«Лаборатория Касперского» объявила о скором открытии своего нового Центра прозрачности в Северной Америке. Его открытие продолжает развитие объявленной компанией в 2017 г. глобальной инициативы по информационной открытости (Global Transparency Initiative, GTI).
Центры прозрачности (к настоящему моменту действуют четыре) предназначены для хранения и обработки данных, получаемых через облачную защитную систему Kaspersky Security Network (KSN) на добровольной и анонимной основе от пользователей Европы, США, Канады и ряда стран Азиатско-тихоокеанского региона. Как сообщает ЛК, в основном эти данные представляют собой образцы подозрительных и ранее неизвестных вредоносных файлов.
Кроме этого, региональные Центры прозрачности предоставляют партнерам и заказчикам в регионах доступ к исходному коду продуктов и другим компонентам решений «Лаборатории Касперского». Раскрывая информацию о собственном бизнесе, компания призывает к сотрудничеству сообщество в сфере кибербезопасности для обеспечения защищённости и целостности современных программных продуктов. В каждом Центре прозрачности «Лаборатории Касперского» ее доверенные партнеры и правительственные организации могут проверить исходный код продуктов компании, получить доступ к базам данных вирусных сигнатур, обновлениям ПО, документации по безопасной разработке ПО и другим важным материалам. Работа всех Центров прозрачности скоординирована таким образом, что нет необходимости в организации обмена потоками данных.
Комментируя анонс об открытии нового Центра прозрачности, руководитель направления по связям с государственными органами «Лаборатории Касперского» Олег Абдурашитов пояснил, что компания проводит различия между требованиями региональных регуляторов и своей глобальной инициативой GTI.
«В части стандартов мы всегда работаем в соответствии с законодательством тех стран, в которых осуществляем свою деятельность. Например, наши продукты для сегмента Enterprise сертифицируются по стандарту ISO/IEC 15408 (Common Criteria), который в ряде стран является обязательным для работы в государственных организациях и на предприятиях критической инфраструктуры. — сообщил он. — Инициатива GTI идет дальше формальных регуляторных требований, например в части раскрытия исходного кода программных продуктов, переноса данных и создания параллельной инфраструктуры по их обработке и хранению, подготовки специалистов. В рамках GTI „Лаборатория Касперского“ успешно прошла сертификацию по стандарту ISO/IEC 27001:2013. Эксперты независимого центра TÜV AUSTRIA провели аудит механизма доставки вредоносных и подозрительных файлов через инфраструктуру KSN, а также систему их хранения и доступа к ним (Kaspersky Lab Distributed File System, KLDFS) в ЦОДах компании в Цюрихе, Франкфурте, Торонто и Москве. Кроме того, мы прошли аудит безопасности практик разработки продукта по стандарту SOC 2. В некотором смысле мы предугадали тренд на повсеместную локализацию данных, которая только в последние года два стала предметом активной политической дискуссии в Европейском союзе и на других ключевых рынках».
Штаб-квартира «Лаборатории Касперского» находится России, и реализуя инициативу GTI в нашей стране, как сообщил г-н Абдурашитов, компания выражает готовность в индивидуальном порядке рассматривать заявки отечественных доверенных партнеров, если они захотят получить детальную информацию о процессах разработки ПО и обработки данных, которых придерживается «Лаборатория Касперского», и верифицировать исходный код ее продуктов.
Данные, которыми на добровольной и анонимной основе через облачную защитную систему KSN делятся российские пользователи, обрабатываются в соответствии с российским законодательством и требованиями локальных заказчиков.
Отвечая на вопрос, является ли инициатива GTI уникальной — реализуется только «Лабораторией Касперского» или у нее есть последователи среди российских ИБ-вендоров, г-н Абдурашитов сообщил: «Нам не известно, чтобы какие-либо российские компании, работающие в сфере ИБ, реализовывали подобные инициативы. Будем рады узнать, что наша работа стала примером для других организаций, которые также считают принцип открытого ведения бизнеса одним из приоритетных. Тем не менее можно отметить, что наша инициатива привлекла интерес как ряда локальных регуляторов и международных организаций, так и технологических компаний из других стран».
Свое мнение о том, решает ли создание иностранными ИБ-вендорами подобных Центров прозрачности в России основные задачи, связанные с требованиями к ним российских ИБ-регуляторов, и рентабельно ли им вести бизнес в России без подобных Центров, высказал руководитель группы информационной безопасности компании AT Consulting Эльдар Аглиуллин. Он полагает, что, сегодня вести бизнес в России рентабельно крупным международным ИБ-вендорам, у которых процессы создания продуктов давно выстроены и прозрачны и которые потратили не один десяток лет на создание своего ПО. Тем не менее инициатива по открытию ими подобных Центров прозрачности может рассматриваться российскими ИБ-регуляторами как приемлемый вариант допуска иностранных ИБ-вендоров на российский ИБ-рынок.