Przegląd raportu Kaspersky Transparency Initiative obejmującego ujawnione informacje na wniosek organów rządowych, policji oraz użytkowników

16 stycznia, 2023

Genezą Globalnej Inicjatywy Przejrzystości Kaspersky było polityczne oskarżenie „Kaspersky Lab” (dzisiaj już „Kaspersky”) o dostęp do komputerów rządowych National Security Agency jeszcze przed 2015 rokiem, na czym miała korzystać Moskwa za sprawą Jewgienija Kasperskiego. Amerykański rząd w obawie o posiadanie tylnych furtek w oprogramowaniu marki Kaspersky Lab i ochronę amerykańskich interesów, zaplanował długoterminowy plan wycofywania rosyjskich rozwiązań informatycznych z komputerów urzędników, by z czasem doprowadzić do krajowego embargo. Tak się nie stało. Dzisiaj rozwiązania ochronne Kaspersky są dostępne na rynku amerykańskim i europejskim, i jak wszystkie inne, podlegają odpowiednim przepisom, ponieważ Kaspersky nie pozostało bierne. Wygrali przed sądem w sprawie o zniesławienie i otworzyli Centrum Transparentności w Szwajcarii. Dzisiaj takich miejsc na świecie mają aż 8, w których można sprawdzić kod oprogramowania Kaspersky na różnych poziomach dostępu. Do dzisiaj nikt nie przedstawił dowodów na tyle furtki w oprogramowaniu Kaspersky.

Transparentność kodu Kaspersky i walidacja danych

W ramach inicjatywy Kaspersky Global Transparency Initiative firma udostępnia kod źródłowy oprogramowania, w tym aktualizacje oraz reguły wykrywania zagrożeń w celu poddania go niezależnemu badaniu i ocenie. Projekt Global Transparency Initiative obejmuje następujące działania:

  1. Rozpoczęcie niezależnego audytu kodu źródłowego firmy, a następnie podobnych przeglądów aktualizacji oprogramowania oraz reguł wykrywania zagrożeń.
  2. Podjęcie niezależnej oceny procesów rozwoju produktów firmy oraz jej strategii zmniejszania ryzyka dotyczącego oprogramowania i łańcucha dostaw.
  3. Opracowanie dodatkowych mechanizmów kontroli, którym podlegać będą praktyki firmy w zakresie przetwarzania danych we współpracy z niezależnym podmiotem, który może poświadczyć stosowanie przez firmę wspomnianych mechanizmów kontroli. 
  4. Uruchomienie 8 centrów Transparency Center na świecie w celu rozwiązywania wszelkich kwestii dotyczących bezpieczeństwa zlokalizowanych w miastach: Kuala Lumpur, Madrycie, Rzymie, Sao Paulo, Singapurze, Tokio, Utrechcie, Woburn i Zurychu.
  5. Zwiększenie wartości nagród w ramach programów bug bounty do 100 000 dolarów za najbardziej krytyczne luki w zabezpieczeniach znalezione w rozwiązaniach Kaspersky Lab w celu dodatkowego zmotywowania niezależnych badaczy bezpieczeństwa do wsparcia działań firmy w zakresie wykrywania i usuwania luk w zabezpieczeniach. 
 

Kolejnym filarem tworzącym Globalną Inicjatywę Przejrzystości jest publikowanie raportów „Kaspersky Transparency”, ujawniających informacje o prośbach otrzymanych od organów rządowych i organów ścigania oraz użytkowników o ich dane osobowe.

Kaspersky Transparency Report September 2022

Najnowszy raport obejmuje pierwsze sześć miesięcy 2022 roku

W pierwszej połowie 2022 roku otrzymano łącznie 89 próśb od rządów i organów ścigania z ośmiu krajów: Brazylia, Chiny, Włochy, Japonia, Jordania, Rosja, Singapur i Korea Południowa, co oznacza 15% spadek liczby próśb w ciągu roku (105 wniosków w I półroczu 2021 r.).

Tak jak poprzednio, przytłaczająca większość, bo 89% otrzymanych próśb, dotyczyła nieosobowych informacji technicznych, tj. informacji ułatwiających prowadzenie dochodzeń w sprawie cyberprzestępstw — wskaźników kompromitacji (IoC), informacji o modus operandi cyberatakujących, rezultatach reverse engineering szkodliwego oprogramowania i innych wyników analizy kryminalistycznej. Aż 11% próśb dotyczyło podania danych użytkownika, wszystkie zostały odrzucone.

Udział zapytań o nieosobowe dane techniczne wzrósł z 85% do 89%. Wzrósł również udział pozytywnie rozpatrzonych wniosków: spośród wszystkich wniosków otrzymanych w I półroczu 2022 r. pozytywnie rozpatrzono 64%. Wszystkie pozostałe wnioski zostały odrzucone z powodu niespełnienia wymogów weryfikacji prawnej lub braku wymaganych danych.

Ponadto, w ramach raportów przejrzystości, podawano do wiadomości publicznej informacje o prośbach otrzymanych od użytkowników w celach związanych z danymi osobowymi — szczegółowe informacje o tym, gdzie są przechowywane dane użytkownika lub udostępnianie lub usuwanie danych osobowych. W pierwszej połowie 2022 roku firma Kaspersky otrzymała 3285 takich wniosków.

Jak uzyskać dostep do danych z systemów Kaspersky?

Jeżeli chcesz uzyskać dostęp do swoich danych przetwarzanych przez Kaspersky, jako firma, agencja państwowa odpowiedzialna za krajowe bezpieczeństwo albo użytkownik indywidualny, możesz złożyć wniosek, pisząc na adres TransparencyCenter (małpa) kaspersky.com

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 3 / 5. Liczba głosów: 2

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]