przed cyberzagrożeniami, a także że dane klientów traktujemy z najwyższą troską i poszanowaniem.

Aktualizacja: 13 listopada 2019 r.

Dziś poinformowaliśmy o naszym czwartym centrum transparentności, które planowo ma zostać otwarte w styczniu 2020 roku w São Paulo, w Brazylii. Będzie ono naszym pierwszym w Ameryce Łacińskiej, po Madrycie i Zurychu oraz Cyberjayi (Malezja). Nowe centrum stanowi kolejne odzwierciedlenie naszego zaangażowania w pokazanie, że jesteśmy transparentni oraz potrafimy rozwiązywać wszelkie problemy z bezpieczeństwem szybko i dokładnie.

Nasza zmiana lokalizacji infrastruktury służącej do przechowywania i przetwarzania danych jest w toku. Po migracji danych naszych klientów z Europy do Szwajcarii rozpoczynamy przenoszenie danych klientów ze Stanów Zjednoczonych i Kanady. Dane te są udostępniane dobrowolnie za pośrednictwem Kaspersky Security Network (KSN), naszego zaawansowanego i opartego na chmurze systemu, który automatycznie przetwarza dane związane z cyberzagrożeniami. Planowo etap ten ma zostać ukończony do końca roku 2020, ale stopniowo będziemy dodawać również inne regiony.

Jako jeden z pierwszych sygnatariuszy dokumentu Paris Call for Trust and Security in Cyberspace, z dumą ogłosiliśmy swoje plany podczas wydarzenia Paris Peace Forum 2019.

Goście odwiedzający nasze centrum transparentności mają możliwość poznania naszych praktyk w zakresie inżynierii i przetwarzania danych, skompliowania — w asyście naszych ekspertów — oprogramowania Kaspersky z jego kodu źródłowego, a także porównania go z publicznie dostępnym kodem. Ponadto wspomnianego centrum użyjemy do zademonstrowania naszego portfolio, jak również naszych praktyk w zakresie inżynierii i przetwarzania danych.

Aktualizacja: 15 sierpnia 2019 r.

Z przyjemnością informujemy, że nasze trzecie centrum transparentności zostanie otwarte na początku roku 2020 w mieście Cyberjaya, w Malezji. Podobnie jak w przypadku poprzednich centrów transparentności, które zostały otwarte w Zurychu i Madrycie, będzie ono zaufanym obiektem dla naszych partnerów i zainteresowanych podmiotów rządowych, w którym będą oni mogli sprawdzić kod źródłowy naszych produktów. Gospodarzem obiektu będzie CyberSecurity Malaysia, agencja ds. cyberbezpieczeństwa w tym kraju.

Jak zauważył nasz dyrektor generalny, Jewgienij Kasperski, wspomniane centrum transparentności jest naszym pierwszym w regionie Azji i Pacyfiku i pokazuje, że jesteśmy pionierami ze swoją Globalną Inicjatywą transparentności, która powstała jako odpowiedź na coraz większą potrzebę uzyskiwania informacji na temat działania naszych produktów oraz technologii, zgłaszaną przez naszych partnerów i zainteresowane podmioty rządowe.

Aktualizacja: 11 lipca 2019 r.

Nasze drugie centrum transparentności zostało otwarte w Madrycie w czerwcu dla klientów firmy Kaspersky i partnerów. W planach mamy otwarcie co najmniej trzech takich obiektów na całym świecie do roku 2020.

Ale to nie wszystko. Dobiegł końca przegląd Service Organization Controls (SOC2 Type 1) obejmujący narzędzia firmy Kaspersky służące do zarządzania ryzykiem cyberzagrożeń, który został przeprowadzony przez firmę zewnętrzną oraz stanowi istotny element naszej Globalnej Inicjatywy Transparentności. Jeden z audytorów Wielkiej Czwórki sprawdził nasze narzędzia kontroli w zakresie zwykłych, przeprowadzanych automatycznie aktualizacji antywirusowych baz danych w produktach dla systemów Windows i serwerów Unix Servers. Ostatecznie poinformowano, że rozwijanie i udostępnianie tych baz danych jest chronione przed nieautoryzowanymi zmianami. Stanowi to kolejne potwierdzenie na to, że nasze produkty są bezpieczne oraz godne zaufania. Zgodnie z warunkami umowy możemy udostępnić raport naszym klientom i organom regulacyjnym na żądanie.

Ponadto kontynuujemy rozszerzenie naszego programu Bug Bounty i niedawno dołączyliśmy do inicjatywy Disclose.io, co oznacza, że teraz badacze analizujący nasze produkty pod kątem luk mają pełną swobodę działania, a my gwarantujemy, że nie podejmiemy przeciwko nim żadnych kroków prawnych. Więcej informacji na temat Disclose.io napisaliśmy w naszym poście.

Aktualizacja: 2 kwietnia 2019 r.

Nasza Globalna Inicjatywa Transparentności robi znaczące postępy: dziś poinformowaliśmy o otwarciu drugiego centrum transparentności. Będzie ono zlokalizowane w Madrycie, w Hiszpanii, a jego celem będzie dostarczanie większej liczby informacji odnośnie tego, w jaki sposób działają produkty i technologie firmy Kaspersky. Ponadto w nowym centrum wizytatorzy będą mogli poznać portfolio naszych produktów, praktyk w zakresie inżynierii oraz przetwarzania danych. Centrum ma być gotowe w czerwcu tego roku. Plany związane z otwarciem centrów transparentności w Azji i Ameryce Północnej w 2020 roku nadal ewoluują.

Trwa także relokacja naszej infrastruktury służącej do przetwarzania danych. Przenieśliśmy już infrastrukturę odbiorczą do Szwajcarii, a relokacja części służącej do przechowywania danych dobiegnie końca planowo do końca drugiego kwartału. Pełna relokacja przetwarzania danych klientów z Europy ma się zakończyć do końca tego roku.

Ponadto opublikowaliśmy wyniki dobrowolnej zewnętrznej oceny rosyjskich aktów prawnych oraz ich zastosowania w firmie Kaspersky. Ocenę przeprowadził Dr. Kaj Hober, profesor wydziału International Investment and Trade Law na Uniwersytecie w Uppsali, w Szwecji, oraz ekspert ds. systemu prawnego w Rosji. Oto kluczowe wnioski:

  • Firma Kaspersky może zostać poproszona przez Federalną Służbę Bezpieczeństwa (FSB) o współpracę, jednak nie jest zobligowana do wyrażenia zgody.
  • Przepisy prawa, które obligują producentów do asystowania FSB przy działaniach operacyjno-dochodzeniowych, mają zastosowanie wyłącznie do firm, które zapewniają usługi komunikacji elektronicznej, a Kaspersky nie jest taką firmą.
  • Przepisy prawa, które zmuszają firmy do przechowywania danych w Rosji oraz udostępniania ich oraz kluczy szyfrujących (w celu ich odszyfrowania) służbom FSB, mają zastosowanie wyłącznie do dostawców usług telekomunikacyjnych, a Kaspersky nie jest taką firmą.

Wprowadziliśmy też zmiany w naszym programie Bug Bounty, rozszerzając zakres oprogramowania dostępnego do analizy o Kaspersky Password Manager i Kaspersky Endpoint Security for Linux, jak również kilka innych produktów. Do tej pory badacze zidentyfikowali w ten sposób 50 błędów, za które zapłaciliśmy im ponad 17 000 dolarów w ramach nagrody.

Aktualizacja: 13 listopada 2018 r.

Nasze pierwsze centrum transparentności zostało oficjalnie otwarte. Umożliwia ono autoryzowanym partnerom przegląd firmowego kodu, aktualizacji oprogramowania oraz reguł wykrywania zagrożeń.

Począwszy od dzisiaj szkodliwe i podejrzane pliki, które przesyłają nam użytkownicy produktów Kaspersky z Europy, będziemy przetwarzać w naszych dwóch światowej klasy obiektach danych w Zurychu.

Zgodnie z obietnicami, Kaspersky podpisał również umowę z jedną z firm należących do Wielkiej Czwórki o przeprowadzenie audytu, zgodnie ze standardem SSAE 18, firmowych praktyk inżynieryjnych w zakresie tworzenia i dystrybucji baz reguł wykrywania zagrożeń, w celu niezależnego potwierdzenia ich zgodności z najlepszymi praktykami bezpieczeństwa w branży.

Aktualizacja: 29 sierpnia 2018 r.

Robimy postępy. Najpierw zwiększyliśmy wysokość nagrody w naszym programie bug bounty do 100 tys. dol. Dzięki temu nasze produkty stały się bezpieczniejsze i niezawodne. Ponadto ruszyła kolejna odsłona projektu Globalnej Inicjatywy Transparentności, a mianowicie rozpoczęliśmy instalowanie sprzętu niezbędnego do przeniesienia do Europy naszego centrum przetwarzania danych należących do użytkowników.

Kaspersky podpisał umowy z dwoma europejskimi dostawcami — Interxion i NTS — którzy będą odpowiedzialni za dostarczenie obiektów, w których znajdować się będą nasze serwery. Aby wyeliminować obawy społeczeństwa i zainteresowanych stron z sektora prywatnego w odniesieniu do nieautoryzowanego dostępu do danych klientów, we wspomnianych centrach danych zostanie zastosowana nowa infrastruktura potrzebna do gromadzenia, przetwarzania i przechowywania danych klientów w Zurychu (Szwajcaria), jeszcze przed końcem 2018 r. Relokacja przetwarzania i przechowywania danych europejskich klientów rozpocznie się w późniejszym okresie tego roku, po czym obejmie ona następne kraje. Całkowite przeniesienie do krajów Europy ma się zakończyć do końca czwartego kwartału 2019 r.

Dlaczego Szwajcaria?

Wybór lokalizacji jest tu dosyć oczywisty — z jednej strony Szwajcaria znajduje się w centrum Europy; z drugiej strony nie należy ona do Unii Europejskiej, dzięki czemu jest to kraj, który podejmuje swoje decyzje w sposób niezależny. A ponieważ jednym z głównych celów naszej Globalnej Inicjatywy Transparentności jest pokazanie, że i my jesteśmy niezależni, Szwajcaria okazała się być miejscem do tego idealnym.

Kraj ten jest znany również z wysokiego poziomu innowacyjności i zaawansowanego krajobrazu IT, jak również ścisłych regulacji w zakresie żądań władzy odnośnie przetwarzania danych. Zatem dane naszych klientów będą przechowywane i przetwarzane w jednym z najbezpieczniejszych miejsc na świecie.

Fazy Globalnej Inicjatywy Transparentności

Pracujemy również nad innymi aspektami w ramach Globalnej Inicjatywy Transparentności.

W planach mamy otwarcie naszego pierwszego Centrum transparentności w Szwajcarii. Już rozpoczęliśmy jego organizowanie i zostanie ono otwarte, gdy będziemy gotowi do przetwarzania danych w centrach danych w Zurychu (jeszcze w tym roku).

Ponadto mamy zamiar przenieść do Szwajcarii proces tworzenia baz zawierających reguły wykrywania zagrożeń i aktualizowania oprogramowania. Jednak zadanie wyeliminowania obaw dotyczących nieautoryzowanego dostępu do danych użytkownika ma wyższy priorytet, zatem wspomniane przeniesienie odbędzie się dopiero wtedy, gdy rozpoczniemy proces relokacji danych.

Kolejnym krokiem po relokacji będzie przegląd kodu firm zewnętrznych i procesów; aktualnie szukamy odpowiedniego do tego celu partnera.

Ponadto mamy zamiar przenieść do Szwajcarii proces tworzenia baz zawierających reguły wykrywania zagrożeń i aktualizowania oprogramowania. Jednak zadanie wyeliminowania obaw dotyczących nieautoryzowanego dostępu do danych użytkownika ma wyższy priorytet, zatem wspomniane przeniesienie odbędzie się dopiero wtedy, gdy rozpoczniemy proces relokacji danych.

Implementacja projektu Globalna Inicjatywa Transparentności to dla nas bardzo ważny proces. Jesteśmy przekonani, że inwestycja czasu i wysiłku w ten długi projekt jest konieczna, aby udowodnić, że Kaspersky to firma całkowicie transparentna i niezależna, której warto ufać. Gdy pojawia się informacje na temat kolejnych etapów procesu Globalnej Inicjatywy Transparentności, z pewnością poinformujemy o tym na blogu, jak również na naszej stronie Centrum Transparentności — aby każda osoba miała możliwość dowiedzenia się o naszych działaniach w kierunku transparentności.

Porady