Global Transparency Initiative: что нового?

30 августа 2018

(Пост обновлен 15 августа 2019 г.)

В октябре 2017 года мы объявили о запуске глобальной инициативы по информационной открытости Global Transparency Initiative, цель которой — показать, и словом, и делом, что нам нечего скрывать и наши клиенты могут на нас положиться.

Глобальная инициатива по информационной открытости Global Transparency Initiative: что изменилось и куда мы движемся.

Мы столкнулись со множеством ложных обвинений в недобросовестном поведении из разных источников. И хотя они не подкреплены ни единым доказательством, мы считаем себя обязанными продемонстрировать, что «Лаборатории Касперского» можно и нужно доверять и что на это есть веские причины. В этом и состоит суть нашей глобальной инициативы, и вот к чему мы пришли к настоящему моменту.

Мы будем обновлять этот пост по мере развития проекта.

Обновлено 15 августа 2019 г.

Мы рады сообщить, что наш третий центр прозрачности откроется уже в начале 2020 года в городе Сайберджая (Малайзия). Здесь, как и в первых двух центрах, которые мы ранее открыли в Цюрихе и Мадриде, партнеры и правительственные организации смогут ознакомиться с исходным кодом наших продуктов. Площадку для нового центра предоставляет малайзийское агентство по кибербезопасности CyberSecurity Malaysia.

Центр прозрачности в Сайберджае станет первым для компании в Азиатско-Тихоокеанском регионе. Как отметил Евгений Касперский, его открытие показывает, что реализация Global Transparency Initiative идет по плану, и мы продолжаем удовлетворять растущий интерес к тому, как работают наши продукты и технологии.

Обновлено 15 июля 2019 г.

В июне для клиентов и партнеров «Лаборатории Касперского» заработал второй центр прозрачности, расположенный в Мадриде. По нашему плану к 2020 году таких центров будет минимум три.

Но это еще не все. В рамках глобальной инициативы по информационной открытости Global Transparency Initiative «Лаборатория Касперского» успешно прошла независимый аудит контрольных процессов для сервисных организаций (SOC 2 Type 1). Аудиторская компания из «Большой четверки» провела анализ наших внутренних механизмов управления рисками кибербезопасности.

Так, были проанализированы методы контроля за автоматическими обновлениями антивирусных баз продуктов для серверов Windows и Unix. Проверка показала, что процессы разработки и выпуска этих баз защищены от несанкционированных вмешательств. Это еще раз подтверждает, что наши продукты надежны и им можно доверять. По условиям контракта мы можем раскрывать содержимое отчета нашим клиентам и регулирующим органам по запросу.

Кроме того, мы продолжаем расширять нашу программу Bug Bounty и недавно присоединились к движению Disclose.io. Это значит, что теперь у искателей уязвимостей в наших продуктах есть «безопасная гавань», где им гарантирована защита от негативных юридических последствий. Подробнее о Disclose.io читайте в нашем блоге.

Обновлено 2 апреля 2019 г.

Наша глобальная инициатива по информационной открытости преодолела очередную веху: сегодня мы объявляем об открытии второго центра прозрачности, на сей раз в столице Испании. Мадридский центр будет предоставлять информацию о принципах работы продуктов и технологий «Лаборатории Касперского».

Помимо этого, он будет служить брифинг-центром, в котором посетители смогут ознакомиться с нашим портфолио, а также узнать больше о наших методах инжиниринга и обработки данных. Новый центр откроет свои двери для первых гостей уже в июне. Также мы по-прежнему планируем открыть центры прозрачности в Азии и Северной Америке к 2020 году и активно претворяем этот замысел в жизнь.

Перенос оборудования для обработки данных европейских пользователей также идет полным ходом: принимающая инфраструктура уже находится в Швейцарии, а к концу второго квартала мы планируем переместить туда же и сервисы хранения данных. Уже к концу этого года работы по переносу инфраструктуры обработки данных для европейских клиентов должны полностью завершиться.

Также недавно мы опубликовали результаты независимой юридической оценки российских законов и их отношения к «Лаборатории Касперского». Исследование проводил доктор Кай Хобер (Kaj Hober), профессор кафедры международных инвестиций и торгового права Уппсальского университета в Швеции, эксперт по законодательной системе России. Вот его основные выводы:

Федеральная служба безопасности (ФСБ) России может попросить «Лабораторию Касперского» о сотрудничестве, однако компания имеет право не удовлетворять этот запрос.

Законы, обязывающие вендоры помогать ФСБ в расследованиях, относятся только к компаниям, которые предоставляют услуги в области электронной коммуникации. «Лаборатория Касперского» к ним не относится.

Законы, обязывающие компании хранить данные в России и предоставлять ключи для их расшифровки ФСБ, относятся только к поставщикам телекоммуникационных услуг — это снова не про «Лабораторию Касперского».

И напоследок еще одна важная новость: мы расширили нашу программу вознаграждения за найденные уязвимости, добавив в нее Kaspersky Password Manager и Kaspersky Endpoint Security для Linux, а также некоторые другие продукты. В рамках этой программы уже было обнаружено более 50 багов. Исследователям, указавшим на них, выплачено в общей сложности более 17 000 долларов США.

Обновлено 13 ноября 2018 г.

Наш первый центр прозрачности официально открыт. В нем наши доверенные партнёры и правительственные организации смогут проверить исходный код продуктов компании, а также получат доступ к базам данным вирусных сигнатур, обновлениям ПО, документации по безопасной разработке ПО и другим важным материалам.

Также с сегодняшнего дня все вредоносные и подозрительные файлы, поступающие от европейских пользователей продуктов «Лаборатории Касперского», будут обрабатываться в двух наших центрах обработки данных мирового класса в Цюрихе.

Как мы и обещали, «Лаборатория Касперского» наняла одну из четырех крупнейших профессиональных аудиторских фирм для независимой аттестации соответствия наших инженерных практик в области создания и распространения баз данных правилам обнаружения угроз в рамках самого защищенного отраслевого стандарта SSAE 18.

Обновлено 29 августа 2018 г.

Мы достигли значительных успехов и уже реализовали одно важное изменение: увеличили вознаграждение за найденные уязвимости до 100 000 долларов США. Благодаря этому нововведению наши продукты безопаснее и надежнее. Сейчас полным ходом идет следующий этап глобальной инициативы: мы хотим переместить обработку пользовательских данных в Европу и уже устанавливаем необходимое оборудование.

«Лаборатория Касперского» подписала контракты с двумя европейскими провайдерами — Interxion и NTS, — которые к концу 2018 года предоставят новую инфраструктуру для сбора, обработки и хранения пользовательских данных в Цюрихе (Швейцария).

Так будут развеяны опасения заинтересованных сторон из государственного и частного секторов по поводу несанкционированного доступа к данным клиентов. Перенос процессов обработки и хранения данных европейских клиентов начнется в этом году, позднее мы подключим к этому процессу и другие страны. Мы планируем полностью завершить проект в Европе в четвертом квартале 2019 года.

Почему Швейцария?

Выбор пал именно на эту страну по нескольким причинам: с одной стороны, Швейцария находится в центре Европы, с другой стороны, она не входит в ЕС, а следовательно, является независимой страной, самостоятельно принимающей решения. Также нам нравится, что в этом выборе есть определенный символизм, ведь один из главных принципов нашей глобальной инициативы — продемонстрировать нашу независимость, и Швейцария как нельзя лучше подходит для старта.

Швейцария также известна своей высокоразвитой инновационной IT-инфраструктурой и строгими требованиями органов власти к обработке запросов на предоставление данных. Так что данные наших клиентов будут храниться и обрабатываться в одном из самых безопасных мест в мире.

Этапы глобальной инициативы по информационной открытости

Другие составляющие нашей инициативы тоже в процессе разработки.

Мы собираемся открыть наш первый центр прозрачности в Швейцарии. Сейчас идет организационная подготовка, а откроется центр, как только мы будем готовы начать обработку данных в цюрихских ЦОД (это планируется сделать позже в этом году). [ОБНОВЛЕНИЕ: Мы уже открыли два центра — в Цюрихе и Мадриде, — и готовимся открыть третий.]

Мы намерены перенести и оборудование, обрабатывающее данные клиентов и для других стран. Это довольно сложный процесс, поэтому мы решили проводить его поэтапно, чтобы свести к минимуму возможные неполадки в защите пользователей. Мы вернемся к этой задаче, как только закончим переносить в Швейцарию оборудование для обработки данных европейских граждан. [ОБНОВЛЕНИЕ: Процесс переноса уже запущен, и для европейских граждан он будет завершен в 2019 году.]

За переносом должен последовать независимый аудит кода и процессов разработки, и сейчас мы ищем подходящего партнера для этих целей. [ОБНОВЛЕНИЕ: мы прошли аудит SOC 2 Type 1 в одной из компаний «Большой четверки».]

Еще одна часть нашей инициативы — перенос в Швейцарию процесса сборки программного обеспечения и базы данных по правилам обнаружения угроз. Мы приступим к этому этапу после того, как запустим перемещение данных, так как в первую очередь хотим решить проблемы с обвинениями в несанкционированном доступе к информации пользователей.

Реализация глобальной инициативы по информационной открытости очень важна для нас. На такой продолжительный проект уходит много сил и времени, но мы абсолютно уверены, что должны его завершить. Так мы докажем на деле, что «Лаборатория Касперского» полностью открыта, независима и заслуживает доверия клиентов. Мы будем регулярно обновлять этот блог-пост и веб-сайт нашего центра прозрачности по мере поступления новостей о том, как проходит реализация инициативы, чтобы вся информация о мероприятиях по повышению прозрачности была собрана в одном месте.