transparantie
Een aantal maanden geleden kondigden we aan dat we op het punt stonden ons Global Transparency Initiative te lanceren. Begin deze lente ontwikkelden we verder in die richting door onze Bug Bounty-vergoeding te verhogen tot € 100.000,-. Vandaag zijn we klaar om nog een belangrijke stap te maken: We verplaatsen een groot deel van onze infrastructuur naar Zurich, Zwitserland, inclusief de software-assemblage en servers die data afkomstig van het Kaspersky Security Network (KSN) opslaan en verwerken, en we bouwen hier ons eerste Transparency Center.
Om gebruikers te helpen begrijpen wat het doel en het belang van dit initiatief is, hebben we de volgende Q&A opgesteld.
Waar gaat de software-assemblage en KSN-data over?
Allereerst, onze bouwsystemen – of software-assemblagelijn” – die werken aan de verzameling en creatie van Kaspersky Labs producten en updates van detectieregels voor dreigingen, zullen vanaf nu in Zurich zitten. Op die manier zal onze software verzameld en gesigneerd worden in Zwitserland onder de supervisie van een onafhankelijke derde partij, voordat deze naar de consument verzonden wordt.
Ten tweede, verplaatsen we de servers waarop data van klanten uit Europa, Noord-Amerika, Singapore, Australië, Japan en Zuid-Korea worden opgeslagen en verwerkt naar Zürich en meer landen zullen volgen. Deze informatie delen gebruikers vrijwillig via het Kaspersky Security Network (KSN). Deze handeling zal ook een onafhankelijke supervisie krijgen.
Wat is het doel van de verplaatsing van de software-assemblage en KSN-data?
Hoewel het huidige beveiligingsniveau in onze infrastructuur voor dataverwerking en softwareontwikkeling extreem hoog is, werken we constant aan de verbetering ervan. Om bestendiger te worden tegen risico’s in de toeleveringsketen en transparantie naar onze klanten, is het belangrijk dat de broncode gecontroleerd wordt in het Transparency Center en dat de code in producten die naar de consument gaan, ook daadwerkelijk dezelfde code is. Daarom verplaatsen we de verzameling- en signeerfaciliteit ook naar Zwitserland.
Hetzelfde geldt voor de data die door het Kaspersky Security Network (KSN) worden verwerkt: de opslag in Zwitserland onder supervisie van een onafhankelijke organisatie betekent dat alle toegang tot deze data hermetisch afgesloten is – en de logs kunnen op ieder moment ingezien worden, mochten er zorgen zijn.
Wat is het Transparency Center eigenlijk?
Het is een instelling waar vertrouwde partners en overheidsactoren de broncode van onze producten, en daarnaast ook de tools die we gebruiken, kunnen beoordelen. Deze instelling biedt toegang tot:
- Veilige documentatie van softwareontwikkeling,
- De broncode van ieder openbaar gepubliceerd product (inclusief oude versies),
- Databases van detectieregels voor bedreigingen,
- De broncode van clouddiensten verantwoordelijk voor het ontvangen en opslaan van KSN-data die zich in Europa en Noord-Amerika bevinden,
- Software tools, gebruikt voor het maken van een product (de bouwscripts), databases, en clouddiensten.
Waarom doen jullie dit?
Het belangrijkste doel van ons Global Transparency Initiative is het uitvoeren van alle beoordelingsprocessen op een manier dat er niet alleen uitgegaan hoeft te worden van wat wij zeggen over de integriteit van onze producten, updates, detectieregels, dataopslag, en dergelijke. Verantwoordelijke stakeholders van overheids- en privéorganisaties met relevante expertise zullen in staat zijn onze software in te zien en te verzekeren dat alles werkt zoals verwacht.
Wat verzekert dat jullie je aan de spelregels houden?
Een onafhankelijke derde partij zal de betrouwbaarheid beoordelen van alles wat er gebeurt in onze faciliteit in Zurich. De organisatie zal zoveel mogelijk toegang hebben. De functies omvatten:
- Toezien op en loggen van gevallen dat Kaspersky Lab werknemers toegang krijgen tot metadata die via het Kaspersky Security Network binnenkomen en worden opgeslagen in het Zwitserse datacentrum;
- Organiseren en uitvoeren van een beoordeling van de broncode;
- Andere taken uitvoeren met als doel de betrouwbaarheid van Kaspersky Labs producten beoordelen en verifiëren.
Kaspersky Lab ondersteunt de creatie van een nieuwe, non-profit organisatie om deze verantwoordelijkheid op zich te nemen, niet alleen voor het bedrijf, maar voor andere partners en leden die zich graag willen aansluiten. We willen benadrukken dat het Transparency Center en de organisatie die de supervisie uitvoert twee compleet verschillende en onafhankelijke entiteiten ijn.
Waarom Zwitserland?
We hebben gekozen voor deze locatie om twee redenen. Ten eerste, omdat Zwitserland al twee eeuwen zijn neutraliteit heeft weten te behouden. Ten tweede, omdat het land een strenge wetgeving op het gebied van dataprotectie handhaaft. We geloven dat beide eigenschappen van Zwitserland de perfecte locatie maken om een deel van onze gevoelige infrastructuur heen te sturen.
Gaan jullie meer Transparency Centers openen?
Er liggen plannen om extra centra te openen in Noord-Amerika en Azië tot aan 2020. We kunnen hier echter nog niet meer details over geven.
Hoe snel zal deze verplaatsing gaan?
Het zal enige tijd duren. Verplaatsing van onze software-assemblage, het eenvoudige deel van het proces, zal eind 2018 zijn afgerond. Het creëren van een infrastructuur voor dataverwerking vereist dat tientallen diensten verplaatst moeten worden van Moskou naar Zurich en bovendien moeten deze geïmplementeerd worden. We zijn gestart met dit project en willen het eind 2019 afgerond hebben.
Voor zover we weten, zijn we het eerste cybersecuritybedrijf dat een dergelijk project begint. Het feit dat we pioniers zijn, maakt het in zekere zin nog ingewikkelder, maar we staan er helemaal achter dat het hoog tijd is om softwareontwikkeling transparant te maken, en daarom zal ieder bedrijf vroeg of laat hetzelfde moeten doen. De eersten zijn, geeft ons in dat opzicht een voorsprong.
Tips