آپدیت وضعیت «طرح شفافیت جهانی» کسپرسکی

۱۳۹۹/۸/۲۸امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اکتبر سال 2017 بود که برای اولین بار «طرح شفافیت جهانی» (Global Transparency Initiative) را معرفی کردیم. هدف این طرح این است که به دنیا نشان دهیم کسپرسکی چیزی برای مخفی کردن ندارد و مشتریان می‌توانند به ما اعتماد بکنند. ما همچنین برای اثبات این ادعا نیز همواره در حال تلاشیم- قرار نیست فقط از مشتریان «اعتماد» طلب کنیم. همچنان که این پروژه روند رشد و بلوغ خود را طی می‌کند ما نیز وضعیت آن را  آپدیت کرده و به صورت یک مقاله به شما تقدیم می‌کنیم. با ما همراه باشید.

آپدیت: 17 نوامبر 2020

جابه‌جاییِ پردازش داده‌ها و ذخیره اطلاعاتی –که نوامبر 2018 اعلام شد- اکنون تکمیل شده است. علاوه بر اروپا، آمریکا و کانادا، کسپرسکی همچنین برای ذخیره اطلاعاتی و پردازش داده را برای چند کشور آسیا و اقیانوسیه از جمله استرالیا، نیوزلند، ژاپن، بنگلادش، برونئی، کامبوج، هند، اندونزی، کره جنوبی، لائوس، مالزی، نپال، پاکستان، فیلیپین، سنگاپور، سریلانکار، تایلند و ویتنام نیز جابه‌جایی انجام داده است. اکنون ما داده‌های تهدید-محورِ مشتری را -که خود کاربرانِ لوکیشن‌های ذکرشده به اشتراک گذاشتند- در دو مرکز اطلاعاتی زوریخ، سوئیس پردازش می‌کنیم. این اطلاعات شامل فایل‌های مشکوک یا مخربی می‌شود که قبلاً ناشناخته بودند؛ اطلاعاتی که محصولات ما آن‌ها را برای تحلیل خودکار بدافزار به Kaspersky Security Network (KSN) ارسال کردند.

ما افتتاح مرکز طرح شفافیت خود را در آمریکای شمالی –با مشارکت انجمن CyberNB[1] - را اعلام می‌کنیم. این مرکز کار خود را به طور رسمی اوایل سال 2021 آغاز خواهد کرد. پنجمین مقر این شرکت به شرکای کسپرسکی فرصت تحلی کد منبع ما را می‌دهد؛ همینطور دریافت اطلاعات بیشتر در خصوص ترفندهای مهندسی و پردازش داده‌ی ما را. اوایل 2020، مراکز طرح شفافیت در سائوپائولو و کوالالامپور کاملاً عملیاتی شد. کسپرسکی همچنین اولین مرکز شفافیت خود را در زوریخ –که آن را به مرکز اطلاعاتی Interxion انتقال داده بودیم- نیز از نو راه‌اندازی کرد. با توجه به محدودیت‌های بازدید و چالش‌های سفر در وضعیت کنونی (به دلیل پاندمی ویروس کرونا) مشتریان و شرکا همچنین می‌توانند از راه دور نیز کد منبع ما را تحلیل کنند. به منظور درخواست دسترسی ریموت به مراکز شفافیت کسپرسکی به این لینک مراجعه کنید.

ما برنامه‌ای را تحت عنوان Cyber Capacity Building–که ماه می 2020 معرفی شد- در کنار سازمان امنیت اطلاعات ویتنام (هوش مصنوعی) راه‌اندازی کرده‌ایم. سازمان امنیت اطلاعات مذکور شامل [2]NCSC و CERT[3] ملی خود این کشور (ویتنام) می‌شود. این برنامه اکنون شامل بخش دیگری در حوزه فازینگِ کد[4] می‌شود (با همکاری تیم ICS CERT کسپرسکی).

در سال 2021، این برنامه برای شرکای تجاری وسایر شرکت‌ها قابل‌دسترسی خواهد بود تا بتوانند سطح آمادگی خود را بالا برده و نیز مقاومت سیستم‌ها وشبکه‌هایشان را در برابر خطرات زنجیره تأمین بسنجند. جهت درخواست درسترسی به این لینک  مراجعه فرمایید. ما دامنه محصول خود را در برنامه باگ باونتی[5] نیز وسیع‌تر کرده‌ایم. محققین اکنون می‌توانند گزارشات آسیب‌پذیری مربوط به Kaspersky VPN Secure Connection را –شامل ماژول نرم‌افزارهای طرف‌سوم که بخشی از راهکار وی‌پی‌ان محسوب می‌شوند- ارائه دهند.

از مارس 2018 برنامه ما 76 باگ و 37 گزارش برطرف‌شده داشته و در کل جمع امتیازات و پاداش‌ها 57,750 دلار برآورد شده است.

آپدیت: 13 نوامبر 2019

ما در این تاریخ چهارمین مرکز شفافیت خود را اعلام کردیم و اشاره داشتیم بر این موضوع که این مرکز ژانویه 2020 در سائوپائولو برزیل شروع به کار خواهد کرد. بعد از مراکز شفافیت‌مان در اروپا (مادرید و زوریخ) و مرکز شفافیتی در آسیا-اقیانوسیه این اولین مرکز ما در آمریکای لاتین بود. این مرکز جدید بازتابیست از تعهد ما نسبت به اقداماتی که صورت می‌گیرد؛ همینطور نشان می‌دهد چطور به مسائل امنیتی با سرعت بالا و تمام و کمال رسیدگی می‌کنیم. زیرساخت جابه‌جایی ذخیره و پردازش داده نیز در حال رشد است. در پی مهاجرت داده‌های مشتریان اروپایی‌مان به سوئیس اکنون داریم کلید مهاجرت داده‌های مشتریانمان را در آمریکا و کانادا نیز می‌زنیم. این اطلاعات داوطلبانه با Kaspersky Security Network ما (سیستم پیشرفته و مبتنی بر کلود که خودکار داده‌ای مرتبط با تهدید سایبری را پردازش می‌کند) به اشتراک گذاشته است. انتظار می‌رود این مرحله از مهاجرت تا آخر سال 2020 تکمیل شده و امید است مناطق دیگر نیز به فهرست اضافه شود. به خود می‌بالیم که به عنوان اولین امضاکنندگان Paris Call (برای امنیت و اعتماد در فضای مجازی) این گام‌ها را سال 2019 در مجمع صلح پاریس مطرح کردیم. بازدیدکنندگان مرکز شفافیت ما این فرصت را دارند تا در خصوص ترفندهای مهندسی و پردازش داده‌ای ما اطلاعات کسب کنند؛ از کد منبع نرم‌افزارهای کسپرسکی –البته به یاری متخصصین ما- اطلاعات جمع‌آوری نموده و آن‌ها را با کدی که قابل‌دسترسی عموم است مقایسه کنند. همچنین از این مرکز برای نمایش پروتفولیو و نیز تمارین مهندسی و پردازش داده‌ی خود نیز استفاده خواهیم کرد.

آپدیت: 15 آگست 2019

در این تاریخ اعلام کردیم که سومین مرکز شفافیت‌مان نیز اوایل 2020 در مالزی افتتاح خواهد شد. مانند مراکز دیگر که پیشتر در زوریخ و مادرید افتتاح کردیم این مرکز نیز حکم سازمانی قابل‌اعتماد برای شرکا و ذی‌نفعان دولتی ما خواهد داشت؛ جایی که آن‌ها می‌توانند کد منبع محصولات ما را چک کنند. یوجین کسپرسکی مدیرعامل اجرایی کسپرسکی به این موضوع اشاره می‌کند که این طرح شفافیت نشان‌دهنده‌ی پیشگام بودن ما در این زمینه است. هدف ما جلب اطمینان شرکا و ذی‌نفعان دولتی است.

آپدیت: 11 جولای 2019

در این تاریخ دومین مرکز شفافیت‌مان در مادرید (برای شرکا و مشتریان کسپرسکی) افتتاح شد. ما قصدمان این بود که دست‌کم تا 2020 سه مرکز شفافیت در سراسر جهان تأسیس کنیم. اما این سقف آمال‌مان نبود؛ بخش مهمی از ابتکار جهانی شفافیت، کنترل سازمان‌های خدمات طرف‌سوم (SOC2 نوع 1) بررسی کنترل‌های مدیریت امنیت سایبری کسپرسکی نیز در این تاریخ به پایان رسید. جولای 2019 همچنان داشتیم برنامه باگ باونتی را گسترش می‌دادیم و به جنبش Disclose.io نیز پیوسته بودیم؛ بدین‌معنا که دیگر می‌توانستیم برای آسیب‌پذیری‌ای که محققین در محصولات ما می‌جویند پناهگاه امنی ارائه داده و تضمین دهیم هیچ اقدام قانونی علیه آن‌ها از جانب ما صورت نخواهد گرفت.

آپدیت: 2 آوریل 2019

در این تاریخ، افتتاح دومین مرکز شفافیت‌مان در مادرید اسپانیا اعلام شد. جابه‌جایی زیرساخت پردازش داده نیز سر جای خود است. از قبل نیز زیرساخت دریافتی را به سوئیس انتقال داده بودیم و تصمیم داشتیم جابه‌جایی ذخیره داده را تا آخر سه ماهه‌ی دوم 2019 به اتمام برسانیم. در این تاریخ انتظار داشتیم جابه‌جایی کامل روی پردازش داده‌های مشتریان اروپایی صورت گیرد (تا آخر سال 2019). همچنین نتایج برآوردهای قانونی طرف‌‌های سوم را که به صورت داوطلبانه انجام گرفته بود (در خصوص اقدامات دولت روسیه) نیز منتشر کردیم:

  • شاید FBS (سرویس فدرال امنیت) از کسپرسکی خواسته بود با او همکاری کند اما اجباری هم در کار نبود.
  • قوانینی که فروشندگان را مجبور به همکاری با FSB می‌کنند فقط به شرکت‌هایی مربوط می‌شود که کارشان ارائه خدمات ارتباطی الکترونیک است (که خوب کسپرسکی در این زمینه فعالیت ندارد).
  • قوانینی که شرکت‌های روس را مجبور به ذخیره داده می‌کنند و بدان‌ها کلیدهای رمزگذاری می‌دهند (برای کدگشایی) تنها برای ارائه‌دهندگان سرویس‌های مخابراتی است و نه کسپرسکی.

مهمتر اینکه در این تاریخ برنامه Bug Bounty program خود را تقویت نمودیم و Kaspersky Password Manager و Kaspersky Endpoint Security for Linux و نیز محصولات دیگری را به فهرست نرم‌افزارهای موجود برای تحلیل اضافه کردیم.

آپدیت: 13 نوامبر 2018

اولین مرکز شفافیت ما در این تاریخ افتتاح شد و شرکای قانونی را قادر به دسترسی به تحلیل‌های کد کسپرسکی، آپدیت‌های نرم‌افزاری و قوانین شناسایی تهدیدش کرد. همانطور که وعده داده شده بود کسپرسکی همچنین با یکی از چهار سرویس حرفه‌ای و بزرگ حسابرسی تحت استاندارد SSAE 18 قرارداد بست.

آپدیت: 29 آگست 2018

در این تاریخ ما روند رشد عالی‌‌ای را طی کردیم؛ با رساندن بودجه bug bounty به 100 هزار دلار به سمت تغییر بزرگی قدم برداشتیم. این باعث شد محصولات‌مان امن‌تر و قابل‌اطمینان‌تر شود. همچنین در راستای پروژه شفافیت جهانی تجهیزات لازم برای جابه‌جایی پردازش داده‌های کاربری به اروپا را نیز فراهم کردیم. کسپرسکی در این تاریخ دو قرارداد با ارائه‌دهندگان اروپایی با نام‌های Interxion و NTS بست. در این تاریخ اعلام شد که جابه‌جایی ذخیره و پردازش داده با مشتریان اروپایی کلید خواهد خورد و بعدش هم کشورهای دیگر اضافه خواهند شد. همچنین قرار بود کل جابه‌جایی برای کشورهای اروپایی تا سه‌ماهه‌ی چهارم 2019 انجام شود.

چرا سوئیس؟

ما سوئیس را به چند دلیل انتخاب کردیم: یکی اینکه در قلب اروپا قرار داشت. دو اینکه این کشور جزو اتحادیه اروپا نیست و همین باعث می‌شود کشوری مستقل بوده و تصمیمات شخصی‌اش را بگیرد. این برای ما نماد خوبی هم از آب در آمد: یکی از اصول اصلی طرح شفافیت کسپرسکی این بود که نشان دهیم مستقلیم؛ به دور از هر وابستگی به هر نهاد و سازمان دیگری. سوئیس همچنین به داشتن چشم‌انداز نوآورانه و پیشرفت در بخش آی‌تی معروف است. همه می‌دانند که این کشور بدر خصوص درخواست‌های پردازش داده از سوی مقامات بسیار سرسختانه عمل می‌کند. بنابراین داده‌های مشتریانمان در یکی از امن‌ترین نقاط جهان پردازش و ذخیره خواهد شد.

فازهای طرح شفافیت جهانی

آپدیت: ما چهار مرکز شفافیت در زوریخ سوئیس، مادرید اسپانیا، سایبرجایا مالزی و سائوپائولو برزیل افتتاح کرده‌ایم. همچنین قرار است مرکز دیگری را نیز در نیوبرانزویک کانادا کلید بزنیم.

آپدیت: پروسه جابه‌جایی پردازش و ذخیره داده به اتمام رسیده است. علاوه بر اروپا، آمریکا و کانادا کسپرسکی همچنین برای تعدادی کشور آسیا-اقیانوسیه عمل جابه‌جایی پردازش و ذخیره داده انجام داده است.

آپدیت: یکی از چهار بررس‌های بزرگ، ممیزی خود را با استفاده از فریم‌ورک گزارش‌دهی SOC 2 Type 1

به پایان رساند.

بخش دیگری از فعالیت‌مان در این پروژه به انتقال نرم‌افزارها و قوانین شناسایی تهدید به سوئیس مربوط می‌شود. با این حال پوشش نگرانی‌ها در مورد دسترسی غیرقانونی به داده‌های کاربر برایمان اولویت است و از این رو این اقدام را به بعد از پروسه‌ی مذکور موکول کرده‌ایم. پیاده‌سازی طرح شفافیت جهانی برای ما فرآیند بسیار مهمی است. ما شدیداً بر این باوریم که وقت و انرژی‌ای که روی این پروژه‌ گذاشته‌ایم برای اثبات شفافیت امور کسپرسکی لازم بود و ارزشش را داشت. از آنجایی که قرار است اخبار بیشتری در خصوص فرآیندهای پیش رو ارائه دهیم این بلاگ پیوسته آپدیت خواهد شد. با ما همراه بمانید.

 

[1]سازمان غیرانتفاعی در نیوبرانزویک کانادا

[2]مرکز امنیت سایبری ملی

[3]تیم واکنش اضطراری کامپیوتری

[4] یک فرایند آزمون نرم‌افزار است که شامل فراهم کردن داده‌های ناصحیح، غیرمنتظره، اعداد تصادفی به‌عنوان ورودی به یک نرم‌افزار رایانه‌ای است.

[5]یک برنامه باگ بانتی به دلیل گزارش باگ‌ها، به خصوص باگ‌هایی که باعث سو استفاده و آسیب پذیری می‌شوند، و اینکه در ازای گزارش این باگ‌ها افراد پاداش دریافت می‌کنند و یا به رسمیت شناخته می‌شوند، مورد توجه بسیاری از وب سایت‌ها و توسعه دهندگان نرم‌افزاری قرار گرفته ‌است.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.