Birkaç ay önce Küresel Şeffaflık Girişimimizi başlatmak üzere olduğumuzu duyurmuştuk. İlkbaharın başlarında, bu yönde bir adım atarak yazılım hatası bulanlara verilen ödülü 100.000 ABD dolarına yükselttik. Bugün, ileri doğru bir adım daha atmaya hazırız: “yazılım montaj hattı” ve Kaspersky Güvenlik Ağı verilerinin saklandığı ve işlendiği sunucular dahil altyapımızın önemli bir bölümünü İsviçre’nin Zürih şehrine taşıyor ve ilk Şeffaflık Merkezimizi kuruyoruz.
Bu girişimin amaç ve öneminin kullanıcılar tarafından daha iyi anlaşılmasını sağlamak için aşağıdaki soru ve cevapları hazırladık.
Bu montaj hattı ve Kaspersky Secure Network verileri meselesi nedir?
Öncelikle, Kaspersky Lab ürünlerinin ve tehdit algılama kural güncellemelerinin derlenmesinde ve oluşturulmasında rol oynayan yapı sistemlerimiz — ya da “montaj hattımız ” — artık Zürih’te olacak. Böylece, yazılımlarımız müşterilere dağıtılmadan önce üçüncü şahıs kuruluşların denetimi altında İsviçre’de derlenip imzalanacak.
İkincisi, Kaspersky Güvenlik Ağı bilgilerini Avrupa, Kuzey Amerika, Avustralya, Japonya, Güney Kore ve Singapur’da ve ileride eklenecek diğer ülkelerde yerleşik kullanıcılarımız için işleyen ve saklayan sunucuları taşıyacağız. Bunun nasıl olacağını da ayrıca anlatacağız.
Montaj hattının ve Kaspersky Secure Network verilerinin taşınmasındaki amaç nedir?
Veri işleme ve yazılım geliştirme altyapımızın mevcut koruma düzeyi oldukça yüksek olmakla beraber, daha da iyileştirmek için sürekli çalışıyoruz. Tedarik zinciri risklerine karşı daha esnek ve müşterilerimize karşı daha şeffaf olabilmek için Şeffaflık Merkezimizde gözden geçirilen kaynak kodu ile müşterilerimize sevk edilen ürünlere yerleştirilmiş kaynak kodunun aynı kod olmasını sağlamak önemlidir. Bu nedenle derleme ve imzalama tesisimizi de İsviçre’ye taşıyoruz.
Aynısı Kaspersky Güvenlik Ağı tarafından işlenen veriler için de geçerli: Bu verilerin İsviçre’de bağımsız bir kuruluşun gözetimi altında saklanması demek bunlara her türlü erişimin titizlikle kayıtlara geçmesi demektir ve bu kayıtlar da herhangi bir sorun anında hemen gözden geçirilebilir.
Peki nedir bu Şeffaflık Merkezi?
Burası güvenilir iş ortaklarının ve hükümet paydaşlarının hem ürünlerimizin kaynak koduna hem de kullandığımız araçlara göz atabileceği bir tesis. Bu tesiste aşağıdakilere erişim imkanı olacak:
- Güvenli yazılım geliştirme belgeleri,
- Halka açık ürünlerin kaynak kodları (eski sürümler dahil),
- Tehdit algılama kuralı veritabanları,
- Avrupa, Kuzey Amerika, Avustralya, Japonya, Güney Kore ve Singapur’da yerleşik müşterilerin verilerini almaktan ve saklamaktan sorumlu bulut hizmetlerinin kaynak kodu,
- Bir ürünün oluşturulmasında (derleme komut dosyaları), veritabanlarında ve bulut hizmetlerinde kullanılan yazılım araçları.
Bunu neden yapıyorsunuz?
Küresel Şeffaflık Girişimimizin en önemli amacı tüm gözden geçirme süreçlerini düzenleyerek ürünlerimizin, güncellemelerin, algılama kurallarının, veri depolarının ve benzer şeylerin bütünlüğü hakkında sadece bizim sözümüze güvenilme gereğini ortadan kaldırmaktır. Resmi ve özel kuruluşlardan gelen deneyim sahibi sorumlu paydaşlar yazılımlarımızı gözden geçirerek her şeyin beklendiği şekilde işlediğinden emin olabilecek.
Kuralına uygun iş yaptığınızı kim belgeleyecek?
Zürih tesisimizde olup biten her şeyin güvenilirliği bir üçüncü şahıs kuruluş tarafından değerlendirilecek. Bu kuruluşa da olabildiği kadar erişim imkanı sağlanacak. Bunun işlevleri şöyle sıralanabilir:
- Kaspesky Lab çalışanlarının Kaspersky Secure Network kanalıyla alınarak İsviçre’deki veri merkezinde saklanan ürün metaverilerine erişim sağladığı anları denetlemek ve kaydını tutmak;
- Kaynak kodu gözden geçirmelerini düzenlemek ve yönetmek;
- Kaspersky Lab ürünlerinin güvenilirliğini değerlendirme ve doğrulama amaçlı diğer görevleri yerine getirmek.
Kaspersky Lab bu sorumluluğu üstlenecek yeni ve kar amacı gütmeyen bir kuruluşun oluşturulmasını ve buna sadece şirketin değil isteyen diğer iş ortaklarının ve üyelerin de dahil olmasını desteklemektedir. Şeffaflık Merkezinin ve denetleyici kuruluşun birbirinden tamamen ayrı ve bağımsız iki yapı olduğunu özellikle belirtelim.
Neden İsviçre?
Burayı iki sebeple seçtik. Birincisi, İsviçre tarafsızlık politikasını iki yüz yıldır koruyor. İkincisi, bu ülkede çok katı veri koruma mevzuatı var. Biz de bu iki özelliği nedeniyle İsviçre’nin hassas altyapımızın bir kısmını taşıyabileceğimiz mükemmel bir yer olduğuna inanıyoruz.
Başka Şeffaflık Merkezleri de açılacak mı?
2020 yılına kadar Kuzey Amerika’da ve Asya’da ilave merkezler açma planlarımız var. Ancak, bunun detaylarını konuşmak için henüz erken.
Bu yer değişikliği ne zaman yapılacak?
Biraz zaman alacak. İşin en kolay kısmı olan montaj hattının taşınması 2018 yılı sonuna kadar bitmiş olacak. Bir veri işleme altyapısının oluşturulması için birkaç düzine hizmetin Moskova’dan Zürih’e taşınması ve uygulanması gerekiyor. Bu projeyi şimdi başlatıyor ve 2019 yılı sonuna kadar tamamlamayı planlıyoruz.
Bildiğimiz kadarıyla, böyle bir girişim ortaya koyan ilk siber güvenlik firması biziz. Öncü olmak işi bazı açılardan biraz karmaşıklaştırıyor, ama yazılım geliştirmeyi şeffaflaştırma vaktinin çoktan geldiğine kesinlikle inanıyoruz ve bu nedenle bütün firmalar er geç aynısını yapmak zorunda kalacak. İlk olmak bu anlamda bize bir avantaj kazandırıyor.