Global Transparency Initiative — aktualizacja

W październiku 2017 r. poinformowaliśmy o projekcie Global Transparency Initiative, którego celem jest udowodnienie, że nie mamy nic do ukrycia, a nasi Klienci mogą nam zaufać — nie tylko dlatego, że my sami tak uważamy, ale także dlatego, że tak właśnie jest. Dziś publikujemy aktualizację w tym temacie.

W październiku 2017 r. poinformowaliśmy o projekcie Global Transparency Initiative, którego celem jest udowodnienie, że nie mamy nic do ukrycia, a nasi Klienci mogą nam zaufać — nie tylko dlatego, że my sami tak uważamy, ale także dlatego, że tak właśnie jest.

Wiele źródeł oskarżyło nas o złe postępowanie. Mimo że nie istnieje ani jeden fakt, który by te zarzuty poparł, uważamy, że naszym zadaniem jest udowodnienie, że firmie Kaspersky Lab można i należy ufać. I są ku temu solidne podstawy. W tym celu powstała inicjatywa Global Transparency Initiative.

Aktualizacja: 13 listopada 2019 r.

Dziś poinformowaliśmy o naszym czwartym centrum transparentności, które planowo ma zostać otwarte w styczniu 2020 roku w São Paulo, w Brazylii. Będzie ono naszym pierwszym w Ameryce Łacińskiej, po Madrycie i Zurychu oraz Cyberjayi (Malezja). Nowe centrum stanowi kolejne odzwierciedlenie naszego zaangażowania w pokazanie, że jesteśmy transparentni oraz potrafimy rozwiązywać wszelkie problemy z bezpieczeństwem szybko i dokładnie.

Nasza zmiana lokalizacji infrastruktury służącej do przechowywania i przetwarzania danych jest w toku. Po migracji danych naszych klientów z Europy do Szwajcarii rozpoczynamy przenoszenie danych klientów ze Stanów Zjednoczonych i Kanady. Dane te są udostępniane dobrowolnie za pośrednictwem Kaspersky Security Network (KSN), naszego zaawansowanego i opartego na chmurze systemu, który automatycznie przetwarza dane związane z cyberzagrożeniami. Planowo etap ten ma zostać ukończony do końca roku 2020, ale stopniowo będziemy dodawać również inne regiony.

Jako jeden z pierwszych sygnatariuszy dokumentu Paris Call for Trust and Security in Cyberspace, z dumą ogłosiliśmy swoje plany podczas wydarzenia Paris Peace Forum 2019.

Goście odwiedzający nasze centrum transparentności mają możliwość poznania naszych praktyk w zakresie inżynierii i przetwarzania danych, skompliowania — w asyście naszych ekspertów — oprogramowania Kaspersky z jego kodu źródłowego, a także porównania go z publicznie dostępnym kodem. Ponadto wspomnianego centrum użyjemy do zademonstrowania naszego portfolio, jak również naszych praktyk w zakresie inżynierii i przetwarzania danych.

Aktualizacja: 15 sierpnia 2019 r.

Z przyjemnością informujemy, że nasze trzecie centrum transparentności zostanie otwarte na początku roku 2020 w mieście Cyberjaya, w Malezji. Podobnie jak w przypadku poprzednich centrów transparentności, które zostały otwarte w Zurychu i Madrycie, będzie ono zaufanym obiektem dla naszych partnerów i zainteresowanych podmiotów rządowych, w którym będą oni mogli sprawdzić kod źródłowy naszych produktów. Gospodarzem obiektu będzie CyberSecurity Malaysia, agencja ds. cyberbezpieczeństwa w tym kraju.

Jak zauważył nasz dyrektor generalny, Jewgienij Kasperski, wspomniane centrum transparentności jest naszym pierwszym w regionie Azji i Pacyfiku i pokazuje, że jesteśmy pionierami ze swoją inicjatywą Global Transparency Initiative, która powstała jako odpowiedź na coraz większą potrzebę uzyskiwania informacji na temat działania naszych produktów oraz technologii, zgłaszaną przez naszych partnerów i zainteresowane podmioty rządowe.

Aktualizacja: 11 lipca 2019 r.

Nasze drugie centrum transparentności zostało otwarte w Madrycie w czerwcu dla klientów firmy Kaspersky i partnerów. W planach mamy otwarcie co najmniej trzech takich obiektów na całym świecie do roku 2020.

Ale to nie wszystko. Dobiegł końca przegląd Service Organization Controls (SOC2 Type 1) obejmujący narzędzia firmy Kaspersky służące do zarządzania ryzykiem cyberzagrożeń, który został przeprowadzony przez firmę zewnętrzną oraz stanowi istotny element naszej inicjatywy Global Transparency Initiative. Jeden z audytorów Wielkiej Czwórki sprawdził nasze narzędzia kontroli w zakresie zwykłych, przeprowadzanych automatycznie aktualizacji antywirusowych baz danych w produktach dla systemów Windows i serwerów Unix Servers. Ostatecznie poinformowano, że rozwijanie i udostępnianie tych baz danych jest chronione przed nieautoryzowanymi zmianami. Stanowi to kolejne potwierdzenie na to, że nasze produkty są bezpieczne oraz godne zaufania. Zgodnie z warunkami umowy możemy udostępnić raport naszym klientom i organom regulacyjnym na żądanie.

Ponadto kontynuujemy rozszerzenie naszego programu Bug Bounty i niedawno dołączyliśmy do inicjatywy Disclose.io, co oznacza, że teraz badacze analizujący nasze produkty pod kątem luk mają pełną swobodę działania, a my gwarantujemy, że nie podejmiemy przeciwko nim żadnych kroków prawnych. Więcej informacji na temat Disclose.io napisaliśmy w naszym poście.

Aktualizacja: 2 kwietnia 2019 r.

Nasza inicjatywa Global Transparency Initiative robi znaczące postępy: dziś poinformowaliśmy o otwarciu drugiego centrum transparentności. Będzie ono zlokalizowane w Madrycie, w Hiszpanii, a jego celem będzie dostarczanie większej liczby informacji odnośnie tego, w jaki sposób działają produkty i technologie firmy Kaspersky Lab. Ponadto w nowym centrum wizytatorzy będą mogli poznać portfolio naszych produktów, praktyk w zakresie inżynierii oraz przetwarzania danych. Centrum ma być gotowe w czerwcu tego roku. Plany związane z otwarciem centrów transparentności w Azji i Ameryce Północnej w 2020 roku nadal ewoluują.

Trwa także relokacja naszej infrastruktury służącej do przetwarzania danych. Przenieśliśmy już infrastrukturę odbiorczą do Szwajcarii, a relokacja części służącej do przechowywania danych dobiegnie końca planowo do końca drugiego kwartału. Pełna relokacja przetwarzania danych klientów z Europy ma się zakończyć do końca tego roku.

Ponadto opublikowaliśmy wyniki dobrowolnej zewnętrznej oceny rosyjskich aktów prawnych oraz ich zastosowania w firmie Kaspersky Lab. Ocenę przeprowadził Dr. Kaj Hober, profesor wydziału International Investment and Trade Law na Uniwersytecie w Uppsali, w Szwecji, oraz ekspert ds. systemu prawnego w Rosji. Oto kluczowe wnioski:

  • Firma Kaspersky Lab może zostać poproszona przez Federalną Służbę Bezpieczeństwa (FSB) o współpracę, jednak nie jest zobligowana do wyrażenia zgody.
  • Przepisy prawa, które obligują producentów do asystowania FSB przy działaniach operacyjno-dochodzeniowych, mają zastosowanie wyłącznie do firm, które zapewniają usługi komunikacji elektronicznej, a Kaspersky Lab nie jest taką firmą.
  • Przepisy prawa, które zmuszają firmy do przechowywania danych w Rosji oraz udostępniania ich oraz kluczy szyfrujących (w celu ich odszyfrowania) służbom FSB, mają zastosowanie wyłącznie do dostawców usług telekomunikacyjnych, a Kaspersky Lab nie jest taką firmą.

Wprowadziliśmy też zmiany w naszym programie Bug Bounty, rozszerzając zakres oprogramowania dostępnego do analizy o Kaspersky Password Manager i Kaspersky Endpoint Security for Linux, jak również kilka innych produktów. Do tej pory badacze zidentyfikowali w ten sposób 50 błędów, za które zapłaciliśmy im ponad 17 000 dolarów w ramach nagrody.

Aktualizacja: 13 listopada 2018 r.

Nasze pierwsze centrum transparentności zostało oficjalnie otwarte. Umożliwia ono autoryzowanym partnerom przegląd firmowego kodu, aktualizacji oprogramowania oraz reguł wykrywania zagrożeń.

Począwszy od dzisiaj szkodliwe i podejrzane pliki, które przesyłają nam użytkownicy produktów Kaspersky Lab z Europy, będziemy przetwarzać w naszych dwóch światowej klasy obiektach danych w Zurychu.

Zgodnie z obietnicami, Kaspersky Lab podpisał również umowę z jedną z firm należących do Wielkiej Czwórki o przeprowadzenie audytu, zgodnie ze standardem SSAE 18, firmowych praktyk inżynieryjnych w zakresie tworzenia i dystrybucji baz reguł wykrywania zagrożeń, w celu niezależnego potwierdzenia ich zgodności z najlepszymi praktykami bezpieczeństwa w branży.

Aktualizacja: 29 sierpnia 2018 r.

Robimy postępy. Najpierw zwiększyliśmy wysokość nagrody w naszym programie bug bounty do 100 tys. dol. Dzięki temu nasze produkty stały się bezpieczniejsze i niezawodne. Ponadto ruszyła kolejna odsłona projektu Global Transparency Initiative, a mianowicie rozpoczęliśmy instalowanie sprzętu niezbędnego do przeniesienia do Europy naszego centrum przetwarzania danych należących do użytkowników.

Kaspersky Lab podpisał umowy z dwoma europejskimi dostawcami — Interxion i NTS — którzy będą odpowiedzialni za dostarczenie obiektów, w których znajdować się będą nasze serwery. Aby wyeliminować obawy społeczeństwa i zainteresowanych stron z sektora prywatnego w odniesieniu do nieautoryzowanego dostępu do danych klientów, we wspomnianych centrach danych zostanie zastosowana nowa infrastruktura potrzebna do gromadzenia, przetwarzania i przechowywania danych klientów w Zurychu (Szwajcaria), jeszcze przed końcem 2018 r. Relokacja przetwarzania i przechowywania danych europejskich klientów rozpocznie się w późniejszym okresie tego roku, po czym obejmie ona następne kraje. Całkowite przeniesienie do krajów Europy ma się zakończyć do końca czwartego kwartału 2019 r.

Dlaczego Szwajcaria?

Wybór lokalizacji jest tu dosyć oczywisty — z jednej strony Szwajcaria znajduje się w centrum Europy; z drugiej strony nie należy ona do Unii Europejskiej, dzięki czemu jest to kraj, który podejmuje swoje decyzje w sposób niezależny. A ponieważ jednym z głównych celów naszej inicjatywy Global Transparency Initiative jest pokazanie, że i my jesteśmy niezależni, Szwajcaria okazała się być miejscem do tego idealnym.

Kraj ten jest znany również z wysokiego poziomu innowacyjności i zaawansowanego krajobrazu IT, jak również ścisłych regulacji w zakresie żądań władzy odnośnie przetwarzania danych. Zatem dane naszych klientów będą przechowywane i przetwarzane w jednym z najbezpieczniejszych miejsc na świecie.

Fazy projektu Global Transparency Initiative

Pracujemy również nad innymi aspektami w ramach inicjatywy Global Transparency Initiative.

W planach mamy otwarcie naszego pierwszego Centrum transparentności w Szwajcarii. Już rozpoczęliśmy jego organizowanie i zostanie ono otwarte, gdy będziemy gotowi do przetwarzania danych w centrach danych w Zurychu (jeszcze w tym roku).

Ponadto mamy zamiar przenieść do Szwajcarii proces tworzenia baz zawierających reguły wykrywania zagrożeń i aktualizowania oprogramowania. Jednak zadanie wyeliminowania obaw dotyczących nieautoryzowanego dostępu do danych użytkownika ma wyższy priorytet, zatem wspomniane przeniesienie odbędzie się dopiero wtedy, gdy rozpoczniemy proces relokacji danych.

Kolejnym krokiem po relokacji będzie przegląd kodu firm zewnętrznych i procesów; aktualnie szukamy odpowiedniego do tego celu partnera.

Ponadto mamy zamiar przenieść do Szwajcarii proces tworzenia baz zawierających reguły wykrywania zagrożeń i aktualizowania oprogramowania. Jednak zadanie wyeliminowania obaw dotyczących nieautoryzowanego dostępu do danych użytkownika ma wyższy priorytet, zatem wspomniane przeniesienie odbędzie się dopiero wtedy, gdy rozpoczniemy proces relokacji danych.

Implementacja projektu Global Transparency Initiative to dla nas bardzo ważny proces. Jesteśmy przekonani, że inwestycja czasu i wysiłku w ten długi projekt jest konieczna, aby udowodnić, że Kaspersky Lab to firma całkowicie transparentna i niezależna, której warto ufać. Gdy pojawia się informacje na temat kolejnych etapów procesu Global Transparency Initiative, z pewnością poinformujemy o tym na blogu, jak również na naszej stronie Transparency Center — aby każda osoba miała możliwość dowiedzenia się o naszych działaniach w kierunku transparentności.

Porady