Global Transparency Initiative: что нового?

Рассказываем, как обстоят дела с реализацией Global Transparency Initiative — нашей глобальной инициативы по информационной открытости.

(Пост обновлен 17 февраля 2020 г.)

В октябре 2017 года мы объявили о запуске глобальной инициативы по информационной открытости Global Transparency Initiative, цель которой — показать, и словом, и делом, что нам нечего скрывать и наши клиенты могут на нас положиться.

Мы столкнулись со множеством ложных обвинений в недобросовестном поведении из разных источников. И хотя они не подкреплены ни единым доказательством, мы считаем себя обязанными продемонстрировать, что «Лаборатории Касперского» можно и нужно доверять и что на это есть веские причины. В этом и состоит суть нашей глобальной инициативы, и вот к чему мы пришли к настоящему моменту.

Мы будем обновлять этот пост по мере развития проекта.

Обновлено 17 февраля 2020 г.

Мы продолжаем развивать нашу глобальную инициативу по информационной открытости (Global Transparency Initiative). Один из новых шагов, который мы сделали в данном направлении, — сертификация по стандарту ISO/IEC 27001:2013. Сертификат выдан независимым центром TÜV AUSTRIA, и он подтверждает, что наши системы защиты данных соответствуют высшим стандартам индустрии.

В рамках сертификации эксперты TÜV AUSTRIA провели аудит механизма доставки вредоносных и подозрительных файлов через инфраструктуру Kaspersky Security Network, а также систему их хранения и доступа к ним — Kaspersky Lab Distributed File System (KLDFS) — в наших датацентрах в Цюрихе, Франкфурте, Торонто и Москве.

Сертификация по стандарту ISO 27001 подтверждает не только высокую эффективность наших решений по борьбе с киберугрозами, но и наше уважительное и бережное отношение к данным клиентов. С сертификатом можно ознакомиться на странице центра TÜV AUSTRIA и на нашем сайте.

Обновлено 14 ноября 2019 г.

Мы планируем открыть новый центр прозрачности в Сан-Паулу, Бразилия, в 2020 году. Это будет наш первый центр в Латинской Америке и четвертый по счету после центров в Цюрихе, Мадриде и Сайберджае, которые уже начали свою работу. Появление нового центра станет еще одним свидетельством нашей открытости и способности оперативно и тщательно решать любые вопросы безопасности.

Продолжается миграция нашей инфраструктуры для хранения и обработки данных. Вслед за перемещением информации европейских клиентов в дата-центр в Швейцарии мы начинаем переносить туда данные пользователей из США и Канады. Эти данные были собраны с согласия пользователей c помощью Kaspersky Security Network (KSN) — нашей передовой облачной системы сбора и обработки сведений о киберугрозах. Мы планируем завершить перенос данных к концу 2020 года и постепенно подключать к программе другие регионы.

Эти планы, о которых мы объявили на втором Парижском форуме мира, прошедшем в ноябре, подтверждают, что мы не на словах, а на деле готовы поддержать «Парижский призыв к доверию и безопасности в киберпространстве» (Paris Call for Trust and Security in Cyberspace), на который мы откликнулись одними из первых.

Посетители центра прозрачности получат возможность больше узнать о разработке наших сервисов и о процессе обработки данных. С помощью наших экспертов можно будет скомпилировать наши продукты из исходного кода, а затем сравнить этот код с публично доступным. Кроме того, мы планируем использовать новый центр для демонстрации нашего портфолио, технологий разработки и работы с данными.

Обновлено 15 августа 2019 г.

Мы рады сообщить, что наш третий центр прозрачности откроется уже в начале 2020 года в городе Сайберджая (Малайзия). Здесь, как и в первых двух центрах, которые мы ранее открыли в Цюрихе и Мадриде, партнеры и правительственные организации смогут ознакомиться с исходным кодом наших продуктов. Площадку для нового центра предоставляет малайзийское агентство по кибербезопасности CyberSecurity Malaysia.

Центр прозрачности в Сайберджае станет первым для компании в Азиатско-Тихоокеанском регионе. Как отметил Евгений Касперский, его открытие показывает, что реализация Global Transparency Initiative идет по плану, и мы продолжаем удовлетворять растущий интерес к тому, как работают наши продукты и технологии.

Обновлено 15 июля 2019 г.

В июне для клиентов и партнеров «Лаборатории Касперского» заработал второй центр прозрачности, расположенный в Мадриде. По нашему плану к 2020 году таких центров будет минимум три.

Но это еще не все. В рамках глобальной инициативы по информационной открытости Global Transparency Initiative «Лаборатория Касперского» успешно прошла независимый аудит контрольных процессов для сервисных организаций (SOC 2 Type 1). Аудиторская компания из «Большой четверки» провела анализ наших внутренних механизмов управления рисками кибербезопасности.

Так, были проанализированы методы контроля за автоматическими обновлениями антивирусных баз продуктов для серверов Windows и Unix. Проверка показала, что процессы разработки и выпуска этих баз защищены от несанкционированных вмешательств. Это еще раз подтверждает, что наши продукты надежны и им можно доверять. По условиям контракта мы можем раскрывать содержимое отчета нашим клиентам и регулирующим органам по запросу.

Кроме того, мы продолжаем расширять нашу программу Bug Bounty и недавно присоединились к движению Disclose.io. Это значит, что теперь у искателей уязвимостей в наших продуктах есть «безопасная гавань», где им гарантирована защита от негативных юридических последствий. Подробнее о Disclose.io читайте в нашем блоге.

Обновлено 2 апреля 2019 г.

Наша глобальная инициатива по информационной открытости преодолела очередную веху: сегодня мы объявляем об открытии второго центра прозрачности, на сей раз в столице Испании. Мадридский центр будет предоставлять информацию о принципах работы продуктов и технологий «Лаборатории Касперского».

Помимо этого, он будет служить брифинг-центром, в котором посетители смогут ознакомиться с нашим портфолио, а также узнать больше о наших методах инжиниринга и обработки данных. Новый центр откроет свои двери для первых гостей уже в июне. Также мы по-прежнему планируем открыть центры прозрачности в Азии и Северной Америке к 2020 году и активно претворяем этот замысел в жизнь.

Перенос оборудования для обработки данных европейских пользователей также идет полным ходом: принимающая инфраструктура уже находится в Швейцарии, а к концу второго квартала мы планируем переместить туда же и сервисы хранения данных. Уже к концу этого года работы по переносу инфраструктуры обработки данных для европейских клиентов должны полностью завершиться.

Также недавно мы опубликовали результаты независимой юридической оценки российских законов и их отношения к «Лаборатории Касперского». Исследование проводил доктор Кай Хобер (Kaj Hober), профессор кафедры международных инвестиций и торгового права Уппсальского университета в Швеции, эксперт по законодательной системе России. Вот его основные выводы:

Федеральная служба безопасности (ФСБ) России может попросить «Лабораторию Касперского» о сотрудничестве, однако компания имеет право не удовлетворять этот запрос.

Законы, обязывающие вендоры помогать ФСБ в расследованиях, относятся только к компаниям, которые предоставляют услуги в области электронной коммуникации. «Лаборатория Касперского» к ним не относится.

Законы, обязывающие компании хранить данные в России и предоставлять ключи для их расшифровки ФСБ, относятся только к поставщикам телекоммуникационных услуг — это снова не про «Лабораторию Касперского».

И напоследок еще одна важная новость: мы расширили нашу программу вознаграждения за найденные уязвимости, добавив в нее Kaspersky Password Manager и Kaspersky Endpoint Security для Linux, а также некоторые другие продукты. В рамках этой программы уже было обнаружено более 50 багов. Исследователям, указавшим на них, выплачено в общей сложности более 17 000 долларов США.

Обновлено 13 ноября 2018 г.

Наш первый центр прозрачности официально открыт. В нем наши доверенные партнёры и правительственные организации смогут проверить исходный код продуктов компании, а также получат доступ к базам данным вирусных сигнатур, обновлениям ПО, документации по безопасной разработке ПО и другим важным материалам.

Также с сегодняшнего дня все вредоносные и подозрительные файлы, поступающие от европейских пользователей продуктов «Лаборатории Касперского», будут обрабатываться в двух наших центрах обработки данных мирового класса в Цюрихе.

Как мы и обещали, «Лаборатория Касперского» наняла одну из четырех крупнейших профессиональных аудиторских фирм для независимой аттестации соответствия наших инженерных практик в области создания и распространения баз данных правилам обнаружения угроз в рамках самого защищенного отраслевого стандарта SSAE 18.

Обновлено 29 августа 2018 г.

Мы достигли значительных успехов и уже реализовали одно важное изменение: увеличили вознаграждение за найденные уязвимости до 100 000 долларов США. Благодаря этому нововведению наши продукты безопаснее и надежнее. Сейчас полным ходом идет следующий этап глобальной инициативы: мы хотим переместить обработку пользовательских данных в Европу и уже устанавливаем необходимое оборудование.

«Лаборатория Касперского» подписала контракты с двумя европейскими провайдерами — Interxion и NTS, — которые к концу 2018 года предоставят новую инфраструктуру для сбора, обработки и хранения пользовательских данных в Цюрихе (Швейцария).

Так будут развеяны опасения заинтересованных сторон из государственного и частного секторов по поводу несанкционированного доступа к данным клиентов. Перенос процессов обработки и хранения данных европейских клиентов начнется в этом году, позднее мы подключим к этому процессу и другие страны. Мы планируем полностью завершить проект в Европе в четвертом квартале 2019 года.

Почему Швейцария?

Выбор пал именно на эту страну по нескольким причинам: с одной стороны, Швейцария находится в центре Европы, с другой стороны, она не входит в ЕС, а следовательно, является независимой страной, самостоятельно принимающей решения. Также нам нравится, что в этом выборе есть определенный символизм, ведь один из главных принципов нашей глобальной инициативы — продемонстрировать нашу независимость, и Швейцария как нельзя лучше подходит для старта.

Швейцария также известна своей высокоразвитой инновационной IT-инфраструктурой и строгими требованиями органов власти к обработке запросов на предоставление данных. Так что данные наших клиентов будут храниться и обрабатываться в одном из самых безопасных мест в мире.

Этапы глобальной инициативы по информационной открытости

Другие составляющие нашей инициативы тоже в процессе разработки.

Мы собираемся открыть наш первый центр прозрачности в Швейцарии. Сейчас идет организационная подготовка, а откроется центр, как только мы будем готовы начать обработку данных в цюрихских ЦОД (это планируется сделать позже в этом году). [ОБНОВЛЕНИЕ: Мы уже открыли два центра — в Цюрихе и Мадриде, — и готовимся открыть третий.]

Мы намерены перенести и оборудование, обрабатывающее данные клиентов и для других стран. Это довольно сложный процесс, поэтому мы решили проводить его поэтапно, чтобы свести к минимуму возможные неполадки в защите пользователей. Мы вернемся к этой задаче, как только закончим переносить в Швейцарию оборудование для обработки данных европейских граждан. [ОБНОВЛЕНИЕ: Процесс переноса уже запущен, и для европейских граждан он будет завершен в 2019 году.]

За переносом должен последовать независимый аудит кода и процессов разработки, и сейчас мы ищем подходящего партнера для этих целей. [ОБНОВЛЕНИЕ: мы прошли аудит SOC 2 Type 1 в одной из компаний «Большой четверки».]

Еще одна часть нашей инициативы — перенос в Швейцарию процесса сборки программного обеспечения и базы данных по правилам обнаружения угроз. Мы приступим к этому этапу после того, как запустим перемещение данных, так как в первую очередь хотим решить проблемы с обвинениями в несанкционированном доступе к информации пользователей.

Реализация глобальной инициативы по информационной открытости очень важна для нас. На такой продолжительный проект уходит много сил и времени, но мы абсолютно уверены, что должны его завершить. Так мы докажем на деле, что «Лаборатория Касперского» полностью открыта, независима и заслуживает доверия клиентов. Мы будем регулярно обновлять этот блог-пост и веб-сайт нашего центра прозрачности по мере поступления новостей о том, как проходит реализация инициативы, чтобы вся информация о мероприятиях по повышению прозрачности была собрана в одном месте.

Советы