Genezą Globalnej Inicjatywy Przejrzystości Kaspersky było polityczne oskarżenie „Kaspersky Lab” (dzisiaj już „Kaspersky”) o dostęp do komputerów rządowych National Security Agency jeszcze przed 2015 rokiem, na czym miała korzystać Moskwa za sprawą Jewgienija Kasperskiego. Amerykański rząd w obawie o posiadanie tylnych furtek w oprogramowaniu marki Kaspersky Lab i ochronę amerykańskich interesów, zaplanował długoterminowy plan wycofywania rosyjskich rozwiązań informatycznych z komputerów urzędników, by z czasem doprowadzić do krajowego embargo. Tak się nie stało. Dzisiaj rozwiązania ochronne Kaspersky są dostępne na rynku amerykańskim i europejskim, i jak wszystkie inne, podlegają odpowiednim przepisom, ponieważ Kaspersky nie pozostało bierne. Wygrali przed sądem w sprawie o zniesławienie i otworzyli Centrum Transparentności w Szwajcarii. Dzisiaj takich miejsc na świecie mają aż 8, w których można sprawdzić kod systemu Kaspersky na różnych poziomach dostępu. Do dzisiaj nikt nie przedstawił dowodów na tyle furtki w oprogramowaniu Kaspersky.
Transparentność kodu Kaspersky i walidacja danych
W ramach inicjatywy Kaspersky Global Transparency Initiative firma udostępnia kod źródłowy oprogramowania, w tym aktualizacje oraz reguły wykrywania zagrożeń w celu poddania go niezależnemu badaniu i ocenie. Projekt Global Transparency Initiative obejmuje następujące działania:
- Rozpoczęcie niezależnego audytu kodu źródłowego firmy, a następnie podobnych przeglądów aktualizacji systemu oraz reguł wykrywania zagrożeń.
- Podjęcie niezależnej oceny procesów rozwoju produktów firmy oraz jej strategii zmniejszania ryzyka dotyczącego systemu i łańcucha dostaw.
- Opracowanie dodatkowych mechanizmów kontroli, którym podlegać będą praktyki firmy w zakresie przetwarzania danych we współpracy z niezależnym podmiotem, który może poświadczyć stosowanie przez firmę wspomnianych mechanizmów kontroli.
- Uruchomienie 8 centrów Transparency Center na świecie w celu rozwiązywania wszelkich kwestii dotyczących bezpieczeństwa zlokalizowanych w miastach: Kuala Lumpur, Madrycie, Rzymie, Sao Paulo, Singapurze, Tokio, Utrechcie, Woburn i Zurychu.
- Zwiększenie wartości nagród w ramach programów bug bounty do 100 000 dolarów za najbardziej krytyczne luki w zabezpieczeniach znalezione w rozwiązaniach Kaspersky Lab w celu dodatkowego zmotywowania niezależnych badaczy bezpieczeństwa do wsparcia działań firmy w zakresie wykrywania i usuwania luk w zabezpieczeniach.
Kolejnym filarem tworzącym Globalną Inicjatywę Przejrzystości jest publikowanie raportów „Kaspersky Transparency”, ujawniających informacje o prośbach otrzymanych od organów rządowych i organów ścigania oraz użytkowników o ich dane osobowe.
Najnowszy raport obejmuje pierwsze sześć miesięcy 2022 roku
W pierwszej połowie 2022 roku otrzymano łącznie 89 próśb od rządów i organów ścigania z ośmiu krajów: Brazylia, Chiny, Włochy, Japonia, Jordania, Rosja, Singapur i Korea Południowa, co oznacza 15% spadek liczby próśb w ciągu roku (105 wniosków w I półroczu 2021 r.).
Tak jak poprzednio, przytłaczająca większość, bo 89% otrzymanych próśb, dotyczyła nieosobowych informacji technicznych, tj. informacji ułatwiających prowadzenie dochodzeń w sprawie cyberprzestępstw — wskaźników kompromitacji (IoC), informacji o modus operandi cyberatakujących, rezultatach reverse engineering szkodliwego systemu i innych wyników analizy kryminalistycznej. Aż 11% próśb dotyczyło podania danych użytkownika, wszystkie zostały odrzucone.
Udział zapytań o nieosobowe dane techniczne wzrósł z 85% do 89%. Wzrósł również udział pozytywnie rozpatrzonych wniosków: spośród wszystkich wniosków otrzymanych w I półroczu 2022 r. pozytywnie rozpatrzono 64%. Wszystkie pozostałe wnioski zostały odrzucone z powodu niespełnienia wymagań weryfikacji prawnej lub braku wymaganych danych.
Ponadto, w ramach raportów przejrzystości, podawano do wiadomości publicznej informacje o prośbach otrzymanych od użytkowników w celach związanych z danymi osobowymi — szczegółowe informacje o tym, gdzie są przechowywane dane użytkownika lub udostępnianie lub usuwanie danych osobowych. W pierwszej połowie 2022 roku firma Kaspersky otrzymała 3285 takich wniosków.
Jak uzyskać dostep do danych z systemów Kaspersky?
Jeżeli chcesz uzyskać dostęp do swoich danych przetwarzanych przez Kaspersky, jako firma, agencja państwowa odpowiedzialna za krajowe bezpieczeństwo albo użytkownik indywidualny, możesz złożyć wniosek pisząc na adres TransparencyCenter(małpa)kaspersky.com
Chronologicznie więcej o działalności Kaspersky w związku z odbudowywaniem zaufania:
- Lipiec 2017: Ciemne chmury nad Kaspersky Lab – szef MSWiA ma „wątpliwości co do wiarygodności tej firmy”
- Październik 2017: Wykradziono tajne dokumenty NSA poprzez tylne furtki w antywirusach Kaspersky Lab (podobno)
- Październik 2017: Kaspersky Lab udostępni kod źródłowy swojego systemu i podda się niezależnemu audytowi
- Maj 2018: Kaspersky Lab zapowiada przeniesienie głównej infrastruktury z Rosji do Szwajcarii
- Lipiec 2018: Kaspersky Lab wygrywa w sądzie w sprawie o zniesławienie
- Listopad 2018: Kaspersky Lab będzie przetwarzał podejrzane pliki w centrum danych w Szwajcarii
- Kwiecień 2019: Kaspersky Lab udostępnia swój kod źródłowy firmom i podmiotom rządowym
- Kwiecień 2019: Kaspersky Lab nie szpiegował? Komisja Europejska nie posiada żadnych dowodów
- Listopad 2019: Kaspersky przeniesie dane klientów z USA i Kanady do Szwajcarii
- Marzec 2022: Co zamiast Kasperskiego? „Twierdzą”, iż wyciekł kod oprogramowania
- Marzec 2022: 3 zarzuty niemieckich służb ds. bezpieczeństwa wobec antywirusów Kaspersky