Global Şeffaflık Girişimi durum güncellemesi

Global Şeffaflık Girişimimizin gidişatıyla ilgili mevcut durum ve güncellemeler

Global Şeffaflık Girişimini Ekim 2017’de duyurmuştuk. Amacı, dünyaya saklayacak hiçbir şeyimiz olmadığını ve müşterilerimizin bize güvenebileceğini göstermekti. Yalnızca güven istemekle kalmayıp bu güveni hak ettiğimizi kanıtlamak istedik.

Proje olgunlaştıkça bu gönderiyi güncellemeye devam edeceğiz.

Güncelleme: 17 Kasım 2020

Kasım 2018’de duyurulan veri işleme ve veri depolama sistemlerinin taşınması işlemi tamamlandı. Kaspersky; Avrupa, Birleşik Devletler ve Kanada’ya ek olarak, Avustralya, Yeni Zelanda, Japonya, Bangladeş, Brunei, Kamboçya, Hindistan, Endonezya, Güney Kore, Laos, Malezya, Nepal, Pakistan, Filipinler, Singapur, Sri Lanka, Tayland ve Vietnam da dahil birçok Asya-Pasifik ülkesinin veri depolama ve işleme sistemlerini de taşıdı.

Artık bu noktalardaki kullanıcılar tarafından paylaşılan tehditle ilgili müşteri verilerini Zürih, İsviçre’deki iki veri merkezimizde işliyoruz. Bu verilere, ürünlerimizin otomatik kötü amaçlı yazılım analizi için Kaspersky Security Network (KSN)’e gönderdiği şüpheli veya önceden bilinmeyen kötü amaçlı dosyalar da dahil.

New Brunswick, Kanada merkezli kar amacı gütmeyen bir kuruluş olan CyberNB Association ile ortaklaşa kurduğumuz Kuzey Amerika Şeffaflık Merkezimizin açılışını duyuruyoruz Tesis, 2021’in başında faaliyetlerine başlayacak. Şirketin beşinci tesisi, Kaspersky’nin iş ortaklarına hem kaynak kodumuzu inceleme hem de mühendislik ve veri işleme pratiklerimizin yanı sıra ürün portföyümüz hakkında da daha fazla bilgi edinme olanağı sunacak.

2020’nin başında São Paulo ve Kuala Lumpur’daki Şeffaflık merkezlerimiz tamamıyla faaliyete geçti. Kaspersky ayrıca Interxion veri merkezine taşınan Zürih’teki Şeffaflık merkezinin de tekrar açılışını yaptı.

Müşterilerimiz ve iş ortaklarımız, mevcut seyahat ve ziyaret kısıtlamalarını göz önünde bulundurarak kaynak kodumuzu uzaktan da inceleyebilirler. Kaspersky Şeffaflık Merkezlerine uzaktan erişim talep etmek için bu bağlantıya tıklayın.

Vietanam’ın ulusal CERT ve Ulusal Siber Güvenlik Merkezinin (NCSC) de yer aldığı Vietnam Bilgi Güvenliği Otoritesi ile birlikte Mayıs 2020’de duyurulan Siber Kapasite Programını başlattık. Program artık Kaspersky’nin ICS CERT Ekibi ile birlikte yürütülen, kod bulandırma ile ilgili ek bir bölüm de içeriyor. 2021’de program, hem hazırlıklarını artırmak hem de tedarik zinciri risklerine karşı sistemlerinin dayanıklılığını ölçmek üzere iş ortaklarına ve diğer şirketlere de açılacak. Erişim talep etmek için lütfen bu bağlantıya tıklayın.

Ödül avcılığı (bug bounty) programımızın ürün kapsamını genişlettik. Araştırmacılar artık VPN çözümünün birer parçası olan üçüncü taraf yazılım modülleri de dahil olmak üzere Kaspersky VPN Secure Connection ile ilgili güvenlik açığı raporları gönderebilir. Programımız Mart 2018’den bu yana 76 hatanın çözümlesini sağladı ve 37 rapora toplam 57.750 USD ödül verdi.

Güncelleme: 13 Şubat 2020

Küresel Şeffaflık Girişimimizin geliştirilmesinde ilerleme kaydetmeye devam ediyoruz. Bu sürecin bir parçası olarak ISO/IEC 27001:2013 sertifikasını aldık. TÜV AUSTRIA tarafından verilen sertifika, Kaspersky Security Network dahil olmak üzere şirketimizin veri güvenliği sistemlerinin sektördeki en iyi uygulamaları karşıladığını doğrulamaktadır.

Sertifikayı almak için Bilgi Güvenliği Yönetim Sistemimizi (ISMS) uygulama, izleme, bakım ve sürekli iyileştirme standartlarına bağlılığımızı kanıtlamamız gerekiyordu.

Bağımsız sertifika kuruluşu TÜV AUSTRIA tarafından yapılan değerlendirme, Kaspersky Security Network (KSN) altyapısını kullanarak kötü amaçlı ve şüpheli dosyaların gönderilmesi için yönetim sistemlerini ve ayrıca bu dosyaların Dağıtılmış Dosya Sistemimizde (KLDFS) güvenli depolama ve bu erişimini kapsıyordu; İsviçre, Zürih’teki; Frankfurt, Almanya’daki; Toronto, Kanada’daki ve Moskova, Rusya’daki veri merkezlerimiz de bunlara dahildi.

Sertifikasyon TÜV AUSTRIA’nın Sertifika Dizini’nde ve ayrıca web sitemizde kamuya açıktır. ISO 27001 denetimi ayrıca, siber tehditlerden korunma konusunda iş ortaklarımıza ve müşterilerimize sadece ürünlerimizin ve hizmetlerimizin piyasanın en iyisi olduğunu değil, aynı zamanda müşteri verilerini en üst düzeyde saygı ve özenle ele aldığımızı garanti eder.

Güncelleme: 13 Kasım 2019

Bugün dördüncü Şeffaflık Merkezimizin Ocak 2020’de São Paulo, Brezilya’da açılacağının belirlendiğini duyuruyoruz. Bu merkez, şirketin Madrid ve Zürih’teki Avrupa Şeffaflık Merkezleri ile Cyberjaya, Malezya’daki Asya-Pasifik Şeffaflık Merkezinden sonra Latin Amerika’da açtığımız ilk merkez olacak. Yeni merkez, şeffaflığımızı ve tüm güvenlik sorunlarını zamanında ve etraflı biçimde ele alabileceğimizi göstermeye olan bağlılığımızı yansıtmaya devam ediyor.

Veri depolama ve işleme altyapımızın taşınması sürüyor. Avrupalı müşterilerimize ait verilerin İsviçre’ye taşınmasının ardından şimdi de ABD ve Kanada’daki müşterilerimizin verilerini taşımaya başladık. Veriler, siber tehditle ilgili verileri otomatik olarak işleyen gelişmiş bulut tabanlı sistemimiz Kaspersky Security Network (KSN) ile gönüllü olarak paylaşılıyor. Taşınmanın bu aşamasını 2020 sonuna kadar tamamlamayı planlıyoruz; ardından diğer bölgeleri eklemeye istikrarlı bir biçimde devam edeceğiz.

Paris Siber Alanda Güven ve Güvenlik Çağrısını ilk imzalayanlardan biri olarak 2019 Paris Barış Forumunda bu adımları duyurmaktan gurur duyuyoruz.

Şeffaflık Merkezimizin ziyaretçileri mühendislik ve veri işleme pratikleri hakkında daha fazla bilgi edinme, uzmanlarımızın yardımıyla Kaspersky’nin yazılımını kaynak kodundan derleme ve halka açık kodla karşılaştırma fırsatı bulacak. Merkezi ayrıca mühendislik ve veri işleme pratiklerimizin yanı sıra portföyümüzü sergilemek için de kullanacağız.

Güncelleme: 15 Ağustos 2019

Üçüncü Şeffaflık Merkezimizin 2020 yılı başında Cyberjaya, Malezya’da açılacağını duyurmaktan memnuniyet duyuyoruz. Daha önce Zürih ve Madrid’de açtığımız merkezler gibi bu Şeffaflık Merkezi de iş ortaklarımızın ve kamudaki paydaşlarımızın ürün kaynak kodlarımızı kontrol edebileceği güvenilir bir tesis olarak hizmet verecek. Merkezi, ülkenin siber güvenlik ajansı CyberSecurity Malezya barındıracak.

CEO’muz Eugene Kaspersky, şirketin Asya-Pasifik bölgesinde açtığı ilk merkez olan bu Şeffaflık Merkezinin, iş ortaklarımızdan ve kamudaki paydaşlarımızdan gelen ürünlerimizin ve teknolojilerimizin nasıl çalıştığına dair daha fazla bilgi alma talebini karşılamaya yönelik öncü Global Şeffaflık Girişimimizin yoluna devam ettiğinin bir göstergesi olduğunu belirtiyor.

Güncelleme: 11 Temmuz 2019

Kaspersky müşterilerine ve iş ortaklarına yönelik ikinci Şeffaflık Merkezimiz Haziran ayında Madrid’de açıldı. 2020 itibariyle dünya çapında en az üç Şeffaflık Merkezine sahip olmayı hedefliyoruz.

Fakat hepsi bu değil. Global Şeffaflık Girişimimizin önemli bir parçası olan Kaspersky siber güvenlik risk yönetimi kontrollerinin üçüncü taraf Hizmet Organizasyon Kontrolleri (SOC2 Type 1) tamamlandı. Big Four denetçilerimizden biri, kontrollerimizi Windows ve Unix Sunucularına yönelik ürünlerdeki düzenli otomatik antivirüs veri tabanı güncellemeleri üzerinden değerlendirerek bu veri tabanlarının geliştirilmesi ve yayınlanmasının yetkisiz değişikliklerden korunduğu sonucuna vardı. Bu da ürünlerimizin güvenli ve güvenilir olduğunun bir başka kanıtı. Sözleşme şartlarına göre, raporu müşterilerimize ve düzenleyicilere talep üzerine açıklayabiliriz.

Buna ek olarak, Bug Bounty programımızı genişletmeye devam ediyoruz ve kısa bir süre önce Disclose.io hareketine katıldık; yani artık güvenlik açığı bulmak için ürünlerimizi araştıran araştırmacılara güvenli bir liman sağlıyoruz ve onlara karşı herhangi bir yasal girişim başlatılmayacağını garanti ediyoruz. Disclose.io hakkında daha fazla bilgiye blog yazımızdan ulaşabilirsiniz.

Güncelleme: 2 Nisan 2019

Global Şeffaflık Girişimimiz iyi ilerleme kaydediyor: Bugün ikinci Şeffaflık Merkezimizin açılışını duyurduk. Madrid, İspanya’da yer alacak bu merkez, Kaspersky ürünlerinin ve teknolojilerinin nasıl çalıştığına dair daha fazla bilgi sağlama amacına hizmet edecek. Yeni Merkez bunun yanı sıra ziyaretçilerin ürün portföyümüz, mühendisliğimiz ve veri işleme pratiklerimiz hakkında daha çok şey öğrenebileceği bir bilgilendirme merkezi olma işlevini de görecek. Merkezin ilk ziyaretçilerini bu Haziran ayında ağırlamayı bekliyoruz. 2020 yılında Asya’da ve Kuzey Amerika’da da Şeffaflık Merkezleri açma planlarımız devam ediyor.

Veri işleme altyapımızın taşınması da sürüyor. Alıcı altyapımızı İsviçre’ye taşıdık bile; depolama kısmının taşınmasını ise ikinci çeyreğin sonuna kadar tamamlamayı planlıyoruz. Avrupalı müşterilerimize yönelik veri işleme altyapımızın taşınmasını bu yılın sonuna kadar tamamlamayı hedefliyoruz.

İlaveten, gönüllü bir üçüncü taraf Rus teşrii tasarrufunun yasal değerlendirmesini ve bunun Kaspersky için ne ifade ettiğini yayınladık. Değerlendirme, İsveç’teki Uppsala Üniversitesi’nde Uluslararası Yatırım ve Ticaret Hukuku profesörü ve Rus hukuk sistemi uzmanı olan Dr. Kaj Hober tarafından yürütüldü. Önemli bulgular şunlardı:

  • Kaspersky’den federal güvenlik servisleriyle (FBS) işbirliği yapması talep edilebilir, fakat şirketin bunu gerçekleştirmek gibi bir yükümlülüğü yoktur.
  • Satıcıların operasyonel-araştırma faaliyetlerinde FSB’ye yardım etmesini zorunlu tutan yasalar yalnızca elektronik iletişim hizmetleri sunan şirketler için geçerlidir; Kaspersky böyle bir şirket değildir.
  • Şirketlerin Rusya’da veri depolamasını ve bu verileri FSB’ye (deşifre edebilmesi için) şifreleme anahtarlarıyla birlikte sağlamasını zorunlu tutan yasalar yalnızca telekom sağlayıcılar için geçerlidir; Kaspersky bir telekom şirketi değildir.

Son olarak, Bug Bounty programımızı geliştirerek Kaspersky Password Manager ve Kaspersky Endpoint Security for Linux ürünleriyle birlikte bazı diğer ürünleri değerlendirmeye açık yazılımlar kapsamına kattık. Şimdiye dek program aracılığıyla 50’den fazla hata keşfedilip bildirildi ve bu hataları buldukları için araştırmacalara 17.000 USD üzerinde ödül verildi.

Güncelleme: 13 Kasım 2018

Yetkili iş ortaklarımızın şirketin kodu, yazılım güncellemeleri ve tehdit tespit etme kuralları hakkındaki değerlendirmelere erişimini sağlayan ilk Şeffaflık Merkezimiz resmen açıldı.

Bugünden itibaren, Zürih’te bulunan dünya standartlarındaki iki veri tesisimizde Kaspersky ürünleri kullanıcıları tarafından bizimle paylaşılan kötü amaçlı ve şüpheli dosyaları da işlemeye başlayacağız.

Söz verdiğimiz üzere Kaspersky , sektördeki en yüksek güvenlik uygulamalarına uyum sağladığını bağımsız olarak doğrulamak üzere, tehdit tespit etme kuralları veri tabanının oluşturulması ve dağıtımı esnasında şirketin kullandığı mühendislik pratikleri hakkında SSAE 18 standartları altında bir denetim yapması için Big Four profesyonel hizmet firmalarından biriyle sözleşme imzaladı.

Güncelleme: 29 Ağustos 2018

Hata avı ödülümüzü 100.000 USD’ye yükselterek büyük değişimlerden birini gerçekleştirdik; iyi ilerleme kaydediyoruz. Bu, ürünlerimizi daha güvenli ve güvenilir hale getirmeye yardımcı oldu. Bu noktada kullanıcı verisi işleme altyapımızı Avrupa’ya taşımak için gerekli ekipmanları kurarak Global Şeffaflık Girişimimizin bir sonraki aşamasını da başlattık.

Kaspersky aynı zamanda 2018 yılı sonuna kadar Zürih, İsviçre’de müşteri verisi toplama, işleme ve depolama sırasında gerekli yeni altyapıyı barındırması için iki Avrupalı sağlayıcıyla da (Interxion ve NTS) sözleşme imzalayarak müşteri verilerine yetkisiz erişim konusunda kamu ve özel sektördeki paydaşlarının endişelerini giderme yönünde adım attı. Veri işleme ve depolamanın taşınması Avrupalı müşterilerle başlayacak ve diğer ülkelerle devam edecek. Avrupa ülkeleri için taşınmanın 2019’un son çeyreğinde tamamlanmasını planlıyoruz.

Neden İsviçre?

Bu konumu birkaç farklı sebeple tercih ettik. Bir yandan, İsviçre, Avrupa’nın kalbinde yer alıyor. Diğer yandan, İsviçre’nin AB üyesi olmaması, burayı kendi kararlarını veren bağımsız bir ülke haline getiriyor. Aynı zamanda sembolik değerini de önemsiyoruz: Global Şeffaflık Girişimimizin ana ilkelerinden biri, bağımsızlığımızı kanıtlamak; dolayısıyla başlamak için İsviçre’den daha iyi bir yer düşünülemez.

İsviçre ayrıca oldukça yenilikçi ve gelişmiş BT ortamı ve yetkili makamlardan gelen veri taleplerinin işlenmesine dair katı yönetmelikleriyle de ünlü. Böylece müşterilerimizin verileri dünyanın en güvenli yerlerinden birinde saklanmış ve işlenmiş olacak.

Global Şeffaflık Girişimi aşamaları

Global Şeffaflık Girişimimizin diğer unsurları da geliştiriliyor.

İlk Şeffaflık Merkezimizi İsviçre’de açmayı planlıyoruz. Henüz hazırlık aşamasında olan Zürih’teki bu veri merkezi, veri işlemeye başlamak için hazır olduğumuzda açılacak (bu yılın sonlarında açılması planlanıyor).

GÜNCELLEME: Zürih, İsviçre’de ve Madrid, İspanya’da iki Şeffaflık Merkezi açtık. Cyberjaya, Malezya’da ve São Paulo, Brezilya’da iki tane daha açmak üzereyiz.

Diğer ülkelere ait müşteri verilerini işlemekle görevli donanımı da taşımaya kararlıyız. Bu oldukça karmaşık bir süreç olduğu için müşterilerimizin korunması konusunda meydana gelebilecek olası aksaklıkları en aza indirmek adına kademeli bir yöntem izleyeceğiz. Bu yüzden Avrupa vatandaşlarına ait veri işleme donanımının İsviçre’ye taşınma işlemi tamamlandıktan sonra bu konuya geri döneceğiz.

GÜNCELLEME: Taşınma süreci başladı ve Avrupa vatandaşları için 2019 yılında tamamlanacak. ABD ve Kanada’daki müşterilerin verilerini de taşımaya başlıyoruz.

Taşınma işleminden sonraki dönem için planlanan üçüncü taraf kural ve süreçlerin gözden geçirilmesi için şu an uygun bir ortak arayışı içerisindeyiz.

GÜNCELLEME: Big Four denetçilerinden biri, SOC 2 Type 1 raporlama kullanarak yaptığı denetimi tamamladı.

Bu kapsamdaki bir diğer adım da yazılım ve tehdit algılama kuralları veri tabanı derleme sürecini İsviçre’ye taşımak. Ancak, kullanıcı verilerine izinsiz erişimle ilgili kaygıların ortadan kaldırılması daha yüksek bir önceliğe sahip olduğu için bu taşıma işlemi, verilerin taşınması süreci başlatıldıktan sonra yapılacak.

Global Şeffaflık Girişiminin uygulanması bizim için oldukça önemli bir süreç. Kaspersky’nin tamamen şeffaf, bağımsız ve her yönüyle güvenilir olduğunu kanıtlamak amacıyla bu ayrıntılı proje için zaman ve çaba harcamanın kesinlikle gerekli olduğuna inanıyoruz. Global Şeffaflık Girişimi’nin devam eden süreçleri hakkında yeni haberler oldukça hem bu blogu hem de Şeffaflık Merkezi internet sitemizi güncellemeye devam ederek şeffaflıkla ilgili faaliyetlerimize dair bilgileri herkesin tek bir kaynaktan edinebilmesini sağlayacağız.

İpuçları