Transparentność w firmie Kaspersky

Dziś opisujemy, jak ewoluuje nasza Globalna Inicjatywa Transparentności.

W 2017 roku uruchomiliśmy Globalną Inicjatywę Transparentności (GTI). W ramach tego projektu przenieśliśmy część naszej infrastruktury danych do Szwajcarii i otworzyliśmy Centra Transparentności, w których nasi Partnerzy i Klienci mogą przeglądać kod źródłowy naszych produktów; nasze usługi danych i praktyki inżynieryjne zostały ocenione przez niezależne akredytowane organizacje zewnętrzne; a ponadto regularnie ujawniamy informacje dotyczące wniosków, w których agencje rządowe żądają od nas podania danych i wiedzy technicznej (otrzymujemy je w związku z dochodzeniami w sprawie cyberprzestępczości). Dzisiaj opowiemy o nowych krokach podjętych w ramach tej inicjatywy.

Co zostało zrobione w ramach Globalnej Inicjatywy Transparentności?

W ciągu pięciu lat od uruchomienia tego programu otworzyliśmy cztery Centra Transparentności, w których nasi Klienci i Partnerzy mogą przeglądać kod źródłowy naszych produktów, a także aktualizacje oprogramowania, aby upewnić się, że w naszych rozwiązaniach nie ma żadnych ukrytych funkcji ani nieudokumentowanych możliwości. Ponadto udostępniamy również nasze praktyki w zakresie inżynierii i zarządzania danymi na rzecz badań zewnętrznych. Centra Transparentności działają już w Europie, Ameryce Łacińskiej i Azji. Osobom, które nie mogą odwiedzić ich osobiście, zapewniamy wizyty zdalne.

Jako firma z obszaru technologii i cyberbezpieczeństwa przetwarzamy dane, które nasze produkty wykorzystują w celu zwiększenia skuteczności cyberochrony zapewnianej Użytkownikom. Dane te obejmują informacje o cyberzagrożeniach – na przykład podejrzane i szkodliwe pliki, które nasze produkty wysyłają (gdy Użytkownicy wyrażą na to zgodę) do chmury w celu automatycznego przeanalizowania ich. Dzięki temu możemy łatwiej identyfikować nowe i nieznane zagrożenia, stale ulepszać nasze rozwiązania i oferować Użytkownikom lepsze sposoby ochrony.

Od listopada 2018 r. takie związane z cyberzagrożeniami dane pochodzące od naszych Użytkowników w Europie są przechowywane i przetwarzane w naszych centrach danych w Szwajcarii. Niedługo później przenieśliśmy do Szwajcarii przetwarzanie i przechowywanie takich danych związanych z Użytkownikami w Ameryce Północnej, Ameryce Łacińskiej, na Bliskim Wschodzie i w wielu krajach regionu Azji i Pacyfiku.

Otrzymaliśmy również certyfikat zgodności ISO 27001 od niezależnej jednostki certyfikującej TÜV AUSTRIA. Potwierdziło to, że nasza firma posiada skuteczny system zarządzania bezpieczeństwem informacji. Nasi Użytkownicy mogą być pewni, że dane przetwarzane przez Kaspersky są objęte najwyższym poziomem ochrony.

Poza tym uruchomiliśmy szkolenia w ramach programu budowania potencjału cybernetycznego dla firm, organizacji rządowych i środowisk akademickich, aby pomóc im w rozwinięciu umiejętności, których potrzebują do ochrony swoich systemów informatycznych. Niedawno uruchomiliśmy także cyfrową wersję tego szkolenia, do której teraz mają dostęp zarówno organizacje, jak i Użytkownicy indywidualni.

Nowe kroki na rzecz zwiększenia transparentności

Firma Kaspersky wykonała wiele pracy na rzecz większej transparentności i nie planuje na tym poprzestać. Niedawno podjęliśmy nowe kroki w ramach Globalnej Inicjatywy Transparentności (GTI).

Rozbudowa centrum danych w Zurychu

Od początku 2022 roku znacznie zwiększyliśmy pojemność naszych centrów danych w Zurychu, gdzie obecnie przetwarzamy szkodliwe i podejrzane pliki przesyłane przez Użytkowników z Ameryki Łacińskiej i Bliskiego Wschodu. Przenieśliśmy również przetwarzanie i przechowywanie takich danych związanych z cyberzagrożeniami dla krajów Ameryki Północnej, które wcześniej nie były uwzględniane: Meksyku, Panamy, Jamajki i innych krajów wyspiarskich.

Wybraliśmy Szwajcarię , ponieważ w kraju tym obowiązują jedne z najbardziej rygorystycznych przepisów o ochronie danych. W naszych dwóch centrach danych w Zurychu działa światowej klasy sprzęt, który spełnia najwyższe standardy branżowe.

Recertyfikacja ISO 27001

Systemy danych firmy Kaspersky zostały ponownie certyfikowane przez TÜV AUSTRIA zgodnie z wymogami normy ISO 27001. I nie chodzi tylko o odnowienie certyfikatu; tym razem zakres audytu został znacznie rozszerzony. Obecnie wspomniana certyfikacja obejmuje zarówno systemy danych do przetwarzania danych związanych z cyberzagrożeniami (Kaspersky Distributed File System, KLDFS), jak i statystyki (baza danych KSNBuffer).

TÜV AUSTRIA jest niezależną jednostką certyfikującą. Jesteśmy dumni, że podejście firmy Kaspersky do bezpieczeństwa danych po raz kolejny zostało docenione.

Przetwarzanie wniosków od rządu i organów ścigania

To wszystko potwierdza, że dane Użytkowników są bezpieczne. Jeśli chodzi o żądania ujawnienia informacji, z którymi zwracają się do nas organy ścigania, regularnie informujemy i swoim podejściu w tej materii, a od zeszłego roku zestawiamy je w raportach. Niedawno opublikowaliśmy raport za drugą połowę 2021 r. Oto kilka najważniejszych informacji:

  • Nasi eksperci otrzymali 109 wniosków od rządu i organów ścigania z 12 krajów.
  • 92 wnioski dotyczyły wiedzy technicznej, a 17 zawierało wniosek o dostęp do danych Użytkowników.
  • Wszystkie 17 wniosków o przekazanie danych Użytkownika zostało odrzuconych. Niektóre z nich nie spełniały wymogów prawnych; inne wymagały podania danych, których nasza firma po prostu nie posiadała.

Ponadto sami Użytkownicy pytają nas, gdzie i jak przechowywane są ich dane osobowe; niektóre osoby proszą o możliwość ich pobrania lub usunięcia. W 2021 roku obsłużyliśmy 2 252 tego typu wnioski.

Nowy poziom programu edukacyjnego

Firma Kaspersky zawsze jest gotowa do dzielenia się swoim doświadczeniem z globalną społecznością. Rozszerzyliśmy nasz program budowania potencjału cybernetycznego, uruchamiając podobny kurs online — teraz może w nim wziąć udział jeszcze więcej Partnerów i Klientów. Szkolenie pomaga organizacjom i osobom fizycznym ocenić bezpieczeństwo oprogramowania, z którego korzystają, oraz zmniejszyć ryzyko i potencjalne konsekwencje cyberataków.

Co dalej?

Zaufanie Użytkowników, Klientów i Partnerów jest naszym najwyższym priorytetem. Nadal udoskonalamy nasze praktyki bezpieczeństwa oraz rozwijamy Globalną Inicjatywę Transparentności. Mamy nadzieję, że pewnego dnia stanie się ona międzynarodowym standardem dla branży cyberbezpieczeństwa.

Jeśli chodzi o jakość ochrony, którą zapewniają nasze rozwiązania bezpieczeństwa, niedawno podsumowaliśmy wyniki kilkudziesięciu testów i recenzji przeprowadzonych przez wiodące niezależne laboratoria, w których brały udział nasze produkty w 2021 roku. Wyniki można sprawdzić tutaj.

Porady