Global Transparency Initiative: что нового?

Рассказываем, как обстоят дела с реализацией Global Transparency Initiative — нашей глобальной инициативы по информационной открытости.

Глобальная инициатива по информационной открытости Global Transparency Initiative: что изменилось и куда мы движемся.

В октябре 2017 года мы объявили о запуске глобальной инициативы по информационной открытости Global Transparency Initiative, цель которой — показать, и словом, и делом, что нам нечего скрывать, и наши клиенты могут на нас положиться.

С обновлениями за 2022 год можно ознакомиться в этом посте.

Обновлено 18 ноября 2020 г.

Мы завершили миграцию инфраструктуры для обработки и хранения данных, которую анонсировали в 2018 году. Помимо жителей Европы, США и Канады, два ЦОД «Лаборатории Касперского» в Цюрихе теперь обслуживают пользователей из ряда стран Азиатско-Тихоокеанского региона, в том числе Австралии, Новой Зеландии, Японии, Бангладеш, Брунея, Камбоджи, Индии, Индонезии, Южной Кореи, Лаоса, Малайзии, Непала, Пакистана, Филиппин, Сингапура, Шри-Ланки, Таиланда и Вьетнама.

В этих ЦОД теперь обрабатываются данные об угрозах, поступающие от клиентов из перечисленных стран. В частности, образцы подозрительных и ранее неизвестных вредоносных файлов, которые пользователи отправляют в Kaspersky Security Network (KSN) для автоматизированного анализа.

Мы открываем центр прозрачности в Северной Америке совместно с CyberNB Association, некоммерческой организацией из Нью-Брансуика (Канада). Он начнет работать в начале 2021 года. Это наш пятый центр прозрачности, в котором партнеры компании смогут изучать исходный код наших решений, получать подробные сведения о методах разработки программного обеспечения и обработки данных и знакомиться с нашими продуктами.

В начале 2020 года центры прозрачности «Лаборатории Касперского» в Сан-Паулу и Куала-Лумпуре заработали в полном объеме. Кроме того, мы вновь открыли свой первый центр прозрачности в Цюрихе, который переместили в центр обработки данных Interxion.

В условиях текущих ограничений на поездки и посещения клиенты и партнеры могут также просмотреть исходный код наших продуктов в удаленном режиме. Чтобы запросить удаленный доступ к центрам прозрачности «Лаборатории Касперского», воспользуйтесь этой ссылкой.

Мы запустили обучающую программу Cyber Capacity Building Program, о которой объявили в мае 2020 года, при поддержке Управления информационной безопасности Вьетнама — в него входят национальная группа экстренного реагирования (CERT) и Национальный центр кибербезопасности (NCSC). Теперь в рамках программы участники смогут изучить фаззинг кода — в этом им помогут эксперты группы Kaspersky ICS CERT. В 2021 году в программе смогут участвовать наши бизнес-партнеры и другие компании. Она позволит им лучше подготовиться к борьбе с киберугрозами, а также научиться оценивать устойчивость систем и сетей к атакам на цепочки поставок. Чтобы запросить доступ к программе, воспользуйтесь этой ссылкой.

Мы расширили список продуктов, участвующих в нашей программе Bug Bounty. Теперь исследователи могут получать вознаграждение за обнаружение уязвимостей в решении Kaspersky Secure Connection, в том числе во входящих в него сторонних модулях. С марта 2018 года благодаря программе Bug Bounty мы устранили 76 багов и выплатили вознаграждения за 37 сообщений об уязвимостях на общую сумму $57 750.

Обновлено 17 февраля 2020 г.

Мы продолжаем развивать нашу глобальную инициативу по информационной открытости (Global Transparency Initiative). Один из новых шагов, который мы сделали в данном направлении, — сертификация по стандарту ISO/IEC 27001:2013. Сертификат выдан независимым центром TÜV AUSTRIA, и он подтверждает, что наши системы защиты данных соответствуют высшим стандартам индустрии.

В рамках сертификации эксперты TÜV AUSTRIA провели аудит механизма доставки вредоносных и подозрительных файлов через инфраструктуру Kaspersky Security Network, а также систему их хранения и доступа к ним — Kaspersky Lab Distributed File System (KLDFS) — в наших датацентрах в Цюрихе, Франкфурте, Торонто и Москве.

Сертификация по стандарту ISO 27001 подтверждает не только высокую эффективность наших решений по борьбе с киберугрозами, но и наше уважительное и бережное отношение к данным клиентов. С сертификатом можно ознакомиться на странице центра TÜV AUSTRIA и на нашем сайте.

Обновлено 14 ноября 2019 г.

Мы планируем открыть новый центр прозрачности в Сан-Паулу, Бразилия, в 2020 году. Это будет наш первый центр в Латинской Америке и четвертый по счету после центров в Цюрихе, Мадриде и Сайберджае, которые уже начали свою работу. Появление нового центра станет еще одним свидетельством нашей открытости и способности оперативно и тщательно решать любые вопросы безопасности.

Продолжается миграция нашей инфраструктуры для хранения и обработки данных. Вслед за перемещением информации европейских клиентов в дата-центр в Швейцарии мы начинаем переносить туда данные пользователей из США и Канады. Эти данные были собраны с согласия пользователей c помощью Kaspersky Security Network (KSN) — нашей передовой облачной системы сбора и обработки сведений о киберугрозах. Мы планируем завершить перенос данных к концу 2020 года и постепенно подключать к программе другие регионы.

Эти планы, о которых мы объявили на втором Парижском форуме мира, прошедшем в ноябре, подтверждают, что мы не на словах, а на деле готовы поддержать «Парижский призыв к доверию и безопасности в киберпространстве» (Paris Call for Trust and Security in Cyberspace), на который мы откликнулись одними из первых.

Посетители центра прозрачности получат возможность больше узнать о разработке наших сервисов и о процессе обработки данных. С помощью наших экспертов можно будет скомпилировать наши продукты из исходного кода, а затем сравнить этот код с публично доступным. Кроме того, мы планируем использовать новый центр для демонстрации нашего портфолио, технологий разработки и работы с данными.

Обновлено 15 августа 2019 г.

Мы рады сообщить, что наш третий центр прозрачности откроется уже в начале 2020 года в городе Сайберджая (Малайзия). Здесь, как и в первых двух центрах, которые мы ранее открыли в Цюрихе и Мадриде, партнеры и правительственные организации смогут ознакомиться с исходным кодом наших продуктов. Площадку для нового центра предоставляет малайзийское агентство по кибербезопасности CyberSecurity Malaysia.

Центр прозрачности в Сайберджае станет первым для компании в Азиатско-Тихоокеанском регионе. Как отметил Евгений Касперский, его открытие показывает, что реализация Global Transparency Initiative идет по плану, и мы продолжаем удовлетворять растущий интерес к тому, как работают наши продукты и технологии.

Обновлено 15 июля 2019 г.

В июне для клиентов и партнеров «Лаборатории Касперского» заработал второй центр прозрачности, расположенный в Мадриде. По нашему плану к 2020 году таких центров будет минимум три.

Но это еще не все. В рамках глобальной инициативы по информационной открытости Global Transparency Initiative «Лаборатория Касперского» успешно прошла независимый аудит контрольных процессов для сервисных организаций (SOC 2 Type 1). Аудиторская компания из «Большой четверки» провела анализ наших внутренних механизмов управления рисками кибербезопасности.

Так, были проанализированы методы контроля за автоматическими обновлениями антивирусных баз продуктов для серверов Windows и Unix. Проверка показала, что процессы разработки и выпуска этих баз защищены от несанкционированных вмешательств. Это еще раз подтверждает, что наши продукты надежны и им можно доверять. По условиям контракта мы можем раскрывать содержимое отчета нашим клиентам и регулирующим органам по запросу.

Кроме того, мы продолжаем расширять нашу программу Bug Bounty и недавно присоединились к движению Disclose.io. Это значит, что теперь у искателей уязвимостей в наших продуктах есть «безопасная гавань», где им гарантирована защита от негативных юридических последствий. Подробнее о Disclose.io читайте в нашем блоге.

Обновлено 2 апреля 2019 г.

Наша глобальная инициатива по информационной открытости преодолела очередную веху: сегодня мы объявляем об открытии второго центра прозрачности, на сей раз в столице Испании. Мадридский центр будет предоставлять информацию о принципах работы продуктов и технологий «Лаборатории Касперского».

Помимо этого, он будет служить брифинг-центром, в котором посетители смогут ознакомиться с нашим портфолио, а также узнать больше о наших методах инжиниринга и обработки данных. Новый центр откроет свои двери для первых гостей уже в июне. Также мы по-прежнему планируем открыть центры прозрачности в Азии и Северной Америке к 2020 году и активно претворяем этот замысел в жизнь.

Перенос оборудования для обработки данных европейских пользователей также идет полным ходом: принимающая инфраструктура уже находится в Швейцарии, а к концу второго квартала мы планируем переместить туда же и сервисы хранения данных. Уже к концу этого года работы по переносу инфраструктуры обработки данных для европейских клиентов должны полностью завершиться.

Также недавно мы опубликовали результаты независимой юридической оценки российских законов и их отношения к «Лаборатории Касперского». Исследование проводил доктор Кай Хобер (Kaj Hober), профессор кафедры международных инвестиций и торгового права Уппсальского университета в Швеции, эксперт по законодательной системе России. Вот его основные выводы:

Федеральная служба безопасности (ФСБ) России может попросить «Лабораторию Касперского» о сотрудничестве, однако компания имеет право не удовлетворять этот запрос.

Законы, обязывающие вендоры помогать ФСБ в расследованиях, относятся только к компаниям, которые предоставляют услуги в области электронной коммуникации. «Лаборатория Касперского» к ним не относится.

Законы, обязывающие компании хранить данные в России и предоставлять ключи для их расшифровки ФСБ, относятся только к поставщикам телекоммуникационных услуг — это снова не про «Лабораторию Касперского».

И напоследок еще одна важная новость: мы расширили нашу программу вознаграждения за найденные уязвимости, добавив в нее Kaspersky Password Manager и Kaspersky Endpoint Security для Linux, а также некоторые другие продукты. В рамках этой программы уже было обнаружено более 50 багов. Исследователям, указавшим на них, выплачено в общей сложности более 17 000 долларов США.

Обновлено 13 ноября 2018 г.

Наш первый центр прозрачности официально открыт. В нем наши доверенные партнёры и правительственные организации смогут проверить исходный код продуктов компании, а также получат доступ к базам данным вирусных сигнатур, обновлениям ПО, документации по безопасной разработке ПО и другим важным материалам.

Также с сегодняшнего дня все вредоносные и подозрительные файлы, поступающие от европейских пользователей продуктов «Лаборатории Касперского», будут обрабатываться в двух наших центрах обработки данных мирового класса в Цюрихе.

Как мы и обещали, «Лаборатория Касперского» наняла одну из четырех крупнейших профессиональных аудиторских фирм для независимой аттестации соответствия наших инженерных практик в области создания и распространения баз данных правилам обнаружения угроз в рамках самого защищенного отраслевого стандарта SSAE 18.

Обновлено 29 августа 2018 г.

Мы достигли значительных успехов и уже реализовали одно важное изменение: увеличили вознаграждение за найденные уязвимости до 100 000 долларов США. Благодаря этому нововведению наши продукты безопаснее и надежнее. Сейчас полным ходом идет следующий этап глобальной инициативы: мы хотим переместить обработку пользовательских данных в Европу и уже устанавливаем необходимое оборудование.

«Лаборатория Касперского» подписала контракты с двумя европейскими провайдерами — Interxion и NTS, — которые к концу 2018 года предоставят новую инфраструктуру для сбора, обработки и хранения пользовательских данных в Цюрихе (Швейцария).

Так будут развеяны опасения заинтересованных сторон из государственного и частного секторов по поводу несанкционированного доступа к данным клиентов. Перенос процессов обработки и хранения данных европейских клиентов начнется в этом году, позднее мы подключим к этому процессу и другие страны. Мы планируем полностью завершить проект в Европе в четвертом квартале 2019 года.

Почему Швейцария?

Выбор пал именно на эту страну по нескольким причинам: с одной стороны, Швейцария находится в центре Европы, с другой стороны, она не входит в ЕС, а следовательно, является независимой страной, самостоятельно принимающей решения. Также нам нравится, что в этом выборе есть определенный символизм, ведь один из главных принципов нашей глобальной инициативы — продемонстрировать нашу независимость, и Швейцария как нельзя лучше подходит для старта.

Швейцария также известна своей высокоразвитой инновационной IT-инфраструктурой и строгими требованиями органов власти к обработке запросов на предоставление данных. Так что данные наших клиентов будут храниться и обрабатываться в одном из самых безопасных мест в мире.

Этапы глобальной инициативы по информационной открытости

Другие составляющие нашей инициативы тоже в процессе разработки.

Мы собираемся открыть наш первый центр прозрачности в Швейцарии. Сейчас идет организационная подготовка, а откроется центр, как только мы будем готовы начать обработку данных в цюрихских ЦОД (это планируется сделать позже в этом году).

Обновление:мы уже открыли четыре центра — в Цюрихе (Швейцария), Мадриде (Испания), Сайберджае (Малайзия) и Сан-Паулу (Бразилия) — и готовимся открыть пятый в Нью-Брансуике (Канада).

Мы намерены перенести и оборудование, обрабатывающее данные клиентов и для других стран. Это довольно сложный процесс, поэтому мы решили проводить его поэтапно, чтобы свести к минимуму возможные неполадки в защите пользователей. Мы вернемся к этой задаче, как только закончим переносить в Швейцарию оборудование для обработки данных европейских граждан.

Обновление: процесс переноса завершен. Помимо жителей Европы, США и Канады, два ЦОД «Лаборатории Касперского» в Цюрихе теперь также обслуживают пользователей из целого ряда стран Азиатско-Тихоокеанского региона.

За переносом должен последовать независимый аудит кода и процессов разработки, и сейчас мы ищем подходящего партнера для этих целей.

Обновление: мы прошли аудит SOC 2 Type 1 в одной из компаний «Большой четверки».

Еще одна часть нашей инициативы — перенос в Швейцарию процесса сборки программного обеспечения и базы данных по правилам обнаружения угроз. Мы приступим к этому этапу после того, как запустим перемещение данных, так как в первую очередь хотим решить проблемы с обвинениями в несанкционированном доступе к информации пользователей.

Реализация глобальной инициативы по информационной открытости очень важна для нас. На такой продолжительный проект уходит много сил и времени, но мы абсолютно уверены, что должны его завершить. Так мы докажем на деле, что «Лаборатория Касперского» полностью открыта, независима и заслуживает доверия клиентов. Мы будем регулярно обновлять этот блог-пост и веб-сайт нашего центра прозрачности по мере поступления новостей о том, как проходит реализация инициативы, чтобы вся информация о мероприятиях по повышению прозрачности была собрана в одном месте.

Советы

Защищаем защиту дома

Уберечь свой дом от ограблений, пожаров и прочих инцидентов часто предлагают с помощью умной техники, в первую очередь камер. Но при этом забывают обезопасить от враждебного воздействия сами системы защиты. Мы восполним этот пробел.