Status-update van Global Transparency Initiative

In oktober 2017 kondigden we het Global Transparency Initiative aan. Het doel: de wereld laten zien dat we niets te verbergen hebben en dat onze klanten ons kunnen vertrouwen. De bedoeling was om het ook te bewijzen – niet alleen om het vragen van vertrouwen.

We zullen deze post updaten naarmate het project vordert.

Update: 17 november 2020

De verplaatsingini van dataverwerking en dataopslag die in november 2018 werd aangekonigd is voltooid. Behalve Europa, de Verenigde Staten en Canada, heeft Kaspersky de dataopslag en -verwerking ook verplaatst voor een aantal landen in de regio Azië-Pacific, waaronder Australië, Nieuw-Zeeland, Japan, Bangladesh, Brunei, Cambodia, India, Indonesië, Zuid-Korea, Laos, Maleisië, Nepal, Pakistan, de Filipijnen, Singapore, Sri Lanka, Thailand en Vietnam.

We klantengegevens die zijn gerelateerd aan dreigingen en worden gedeeld door gebruikers op die locaties in twee datacentra in Zürich, Zwitserland. Deze gegevens omvatten verdachte of voorheen onbekende schadelijke bestanden die onze producten naar het Kaspersky Security Network (KSN) verzonden voor geautomatiseerde malware-analyses.

We kondigen de opening van ons Noord-Amerikaanse Transparency Center in samenwerking met de CyberNB Associationaan, een nonprofitorganisatie in New Brunswick, Canada. Deze faciliteit zal begin 2021 operatief worden. De vijfde locatie van het bedrijf biedt Kaspersky’s partners de mogelijkheid om onze broncode te herzien en meer te weten te komen over engineering- en dataverwerkingspraktijken, evenals ons productportfolio.

Eerder in 2020 werden de Transparency Centers in São Paulo en Kuala Lumpur al volledig operationeel. Kaspersky heeft ook zijn eerste Transparency Center in Zürich opnieuw opgestart, wat we naar het Interxion-datacentrum hebben verplaatst.

Gezien de lastige reis- en bezoekersbeperkingen die momenteel van kracht zijn, kunnen klanten en partners de broncode ook op afstand herzien. Ga om toegang op afstand tot Kaspersky Transparency Centers aan te vragen naar deze link.

We hebben het Cyber Capacity Building Program gelanceerd, dat in mei 2020 werd aangekondigd, evenals Vietnam’s Authority of Information Security (AI), dat het nationale CERT and National Cyber Security Centre (NCSC) van het land omvat. Het programma omvat nu een aanvullende sectie betreffende fuzz-testen, uitgevoerd door Kaspersky’s ICS CERT-team. In 2021 zal het programma beschikbaar zijn voor zakelijke partners en andere bedrijven om hun paraatheid te verbeteren en om de weerstand van hun systemen en netwerken tegen supply-chain-risico’s te beoordelen. Volg om toegang aan te vragen deze link.

We hebben uit productbereik van ons bug bounty-programma. Onderzoekers kunnen nu kwetsbaarheidsrapporten indienen die te maken hebben met de Kaspersky VPN Secure Connection, inclusief softwaremodules van derden die deel uitmaken van de VPN-oplossing. Sinds maart 2018 heeft ons programma 76 opgelost bugs en 37 rapporten beloond met een totaalbedrag aan beloningn van $ 57.750.

Update: 13 februari 2020

We blijven vooruitgang boeken in de ontwikkeling van ons Global Transparency Initiative. Als deel van dit proces hebben we de certificatie ISO/IEC 27001:2013 verkregen. Deze certificatie, uitgegeven door TÜV AUSTRIA, bevestigt dat onze gegevensbeveiligingssystemen, inclusief Kaspersky Security Network voldoen aan de best practices binnen de industrie.

Om gecertificeerd te worden moeten we onze inachtneming van de standaarden voor het implementeren, monitoren, onderhouden en continue verbeteren van ons Information Security Management System (ISMS) bewijzen.

De beoordeling door het onafhankelijke certificatie-orgaan TÜV AUSTRIA omvatte managementsystemen voor de levering van kwaadaardige en verdachte bestanden met gebruik van de infrastructuur van het Kaspersky Security Network (KSN), evenals de veilige opslag en toegang tot deze bestanden in ons Distributed File System (KLDFS), en dit omvatte onze datacentra in Zürich, Zwitserland; Frankfurt, Duitsland; Toronto, Canada; en Moskou, Rusland.

De certificatie is openbaar beschikbaar op TÜV AUSTRIA’s Certificate Directory en ook op onze website. De ISO 27001-audit garandeert daarnaast aan onze partners en klanten dat onze producten en diensten niet alleen het beste zijn als het gaat om bescherming tegen cyberdreigingen, maar ook dat we klantengegevens met het hoogste niveau van respect en zorg behandelen.

Update: 13 november 2019

Vandaag kondigen we ons vierde Transparency Center aan, dat gepland staat om in januari 2020 in São Paulo, Brazilië geopend te worden. Het wordt ons eerste Transparency Center in Latijns-Amerika, dat volgt na de Europese centra in Madrid en Zürich en het Azië-Pacific Transparency Center in Cyberjaya, Maleisië. Het nieuwe centrum is een verdere reflectie van ons streven naar aantonen dat we transparant zijn en eventuele beveiligingsproblemen snel en grondig kunnen aanpakken.

Onze relocatie van data-opslag en verwerkingsinfrastructuur vordert. Volgend op de migratie van onze Europese klantengegevens naar Zwiterland, beginnen we nu ook met het verhuizen van klantengegevens naar de Verenigde Staten en Canada. De date wordt vrijwillig gedeeld met het Kaspersky Security Network (KSN), ons geavanceerde, cloud-gebaseerde systeem dat automatisch cyberdreiging-gerelateerde data verwerkt. We verwachten om deze fase van de migratie tegen het einde van 2020 te voltooien en zullen geleidelijk andere regio’s toevoegen.

Als vroege ondertekenaar van de Paris Call voor vertrouwen en veiligheid in cyberspace waren we trots om deze stappen aan te kondigen op het Paris Peace Forum 2019.

Bezoekers van ons Transparency Center krijgen de kans om meer te wetent e komen over engineering- en data-verwerkingspraktijken, om met assistentie van onze experts de software van Kaspersky vanaf de broncode samen te stellen, en deze te vergelijken met de publiek toegankelijke code. We zullen het Center ook gebruiken voor het demonstreren van ons portfolio, evenals onze engineering- en data-verwerkingspraktijken.

Update: 15 augustus 2019

Met groot genoegen kondigen we de opening aan van ons derde Transparency Center begin 2020 in Cyberjaya, Maleisië. Naast Zürich en Madrid is ook dit Transparency Center een betrouwbare locatie voor onze partners en betrokken overheidsinstanties. Het is een plek waar relaties de broncode van onze producten kunnen inzien. Het zal gehost worden door CyberSecurity Maleisië, het cybersecurity-bureau van het land.

Onze CEO Eugene Kaspersky vermeldt dat dit het eerste Transparency Center is van het bedrijf in de APAC-regio en dat het ons baanbrekende Global Transparency Initiative op de kaart zet. Het is erop gericht tegemoet te komen aan de groeiende vraag van partners en belanghebbenden naar meer informatie over de werking van onze producten en technologieën.

Update: 11 juli 2019

In juni hebben we ons tweede Transparency Center geopend in Madrid voor klanten en partners van Kaspersky. Ons doel is om op zijn minst drie Transparency Centers wereldwijd te hebben tegen 2020.

Maar er is meer. Een belangrijk onderdeel van ons Global Transparency Initiative, namelijk de afronding van de beoordeling van het beheer van veiligheidsrisico’s van Kaspersky door de externe partij Service Organization Controls (SOC2 Type 1). Een van de Big Four-accountants heeft ons beheer van algemene automatische updates van antivirus databases voor Windowsproducten en Unix Servers beoordeeld en de conclusie is dat de ontwikkeling en publicatie van deze databases beschermd zijn tegen ongeautoriseerde handelingen. Dit dient als extra bevestiging dat onze producten veilig en betrouwbaar zijn. Volgens de voorwaarden van ons contract mogen we op aanvraag het verslag vrijgeven aan klanten en regelgevers.

Naast het feit dat we ons Bug Bounty programma blijven uitbreiden, zijn we onlangs aangesloten bij de Disclose.io beweging. Dit betekent dat we nu een Veilige Haven hebben gecreëerd voor onderzoekers van kwetsbaarheden, zodat ze onze producten kunnen bestuderen met de garantie dat er geen juridische procedures tegen hen worden gestart. Lees meer over Disclose.io in onze blogpost.

Update: 2 april 2019

Ons Global Transparency Initiative boekt flinke vooruitgang: Vandaag kondigen we de opening van een tweede Transparency Center aan. Het zal zijn deuren openen in Madrid, Spanje, en zal als doel hebben informeren over hoe Kaspersky producten en technologieën in hun werk gaan. Daarbij komt dat het nieuwe Center ook als een verslagcentrum dient waar bezoekers kunnen leren over ons productportfolio, engineering en dataverwerking. We verwachten de eerste bezoekers in juni aanstaande. Er zijn ook plannen om Transparency Centers in Azië en Noord-Amerika te openen in 2020.

De verplaatsing van onze dataverwerkingsinfrastructuur is ook in volle gang. We hebben de ontvangende infrastructuur al verplaatst naar Zwitserland en we hebben plannen om de verplaatsing van het opslaggedeelte afgerond te hebben tegen het einde van Q2. De verwachting is dat de volledige verplaatsing van dataverwerking voor Europese consumenten tegen het einde van dit jaar afgerond zal zijn.

Daarnaast hebben we de resultaten gepubliceerd van een vrijwillig derde-partij assessment van Russische wetgeving en hoe ze van toepassing zijn op Kaspersky. Het assessment werd geleid door Dr. Kaj Hober, professor van International Investment and Trade Law in Uppsala University in Zweden en een deskundige in het Russische wetgevingssysteem. De hoofzakelijke bevindingen zijn:

• Kaspersky kan gevraagd worden om mee te werken met de federale veiligheidsdienst (FSB), maar het bedrijf is niet verplicht dit te doen.
• Wetten die leveranciers verplichten om de FSB bij te staan met operationele-onderzoeksactiviteiten hebben alleen betrekking op bedrijven die elektronische communicatieservices bieden, en dat geldt niet voor Kaspersky.
• Wetten die bedrijven verplichten om data op te slaan in Rusland, en het te verstrekken aan de FSB, samen met de de-codificatie, geldt alleen voor telecomproviders en ook dit is niet het geval bij Kaspersky.

Tot slot hebben we ons Bug Bounty-programma verbeterd door Kaspersky Password Manager en Kaspersky Endpoint Security for Linux onder andere, aan de reikwijdte van de software-analyse. Hierdoor zijn er meer dan 50 bugs ontdekt en hebben de onderzoekers een beloning van meer dan $ 17.000 gekregen.

Update: 13 november 2018

Vanaf vandaag is ons eerste Transparantiecentrum officieel geopend, die voor geautoriseerde partners de inzage van de bedrijfscode, software updates, en detectieregels voor bedreigingen mogelijk maakt.

Vandaag begint ook de behandeling van alle kwaadaardige en verdachte bestanden die gebruikers van Kaspersky producten delen in Europa in onze twee datafaciliteiten van wereldklasse in Zürich.

Zoals beloofd heeft Kaspersky contact opgenomen met een van de Grote Vier firma’s voor professionele services om een controle uit te voeren, volgens de SSAE 18-standaard, op de technische praktijken rondom de creatie en distributie van databases voor detectieregels voor bedreigingen, om op objectieve wijze te bevestigen of deze in overeenstemming zijn met de hoogste industrienormen voor veiligheidsservices.

Update: 29 augustus 2018

We hebben wederom vooruitgang geboekt. We hadden al een van de grootste veranderingen geïmplementeerd, het verhogen van onze Bug Bounty-vergoeding tot € 100.000. Op deze manier zijn onze producten veiliger en betrouwbaarder geworden. Op dit moment zijn we met de nieuwe fase van ons Global Transparency Initiative gestart – waarbij de apparatuur die nodig is voor het verplaatsen van de dataverwerking naar Europa wordt geïnstalleerd.

Kaspersky heeft ook contracten ondertekend met twee Europese providers — Interxion en NTS — om de nieuwe infrastructuur te bieden die nodig is om gebruikersdata te verzamelen, te verwerken en op te slaan in Zürich, Zwitserland, vóór het einde van 2018, om op deze manier de zorgen van stakeholders uit de publieke en privésector aan te pakken, zorgen die met name gaan over de ongeautoriseerde toegang tot data afkomstig van vrijwillige Kaspersky Security Network-gebruikers. De verplaatsing van dataverwerking en opslag voor Europese landen zal later dit jaar beginnen, gevolgd door andere landen. De volledige verplaatsing voor Europese landen zal in Q4 van 2019 afgerond zijn.

Waarom Zwitserland?

We kozen om voor deze locatie om verschillende redenen. Aan de ene kant, omdat Zwitserland in het hart van Europa ligt en aan de andere kant, omdat het niet onderdeel uitmaakt van de Europese Unie, waardoor het een onafhankelijk land is dat zijn eigen beslissingen kan nemen. En omdat een van de hoofdprincipes van ons Global Transparency Initiative is het laten zien dat we onafhankelijk zijn, is er geen betere plaats dan Zwitserland om hiermee te beginnen.

Zwitserland staat ook bekend om zijn zeer innovatieve en geavanceerde IT-landschap, en om de strenge reguleringen voor dataverwerkingsverzoeken van autoriteiten. Data van onze gebruikers worden dus opgeslagen en verwerkt op een van de veiligste locaties ter wereld.

De fases van het Global Transparency Initiative

Er worden ook andere elementen van ons Global Transparency Initiative ontwikkeld.

Op de planning staat de opening van ons eerste Transparency Center in Zwitserland. Dit wordt nu opgezet en zal geopend worden zodra we klaar zijn om met de dataverwerking in de Zurich datacentra te beginnen (ingepland voor later dit jaar).

UPDATE: We hebben vier Transparency Centers geopend: in Zürich, Zwitserland; Madrid, Spanje, Cyberjaya, Malseisië en São Paolo, Brazilië. We staan op het punt om nog een Center in New Brunswick, Canada te openen.

We zijn vastbesloten om ook de verplaatsing van de faciliteiten voor de verwerking van Kaspersky Security Network-data voor andere landen in te voeren. Dit is een nogal ingewikkeld proces, en om mogelijke hinder in de veiligheid van onze gebruikers te voorkomen, hebben we besloten om vast te houden aan de stapsgewijze invoering. Dus we komen hierop terug, nadat we klaar zijn met de verplaatsing van de dataverwerkingsfaciliteiten voor Europese burgers naar Zwitserland.

UPDATE: De verplaatsing van gegevensverwerking en -opslag is voltooid. Behalve Europa, de Verenigde Staten en Canada, heeft Kaspersky de dataopslag en -verwerking ook verplaatst voor een aantal landen in de regio Azië-Pacific.

De beoordeling van het proces en van de code door een onafhankelijke derde partij staat ook gepland voor na de verplaatsing, omdat we momenteel een geschikte partner aan het zoeken zijn.

UPDATE: Een van de Big Four-accountants heeft de audit afgerond met als verslaggevingskader SOC2 Type 1.

Een ander onderdeel van onze plannen is het verplaatsen van de software-assemblage en de database van detectieregels voor bedreigingen naar Zwitserland. Het aanpakken van de zorgen over ongeautoriseerde toegang tot data van KSN-gebruikers was echter onze hoogste prioriteit, dus deze verschuiving zal gebeuren nadat we de dataverplaatsing zijn gestart.

De implementatie van het Global Transparency Initiative is een zeer belangrijk proces voor ons. We hebben er alle vertrouwen in dat tijd en inspanning nodig zijn in dit grootschalig project waarmee we willen bewijzen dat Kaspersky volledig transparant, onafhankelijk en betrouwbaar is. Zodra we meer nieuws hebben over de lopende processen van ons Global Transparency Initiative, zullen we deze blog en onze website Transparantie Centrum updaten, zodat iedereen informatie op één plek kan vinden over onze transparantie-gerelateerde activiteiten.