⚬ De in november 2018 aangekondigde verhuizing van de gegevensverwerking en -opslag is voltooid. Kaspersky heeft de gegevensopslag en -verwerking niet alleen voor Europa, de Verenigde Staten en Canada verplaatst, maar ook voor een aantal landen in de regio Azië-Pacific. Op de lijst met landen in de regio Azië-Pacific die worden verplaatst in het kader van het GTI staan Australië, Nieuw-Zeeland, Japan, Bangladesh, Brunei, Cambodja, India, Indonesië, Zuid-Korea, Laos, Maleisië, Nepal, Pakistan, Filipijnen, Singapore, Sri Lanka, Thailand en Vietnam. Gegevens op het gebied van bedreigingen voor klanten die worden gedeeld door gebruikers in deze locaties worden nu verwerkt in twee datacenters in Zürich, Zwitserland. Hiertoe behoren ook verdachte of voorheen onbekende schadelijke bestanden die de producten van het bedrijf voor geautomatiseerde malware-analyse naar het KSN (Kaspersky Security Network) verzenden.

⚬ Kaspersky kondigt in samenwerking met de CyberNB Association de opening van het North American Transparency Center in het Canadese New Brunswick aan. De faciliteit wordt begin 2021 in gebruik genomen en wordt de vijfde locatie van het bedrijf waar Kaspersky-partners de kans krijgen de broncode te evalueren en meer informatie te verkrijgen over de engineering- en gegevensverwerkingprocessen en over het productportfolio van het bedrijf. De CyberNB Association is een non-profitorganisatie die is gevestigd Fredericton in de provincie New Brunswick in Canada. Ze gebruiken een ecosysteem om de resultaten van cybersecurity te verbeteren aan de hand van betrokkenheid en samenwerking met belanghebbenden uit de private sector en bij de overheid, academici, de kennis en ontwikkeling van vaardigheden, talentwerving en de ontwikkeling van een personeelsbestand. De Transparency Centers in São Paulo en Kuala Lumpur waren al eerder in 2020 volledig operationeel. Kaspersky heeft ook het eerste Transparency Center in Zürich weer gestart, na de verhuizing naar het Interxion-datacenter. In de toekomst wil het bedrijf haar klanten en vertrouwde partners unieke toegang verschaffen om de besturingselementen voor gegevensbeveiliging zelf te kunnen ervaren, naast rechtstreekse toegang tot de werkwijzen voor gegevensbeheer van het bedrijf met het oog op externe evaluatie en onderzoeken.
Gezien de complicerende beperkingen op het gebied van reizen en bezoekers kunnen klanten en partners de broncode nu ook op afstand evalueren. Volg deze link om toegang op afstand tot de Kaspersky Transparency Centers aan te vragen.

⚬ Het Cyber Capacity Building Program werd in mei 2020 aangekondigd en is gelanceerd in aanvulling op de AI (Authority of Information Security) van Vietnam, die de het nationale CERT en NCSC (National Cyber Security Centre) omvat. Het programma is uitgebreid met een aanvullend gedeelte over fuzz-testen van de code, uitgevoerd in samenwerking met het ICS CERT Team van Kaspersky. In 2021 wordt het programma ter beschikking gesteld van zakelijke partners en andere bedrijven, zodat deze hun gereedheid kunnen verbeteren en kunnen meten in hoeverre hun systemen en netwerken bestand zijn tegen risico's in de toeleveringsketen. Volg deze link om toegang aan te vragen.

⚬ Het Bug Bounty Program van Kaspersky omvat nu ook Kaspersky VPN Secure Connection. Onderzoekers kunnen nu rapporten over kwetsbaarheden in de Kaspersky VPN Secure Connection indienen, waaronder over softwaremodules van derde partijen die deel uitmaken van de VPN-oplossing. In totaal zijn er sinds maart 2018 76 bugs opgelost en zijn 37 rapporten beloond met vergoedingen van in totaal $ 57.750.

⚬Kaspersky heeft het Cyber Capacity Building Program ontwikkeld , een programma met gerichte training voor het evalueren van de productbeveiliging. Deze training is zowel online als offline beschikbaar en is ontworpen om bedrijven, overheidsinstanties en academici te helpen praktische tools en kennis op het gebied van beveiligingsevaluaties te ontwikkelen. De training biedt een introductie op het gebied van evaluatie van productbeveiliging en dreigingsmodellering, evenals evaluatie van de broncode en beheer van zwakke plekken. Deelname aan het programma is gratis en in het derde kwartaal van 2020 wordt een pilotproject gestart voor overheidsinstanties en academici. Later in het jaar is de training beschikbaar voor bedrijven. Heb je interesse? Klik hier voor meer informatie.

⚬ Kaspersky heeft toegang op afstand tot de Transparency Center-diensten mogelijk gemaakt in de vorm van een 'blauwe-piste'-evaluatieoptie. Hiermee kun je vertrouwd raken met de engineering-praktijken en de ongeëvenaarde normen op het gebied van gegevensbescherming van het bedrijf. De beveiligingsexperts van Kaspersky staan voor je klaar om vragen te beantwoorden over de werkwijzen op het gebied van gegevensverwerking van het bedrijf en over het functioneren van de oplossingen. Ze geven ook live demonstraties van een broncode-evaluatie. Ga naar de website om een blauwe-piste evaluatie-optie aan te vragen.

⚬ Als een van de pioniers in de industrie heeft Kaspersky haar ethische principes voor RVD (Responsible Vulnerability Disclosure, oftewel Verantwoorde publicatie van kwetsbaarheden) gepubliceerd om de transparantie en efficiëntie van de aanpak van zwakke plekken te verbeteren en de risico's voor gebruikers te verlagen. Deze principes zijn gebaseerd op onze uitgebreide ervaring op het gebied van cybersecurity en zijn afgestemd op de door FIRST verschafte richtlijnen.

⚬ Kaspersky werkt voortdurend aan haar Bug Bounty Program. Sinds maart 2018 is het bedrijf op de hoogte gesteld van 66 bugs. In totaal zijn 26 van deze meldingen beloond met vergoedingen van in totaal $ 49.250.

⚬ Eerder dit jaar heeft Paris Call haar nieuwe website officieel gelanceerd. Kaspersky was een van de eerste bedrijven die de negen principes voor het behouden van een veilige, open en op samenwerking gerichte cyberspace onderschreven. Het Global Transparency Initiative van Kaspersky wordt vermeld als een uitstekend voorbeeld van de implementatie van het zesde principe, omdat dit betere transparantie en verantwoordelijkheid op het gebied van cybersecurity promoot

⚬ Global Transparency Initiative van Kaspersky wordt ook genoemd als een voorbeeld van een beste werkwijze voor meer transparantie en vertrouwen in een aantal internationale documenten, zoals het rapport van het VN Institute for Disarmament Research (UNIDIR) over beveiliging van de toeleveringsketen en de beste werkwijzen van het IIC (Industrial Internet Consortium) voor betrouwbare software-ontwikkeling.

⚬ Kaspersky verplaatst gegevens van haar klanten in de VS en Canada naar Zwitserland. Dit volgt op de verhuizing van gegevensverwerking voor de Europese gebruikers van het bedrijf. De gegevens worden vrijwillig gedeeld met het KSN (Kaspersky Security Network). Dit is een geavanceerd cloudsysteem dat automatisch aan cyberdreigingen gerelateerde gegevens verwerkt, inclusief verdachte of voorheen onbekende schadelijke bestanden die de producten van het bedrijf naar KSN verzenden voor automatische malware-analyse. Kaspersky wil deze verhuizing eind 2020 hebben voltooid.

⚬ Kaspersky gaat een Transparency Center openen in São Paulo in Brazilië. Dit zal fungeren als een speciale beveiligingsfaciliteit voor vertrouwde partners in Latijns-Amerika, waar de broncode van het bedrijf kan worden bestudeerd en waar meer informatie kan worden verkregen over de engineering- en gegevensverwerkingspraktijken en het productportfolio van het bedrijf. Eerder dit jaar heeft het bedrijf nog een Europees Transparency Center geopend in Madrid en de opening van het APAC Transparency Center in Maleisië aangekondigd. In alle Transparency Centers van Kaspersky biedt het bedrijf de mogelijkheid om de software van het bedrijf te verzamelen op basis van de broncode en deze te vergelijken met de openbaar toegankelijke code. Dit garandeert een ongekende mate van vertrouwen in de producten van Kaspersky, aangezien een verzamelproces kan worden uitgevoerd met ondersteuning van de experts binnen het bedrijf.

⚬ ⚬ Kaspersky heeft de Service Organization Control for Service Organizations (SOC 2) Type 1-audit met succes doorstaan. Het definitieve rapport dat is uitgebracht door een van de grote vier accountancykantoren bevestigt dat de ontwikkeling en release van de Kaspersky-databases met dreigingsdetectieregels (AV-databases), gemaakt en gedistribueerd voor de bedrijfsproducten die werken op Windows- en Unix-servers, door middel van solide beveiligingscontroles zijn beveiligd tegen ongeoorloofde wijzigingen. Kaspersky kan de belangrijkste informatie over de zojuist vermelde beloften en vereisten in het SOC 2 Type 1-rapport op verzoek openbaar maken.

⚬ Kaspersky werkt voortdurend aan de ontwikkeling van het Bug Bounty Program. Onlangs heeft het bedrijf de hoogste beloning in de geschiedenis van het programma van maar liefst $ 23.000 uitbetaald aan onderzoekers van het Imaginary-team. Deze hadden namelijk een beveiligingsprobleem ontdekt in Kaspersky dat ertoe zou kunnen leiden dat derde partijen een willekeurige code kunnen uitvoeren op de pc met systeemrechten van een gebruiker. De bug werd meteen gecorrigeerd. Kaspersky is het Imaginary-team dankbaar voor het rapport en voor hun bijdrage aan de verbetering van haar producten. Sinds maart 2018 hebben we 66 door onderzoekers via het programma gemelde bugs gecorrigeerd en vergoedingen van in totaal bijna $ 45.000 uitbetaald.

⚬ Safe Harbor voor onderzoekers naar kwetsbaarheden: het bedrijf ondersteunt nu het io-framework dat Safe Harbor aanbiedt voor onderzoekers die zich zorgen maken over eventuele negatieve juridische gevolgen van hun ontdekkingen. Kaspersky begrijpt dat externe experts een waardevolle bijdrage kunnen leveren door zwakke plekken in haar producten te vinden en te melden. Kaspersky is dan ook bereid aanvullende garanties te bieden voor een eerlijke behandeling van rapporten over zwakke plekken.

⚬ Het Transparency Center in Madrid is sinds juni officieel geopend voor klanten en partners van Kaspersky en voor belanghebbenden bij de overheid. Net als bij de faciliteit in Zürich biedt het bedrijf broncode-evaluaties en informatiesessies op maat over de werkwijzen voor gegevensverwerking en het functioneren van de producten van het bedrijf.

⚬Ondersteuning in de vorm van dreigingsinformatie voor wetshandhavingsinstanties: Kaspersky kondigt als eerste leverancier van cybersecurityproducten een geavanceerde gratis service aan voor wetshandhavingsinstanties (LEA's, oftewel Law Enforcement Agencies). Deze unieke aanpak op maat is ontwikkeld om grensoverschrijdende cybercrime zo goed mogelijk tegen te gaan en bestaat uit drie onderdelen: rapporten over dreigingsinformatie, feeds met informatie over dreigingen en een Automated Security Awareness Platform (Kaspersky ASAP ).

⚬ Kaspersky opent het Transparency Center in Madrid. In aanvulling op een vergelijkbaar centrum dat in 2018 in Zürich is geopend, fungeert het centrum als een vertrouwde faciliteit voor de partners van het bedrijf en belanghebbenden bij de overheid. Zij kunnen de broncode van de producten van het bedrijf komen bestuderen en meer leren over de engineering- en gegevensverwerkingsmethoden van Kaspersky en over het portfolio van het bedrijf. Het bedrijf is vanaf juni open voor bezoekers. Aan eerder aangekondigde plannen voor in 2020 te openen Transparency Centers in Azië en Noord-Amerika wordt nog gewerkt.

⚬ Ontwikkeling van een Transparency Center-evaluatiesysteem. Dit biedt verschillende evaluatieopties op basis van het interessegebied, van een algemeen, niet-technisch overzicht van de engineering-praktijken en normen op het gebied van gegevensbescherming van het bedrijf tot de meest diepgaande en alomvattende evaluatie van de belangrijke elementen van de broncode van het bedrijf. Meer informatie over de beschikbare opties vind je op de Transparency Centers-website.

⚬ Kaspersky publiceertde resultaten van een vrijwillige, door een derde partij uitgevoerde juridische evaluatie, teneinde een onafhankelijke evaluatie van de verplichtingen van het bedrijf volgens de Russische wet te verschaffen. De analyse is uitgevoerd door de bekende juridische expert Dr. Kaj Hober, Professor of International Investment and Trade Law aan de Universiteit van Uppsala in Zweden en een expert op het gebied van het Russische juridische systeem. In de analyse worden drie Russische wetten met betrekking tot gegevensverwerking en -opslag onder de loep genomen. Aangezien Kaspersky een in Rusland gevestigd bedrijf is, wordt er doorgaans van uitgegaan dat het bedrijf aan deze wetten moet voldoen. De resultaten van de analyse zijn online vrij toegankelijk.

⚬ Het Bug Bounty-programma is verbeterd door uitbreiding van de producten die kunnen worden geëvalueerd. Onderzoekers kunnen nu onder andere de beveiliging van Kaspersky Password Manager en Kaspersky Endpoint Security for Linux onderzoeken. In het eerste jaar na de aankondiging van deze uitbreiding hebben we meer dan 50 bugs gecorrigeerd die in het kader van dit programma zijn gemeld door onderzoekers. We hebben vergoedingen van in totaal meer dan $ 17.000 uitbetaald.

Het eerste Transparency Center wordt geopend en de gegevensverwerking voor Europese gebruikers in Zürich gaat van start. Ook wordt nieuws over een onafhankelijke engineering-audit en een bloeiend beloningsprogramma voor het melden van bugs gepubliceerd

Op 13 november 2018 wordt in twee datacenters in Zürich begonnen met de verwerking van schadelijke en verdachte bestanden die vrijwillig met Kaspersky zijn gedeeld door Europese gebruikers van de producten van het bedrijf. De gegevens, waaronder verdachte of voorheen onbekende schadelijke bestanden en de bijbehorende metagegevens die de producten van het bedrijf naar het KSN (Kaspersky Security Network) sturen voor geautomatiseerde malware-analyse, worden verwerkt in datacenters die toonaangevende faciliteiten bevatten, in overeenkomst met de industriestandaard teneinde de hoogste mate van beveiliging te kunnen verschaffen.

Dit toont de vastberadenheid van Kaspersky aangaande de integriteit en betrouwbaarheid van haar producten en gaat gepaard met de opening van het eerste Transparency Center van het bedrijf, ook in Zürich. Met hetTransparency Center wil Kaspersky overheden en partners informatie verschaffen over haar producten en de beveiliging ervan, zoals essentiële en belangrijke technische documentatie, voor externe evaluatie in een veilige omgeving.

Andere activiteiten waaraan we werken, zijn het aanstellen van een van de vier grote professionele dienstverleners voor een audit van de engineering-werkwijzen van het bedrijf betreffende het maken en verspreiden van databases met dreigingsdetectieregels, teneinde een onafhankelijke bevestiging van de naleving van de strengste beveiligingsnormen in de industrie te verkrijgen.

Bovendien blijft Kaspersky ondersteuning bieden voor een actief beloningsprogramma voor bugs. Binnen een jaar zijn zo meer dan 50 bugs gecorrigeerd die werden gemeld door onderzoekers op het gebied van zwakke plekken. Enkele hiervan waren bijzonder waardevol.

⚬ Kaspersky heeft contracten ondertekend met twee toonaangevende providers van datacenters in Zürich, Interxion en NTS. Deze verschaffen toonaangevende faciliteiten waar we vanaf eind 2018 gegevens die met ons zijn gedeeld door gebruikers van Kaspersky-producten in Europa veilig gaan opslaan en verwerken. Anders landen zullen volgen, zoals de VS, Canada, Australië, Japan, Zuid-Korea en Singapore. In het vierde kwartaal van 2019 is de verhuizing van Europese landen naar verwachting volledig afgerond. Ga naar kaspersky.com/blog/transparency-status-updates voor meer informatie

⚬ Het eerste Transparency Center van Kaspersky, ook gevestigd in Zürich, zal eind 2018 de aanvankelijke operationele capaciteit bereiken. Het centrum zal verantwoordelijke belanghebbenden op termijn volledig inzicht verschaffen in de broncode van onze producten en software-updates.

⚬ De overige steunpilaren van onze nieuwe plannen, zoals de verhuizing van de assemblage van softwarecode, waaronder producten, productupdates en databases met dreigingsdetectieregels (AV-databases), en de aanstelling van een onafhankelijke derde partij die alles beheert en evalueert, worden geïmplementeerd tijdens de tweede fase van het project, na 2018.

Met het Global Transparency Initiative (GTI) verankert Kaspersky het streven om het vertrouwen te verdienen en behouden van de belangrijkste belanghebbenden: de klanten. Dit initiatief omvat een aantal praktische en concrete maatregelen om externe, onafhankelijke cybersecuritydeskundigen en anderen te betrekken bij het valideren en controleren van de betrouwbaarheid van de producten van het bedrijf, interne processen en bedrijfsactiviteiten, en een extra verantwoordelijkheidsplicht te introduceren waarmee het bedrijf kan aantonen dat het alle beveiligingsproblemen snel en grondig aanpakt.

In het kader van het GTI zijn de opslag en verwerking van gebruikersgegevens die vrijwillig zijn gedeeld met Kaspersky Security Network verplaatst van Rusland naar Zwitserland.

We hebben bovendien Transparency Centers over de hele wereld geopend. In deze faciliteiten kunnen vertrouwde partners en belanghebbenden bij de overheid de code van het bedrijf, software-updates en dreigingsdetectieregels evalueren. Ook fungeert het als een informatiecentrum waar ze meer kunnen opsteken over de gegevensverwerking- en engineering-werkwijzen van Kaspersky. We hebben Transparency Centers geopend in Zürich (Zwitserland), Madrid (Spanje), Kuala Lumpur (Maleisië) en São Paulo (Brazilië). In 2021 wordt een nieuwe Transparency Center geopend in New Brunswick in Canada.

De verhuizing weerspiegelt onze bereidheid om de zorgen van onze klanten weg te nemen door ten eerste een deel van onze gegevensopslag en -verwerking te verhuizen naar een neutrale regio zonder in te leveren op onze hoge internationale normen op het gebied van gegevensbeveiliging en integriteit.

Deze verhuizing is wederom een bewijs van onze voortdurende toewijding om de integriteit en betrouwbaarheid van Kaspersky-oplossingen voor onze klanten te garanderen en om zorgen die toezichthouders hebben geuit aan te pakken.

Vertrouwde partners krijgen onder andere toegang tot de broncode, software-updates en dreigingsdetectieregels van het bedrijf.

De functies van het transparantiecentrum omvatten:

- Toegang tot documentatie over veilige softwareontwikkeling
- Toegang tot de broncode van elk openbaar vrijgegeven product
- Toegang tot databases met dreigingsdetectieregels
- Toegang tot de broncode van cloudservices voor het ontvangen en opslaan van de gegevens van Kaspersky-klanten
- Toegang tot softwaretools die worden gebruikt voor het maken van een product (de 'buildscripts'), databases met dreigingsdetectieregels en cloudservices

Belanghebbenden bij de overheid en zakelijke klanten beschikken over drie opties voor de onafhankelijke evaluatie van Kaspersky-producten. Gezien de complicerende beperkingen op het gebied van reizen en bezoekers kunnen klanten en partners de broncode nu ook op afstand evalueren. Meer informatie vind je hier .

Elk verzoek dat we ontvangen, doorloopt een verplichte juridische controle. Dit doen we standaard om onze gebruikers te beschermen, hun beveiliging en privacy te garanderen en om ervoor te zorgen dat Kaspersky de toepasselijke wetten en procedures naleeft. Verzoeken moeten:

juridisch gerechtvaardigd zijn; - zijn uitgevaardigd in naleving van de toepasselijke wetten en juridische procedures;
- overeenstemmen met de hierboven vermelde principes;
- technisch uitvoerbaar zijn; en
- de uitvoer van de verzoeken mag de beveiliging of privacy van Kaspersky-gebruikers of de integriteit van Kaspersky-producten en -services niet nadelig beïnvloeden.

Als verzoeken niet aan deze vijf criteria voldoen, worden ze afgewezen of vragen we om verduidelijking. Indien wettelijk toegestaan, stellen we gebruikers van wie de gegevens zijn opgevraagd van tevoren op de hoogte. Alle verzoeken worden geregistreerd en informatie over deze verzoeken wordt hier gepubliceerd