Raport końcowy, sporządzony przez firmę analityczną z tzw. Wielkiej Czwórki, potwierdza, że rozwój i udostępnianie baz danych zawierających reguły wykrywania zagrożeń firmy Kaspersky jest zabezpieczone przed nieautoryzowanymi zmianami przy pomocy solidnych środków bezpieczeństwa. Ponadto firma informuje o nowych działaniach w ramach swojej globalnej inicjatywy transparentności.
Service Organization Controls (SOC) to uznany na świecie raport dotyczący kontroli zarządzania ryzykiem dla cyberbezpieczeństwa, który został opracowany przez organizację American Institute of Certified Public Accountants (AICPA) w celu dostarczania klientom informacji na temat skutecznego projektowania i wdrażania środków bezpieczeństwa. Jako firma odpowiedzialna i działająca w transparentny dla swoich klientów, Kaspersky wybrał ten standard, aby wykazać solidność swojego produktu oraz dążenie do spełniania wymogów AICPA Trust Service Principles and Criteria: Security, Availability, Processing Integrity, Confidentiality, and Privacy.
Badanie przeprowadzone w ramach standardu SSAE 18 (Statement of Standards for Attestation Engagements) dotyczyło między innymi wewnętrznych środków bezpieczeństwa stosowanych w odniesieniu do regularnych automatycznych aktualizacji antywirusowych baz danych tworzonych i dystrybuowanych przez firmę Kaspersky dla jej produktów działających w systemach Windows oraz na serwerach z systemem Unix. W raporcie końcowym niezależny audytor z Wielkiej Czwórki stwierdził należytą jakość wspomnianych wyżej środków bezpieczeństwa oraz ich właściwe działanie w danym dniu.
Bezpieczeństwo naszych produktów bez wątpienia należy do naszych najważniejszych priorytetów. Jesteśmy dumni z przeprowadzenia tej niezależnej oceny, która daje naszym klientom gwarancję bezpieczeństwa naszych produktów i pokazuje, że mogą zaufać naszym procesom i środkom bezpieczeństwa dotyczącym badań i rozwoju. Audyt stanowi kolejny krok w naszych dążeniach do wykazania transparentności firmy – powiedział Andriej Jefriemow, dyrektor ds. technologii w firmie Kaspersky.
Zgodnie z warunkami umowy Kaspersky nie może ujawnić nazwy zewnętrznego audytora z Wielkiej Czwórki. Niemniej na żądanie firma może przedstawić podstawowe informacje dotyczące wspomnianych wcześniej wymogów zawartych w raporcie SOC 2 I typu.
Audyt został przeprowadzony w ramach globalnej inicjatywy transparentności, która została ogłoszona w 2017 r. i ma na celu dalsze zapewnienie partnerów i klientów firmy, że jej produkty i usługi są nie tylko najlepsze pod względem ochrony przed cyberzagrożeniami, ale również traktują dane klientów z największym szacunkiem i ostrożnością. Firma zobowiązała się między innymi przenieść swoje procesy przechowywania i przetwarzania danych klientów do Szwajcarii. Jak dotąd udało się zrealizować drugi etap przeniesienia dotyczący danych użytkowników europejskich, a finalizacja zmian ma nastąpić do końca 2019 r.
Oprócz przeniesienia danych firma Kaspersky dąży do utworzenia co najmniej trzech centrów transparentności do końca 2020 r. Ponadto Kaspersky nadal wspiera swój program Bug Bounty, w ramach którego niezależni badacze mogą otrzymywać nagrody pieniężne za wykrywanie błędów w oprogramowaniu firmy, i pracuje nad kilkoma innymi projektami mającymi na celu zwiększenie przejrzystości zaufania do niej.
Dalsze działania w ramach globalnej inicjatywy transparentności
Program Bug Bounty: firma Kaspersky nieustannie pracuje nad rozwojem swojego programu Bug Bounty. Ostatnio wypłacona została nagroda w wysokości 23 000 dolarów – najwyższa w historii programu – badaczom z zespołu Imaginary za wykrycie problemu bezpieczeństwa w produktach firmy Kaspersky, który mógłby potencjalnie umożliwić osobom z zewnątrz zdalne wykonanie kodu na komputerze użytkownika z uprawnieniami systemowymi. Błąd ten został niezwłocznie usunięty. Firma Kaspersky dziękuje zespołowi Imaginary za zgłoszenie oraz pomoc w udoskonaleniu jej produktów.
Bezpieczna przystań dla badaczy luk w zabezpieczeniach: firma wspiera projekt Disclose.io, który zapewnia bezpieczną przystań badaczom luk w zabezpieczeniach zaniepokojonych negatywnymi konsekwencjami prawnymi swoich odkryć. Kaspersky rozumie, że zewnętrzni eksperci świadczą cenną pomoc poprzez identyfikowanie i zgłaszanie luk w zabezpieczeniach produktów firmy i jest gotowy zapewnić dodatkowe gwarancje uczciwego traktowania zgłoszeń luk.
Centra transparentności: zapowiadane niedawno centrum transparentności w Madrycie zostało oficjalnie otwarte i od czerwca jest dostępne dla klientów i partnerów firmy Kaspersky, jak również podmiotów rządowych. Podobnie jak w przypadku centrum w Zurychu, firma oferuje możliwość przeglądu kodu źródłowego oraz zindywidualizowane instruktaże bezpieczeństwa dotyczące praktyk firmy w zakresie przetwarzania danych oraz działania jej produktów.
Wsparcie organów ścigania w zakresie analizy zagrożeń: firma Kaspersky, jako pierwsza spośród dostawców rozwiązań cyberbezpieczeństwa, udostępniła zaawansowaną, bezpłatną usługę przeznaczoną dla organów ścigania. Opiera się ona na unikatowym i zindywidualizowanym podejściu opracowanym w celu maksymalizacji działań tych podmiotów w zakresie zwalczania transgranicznej cyberprzestępczości. Oferując bezpłatną usługę organom ścigania, firma dąży do zwiększenia wiedzy na temat tego, jak działają jej usługi i w jaki sposób mogą one pomóc w zwalczaniu cyberprzestępczości i wyrafinowanych cyberzagrożeń. Więcej informacji na temat omawianej usługi znajduje się na stronie https://r.kaspersky.pl/K53WA.
Firma Kaspersky wciąż rozwija swoją globalną inicjatywę transparentności i zamierza regularnie informować o postępach w tym obszarze.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.