Нечего скрывать: за пять лет «Лаборатория Касперского» построила сеть Центров прозрачности по всему миру

В 2023 году «Лаборатория Касперского» отмечает пятилетие Глобальной инициативы по информационной открытости. Компания запустила её, чтобы помочь партнёрам и клиентам убедиться в надёжности продуктов и продвигать стандарт прозрачности в индустрии кибербезопасности.

С момента запуска проекта общий объём инвестиций компании в данную инициативу составил 7,9 млн долларов США. Сегодня она включает в себя шесть основных мер и шагов. Это диверсификация инфраструктуры по обработке и хранению данных; открытие Центров прозрачности по всему миру; проведение регулярных независимых аудитов; реализация программы по поиску уязвимостей (bug bounty); запуск обучающей программы, которая позволяет получить навыки оценки уровня безопасности ИТ-инфраструктуры; публикация отчётов с информацией о том, сколько запросов на получение данных поступает в компанию отправоохранительных органов игосударственных структур.

Центры прозрачности

«Лаборатория Касперского» создала сеть Центров прозрачности, в которых клиенты, партнёры, государственные регуляторы, отвечающие за кибербезопасность, могут проверить надёжность решений компании, изучив их исходный код, а также узнать больше о внутренних процессах компании. С момента открытия первого Центра прозрачности в Цюрихе в ноябре 2018 года компания открыла ещё восемь таких центров — в Европе, Северной и Латинской Америке, а также Азиатско-Тихоокеанском регионе. На сегодняшний день «Лаборатория Касперского» организовала в них брифинги для почти 60 участников, в том числе представителей национальных регулирующих органов икомпаний со всего мира. К середине 2024 года компания планирует расширить сеть Центровпрозрачности и открыть новые на Ближнем Востоке, в Африке и Азиатско-Тихоокеанском регионе.

Кроме того, «Лаборатория Касперского» расширяет спектр возможностей, предлагаемых в Центрах прозрачности. Ранее для ознакомления предлагался только исходный код флагманских продуктов для домашних пользователей и бизнеса. С июля 2023 года компания делает доступным обзор исходного кода всех решений on-premise для корпоративных клиентов. Также можно будет увидеть результаты самосертификации продуктов «Лаборатории Касперского», включая такие элементы, как проектная документация и модели угроз. Это соотносится с рекомендациями проекта европейского Закона о киберустойчивости.

Диверсификация инфраструктуры по обработке и хранению данных

Это был один из первых шагов Глобальной инициативы по информационной открытости. Компания перенесла данные о киберугрозах, получаемые от пользователей своих продуктов, в дата-центры в Швейцарию, известную надёжной защитой данных и нейтральностью. Сегодня в двух дата-центрах в Цюрихе хранятся и обрабатываются данные пользователей продуктов «Лаборатории Касперского» из Европы, Северной и Латинской Америки, Ближнего Востока и некоторых стран Азиатско-Тихоокеанского региона.

Проведение регулярных независимых аудитов

В рамках Глобальной инициативы поинформационной открытости «Лаборатория Касперского» регулярно получает независимую оценку своих внутренних процессов. Системы управления данными компании с 2019 года проходят регулярную сертификацию в соответствии со стандартом ISO/ IEC 27001:2013. Аудит подтверждает безопасность решений компании. С 2019 года «Лаборатория Касперского» регулярно проходит аудит SOC 2, а в 2023 году впервые прошла аудит ServiceOrganization Control for Service Organizations (SOC 2) Type 2.

«Мы в „Лаборатории Касперского“ всегда очень серьёзно относились к защите пользовательских данных. Чтобы обеспечить безопасность данных, которые доверяют нам наши клиенты, мы придерживаемся комплексного подхода, приводя наши методы управления информацией в соответствие с ведущими отраслевыми стандартами, — комментирует Антон Иванов, директор «Лаборатории Касперского» по исследованиям и разработке.— Мы также пригласили для проверки сторонних аудиторов и выбрали для хранения и обработки данных локацию, соответствующую отраслевым стандартам. Таким образом мы надеемся дать пользователям наших продуктов полную уверенность в безопасности и конфиденциальности их данных».

Программа по поиску уязвимостей

С марта 2018 года «Лаборатория Касперского» получила 55 сообщений о незначительных уязвимостях, устранила их и на сегодняшний день выплатила независимым исследователям в общей сложности 77 450 долларов США в качестве вознаграждения.

«Сегодня компании по всему миру всё чаще предъявляют требования к большей прозрачности поставщиков ПО и киберзащите всей цепочки в целом. Это подтверждает, что «Лаборатория Касперского» — визионер, который предвидит будущие направления развития отрасли и устанавливает стандарты», — комментирует Юлия Шлычкова, директор «Лаборатории Касперского» по связям с государственными органами.