RU
ENG
Прозрачность

Почему «Лаборатория Касперского» решила открыть свой код

Каким образом можно удостовериться в том, что социальная платформа, приложение или облачный сервис не нарушают неприкосновенность частной жизни пользователя и не используют информацию о нем во вред? Обычно никак. Остается довериться самой компании-разработчику и ее сертификатам о надежности хранения данных. «Лаборатория Касперского» решила задать новый стандарт прозрачности в IT-бизнесе: мы открываем доступ к устройству своих защитных решений и запускаем data-центр в надежной юрисдикции — Швейцарии. Объясняем, как это изменит нашу компанию, безопасность наших пользователей и мировую IT-индустрию.

Вопрос 1

Почему именно
в Швейцарию?

Сейчас наши серверы расположены в data-центрах по всему миру, включая Германию, Канаду, Китай и Россию. К нашему сожалению, тот факт, что программный код и данные наших пользователей находятся под разными юрисдикциями, всё чаще делает нас заложником разногласий между правительствами. Мы переносим самое главное — хранение кода, персональные данные пользователей и сборку продуктов — в Швейцарию, которая принципиально занимает политический нейтралитет и обладает одним из самых строгих в мире законодательств в области защиты информации.

Здесь же, в Швейцарии, в Цюрихе, мы открыли «Центр прозрачности», где уполномоченные эксперты и правительственные организации смогут проверить исходный код наших продуктов, а также инструменты, которые мы используем в работе.

Доступ к чему вы открыли?

Мы открыли доступ к следующим материалам

1 6
1
исходный код любого продукта «Лаборатории Касперского», выпущенного на рынок, включая старые версии
2
базы вредоносных
программ
3
обновления
ПО
4
исходный код облачных сервисов, ответственных
за обработку и хранение данных клиентов
5
инструменты ПО, используемые для
создания продуктов (скрипты сборки)
6
документация по разработке
программного обеспечения

Если у компаний, экспертного сообщества, правительств или официальных организаций, отвечающих за вопросы информационной безопасности, возникнут сомнения или вопросы относительно продуктов «Лаборатории Касперского», они смогут направить экспертов в наш «Центр прозрачности», оформив предварительную заявку.

Вопрос 2

Что конкретно мы переносим в Швейцарию?

В первую очередь оборудование по обработке пользовательских данных, поступающих в Kaspersky Security Network (нашей глобальной облачной платформы). Каждый факт доступа к данным из облака будет фиксироваться и находиться под контролем независимой компетентной организации. Это решит проблемы с обвинениями касательно несанкционированного доступа к пользовательской информации.

Еще одна часть нашей инициативы — перенос в Швейцарию процесса сборки программного обеспечения и базы данных по правилам обнаружения угроз.

Вопрос 3

Что это за независимая организация?

Мы выступили с инициативой создать независимую организацию, способную проверить любую компанию, работающую с данными пользователей. В настоящий момент такой организации нет. Очевидно, что появление подобной структуры рано или поздно обязательно произошло бы, и мы прилагаем усилия, чтобы приблизить этот момент, и ищем подходящих партнеров. Продукты IT-корпораций давно объединяют пользователей, находящихся в разных странах, с разными политическими системами. Наличие единой и полностью независимой организации, представляющей интересы пользователей, необходимо для развития всего IT-бизнеса.

Какие базовые возможности должны быть у независимой надзорной организации?

1 3
1
Проверка программного кода продуктов на строгое соответствие заявленным функциям и отсутствие уязвимостей
2
Проверка условий хранения и использования
данных пользователей
3
Контроль доступа к данным пользователей со стороны компаний и правительств
Вопрос 4

Сколько времени займет реализация нашей инициативы?

Для создания инфраструктуры обработки данных потребуется перенести из Москвы в Цюрих и запустить несколько десятков служб. Процесс создания дополнительной инфраструктуры по обработке данных европейских пользователей, как ожидается, полностью завершится к концу 2019 года. Другие сведения, включая обезличенную статистику угроз, начнут обрабатываться в Цюрихе на следующих этапах реализации глобальной инициативы по информационной открытости. В дальнейшем мы намерены перенести оборудование, обрабатывающее данные клиентов, и для других стран.