تحديث حول “مبادرة الشفافية العالمية”

أغسطس 19, 2019


لقد أعلنا عن مبادرة الشفافية العالمية في أكتوبر 2017. وكان الغرض منها: أن نظهر للعالم أنه ليس لدينا ما نخفيه وأن عملاءنا يمكنهم أن يضعوا ثقتهم بنا. فنحن نهدف إلى إثبات ذلك أيضًا، فلا يقتصر الأمر على مجرد طلب ثقتهم بنا.
خلال السنوات القليلة الماضية، كنا بمثابة موضوع رئيسي للكثير من الادعاءات الكاذبة. وعلى الرغم من أنه لم يتم تقديم حقيقة واحدة لدعم هذه الادعاءات، إلا أننا نؤمن بمسؤوليتنا تجاه إثبات أن شركة Kaspersky Lab يمكن الوثوق بها ويتعين الوثوق بها. توجد العديد من الأسباب الأساسية لوضع ثقتكم بنا، وهذا ما تدور حوله مبادرة الشفافية العالمية لدينا.
سنحدِّث هذا المنشور وفقًا لتطورات المشروع.

تحديث: 15 أغسطس 2019

يسرنا أن نعلن عن افتتاح “مركز الشفافية” الثالث لدينا في بداية عام 2020 في مدينة سيبرجايا بماليزيا. وعلى غرار المراكز السابقة التي افتتحناها في زيوريخ ومدريد، فإن “مركز الشفافية” هذا سيكون بمثابة مُنشأة موثوقة لدى شركائنا والجهات الحكومية المعنية، ومكانًا حيث يمكنهم التحقق من الكود المصدري لمنتجاتنا. وستستضيفه مؤسسة CyberSecurity Malaysia، الوكالة المختصة بأمان الفضاء الإلكتروني التابعة للبلاد.
يشير أوجين كاسبرسكي، المدير التنفيذي لدينا، إلى أن “مركز الشفافية” هذا، والذي يُعد الأول من نوعه في منطقة آسيا والمحيط الهادئ، يُثبت أن “مبادرة الشفافية العالمية” الرائدة الخاصة بنا، والتي تهدف إلى تلبية الطلب المتزايد من قِبل الشركاء والجهات الحكومية للحصول على المزيد من المعلومات حول كيفية عمل منتجاتنا وتقنياتنا، لا تزال على المسار الصحيح.

تحديث: 11 يوليو 2019

تم افتتاح “مركز الشفافية” الثاني في مدريد بشهر يونيو لخدمة عملاء Kaspersky وشركائهم. ونخطط لإنشاء ثلاثة مراكز للشفافية على الأقل لتقديم خدمات على نطاق عالمي بحلول عام 2020.
لكن ليس هذا كل ما لدينا. تم الانتهاء من أحد الأجزاء الهامة من مبادرة الشفافية العالمية لدينا، وهو المراجعة الخارجية لضوابط تنظيم الخدمة (SOC2 النوع 1) لضوابط إدارة مخاطر أمان الفضاء الإلكتروني لدى شركة Kaspersky. قام مراجع حسابات بإحدى الشركات “الأربع الكبرى” بمراجعة الضوابط الموجودة لدينا حول التحديثات التلقائية المنتظمة لقواعد بيانات مكافحة الفيروسات للمنتجات في نظام التشغيل Windows وخوادم Unix، وكان مفاد نتائج هذه المراجعة أن عمليات تطوير قواعد البيانات تلك وإصدارها محمية ضد التغييرات غير المصرح بها. وهذا بمثابة إثبات آخر على أن منتجاتنا آمنة ويمكن الوثوق بها. وفقًا لشروط العقد، يمكننا الكشف عن التقرير لعملائنا والجهات التنظيمية لدينا عند الطلب.
بالإضافة إلى ذلك، فإننا نواصل توسيع برنامج الكشف عن الأخطاء البرمجية Bug Bounty، وقد انضممنا مؤخرًا إلى حركة Disclose.io، مما يعني أننا نوفر الآن ملاذًا آمنًا للباحثين عن الثغرات الأمنية ونقاط الضعف الذين يتحققون من منتجاتنا ونضمن عدم اتخاذ إجراءات قانونية ضدهم. يمكنك الحصول على المزيد من المعلومات حول Disclose.io من خلال مدونتنا.

تحديث: 2 أبريل 2019

“مبادرة الشفافية العالمية” الخاصة بنا تحرز تقدمًا جيدًا: نعلن اليوم عن افتتاح “مركز الشفافية” الثاني. سيكون موقعه في مدينة مدريد، بإسبانيا، وسيخدم غرض توفير المزيد من المعلومات حول كيفية عمل منتجات Kaspersky Lab وتقنياتها. بالإضافة إلى ذلك، سيكون المركز الجديد أيضًا بمثابة مركز إعلامي حيث يمكن للزوار التعرف على قائمة منتجاتنا والجوانب الهندسية وأساليب معالجة البيانات. وننتظر حضور أول زوار للمركز في يونيو القادم. ويتم حاليًا وضع خطط لافتتاح “مراكز للشفافية” في آسيا وأمريكا الشمالية بحلول عام 2020.
كما تسير عملية نقل موقع البنية الأساسية لمعالجة البيانات على نحوٍ سليم. لقد انتهينا بالفعل من نقل البنية الأساسية المستقبلة إلى سويسرا ونخطط للانتهاء من نقل الجزء المتعلق بالتخزين بنهاية الربع الثاني. ونتوقع الانتهاء بشكل كامل من نقل مراكز معالجة البيانات للعملاء الأوروبيين بحلول نهاية هذا العام.
بالإضافة إلى ذلك، فقد نشرنا نتائج التقييم القانوني التطوعي للجهات الخارجية بشأن القوانين التشريعية الروسية وكيفية تطبيقها في Kaspersky Lab. تم إجراء التقييم بواسطة الدكتور كاج هوبر، أستاذ القانون الدولي للاستثمار والتجارة بجامعة أوبسالا في السويد وخبير نظام القانون الروسي. وكانت النتائج الرئيسية كما يلي:
• قد يطلب جهاز الأمن الفيدرالي (FSB) من Kaspersky Lab التعاون معها، ولكن الشركة غير ملزمة بالقيام بذلك.
• تنطبق القوانين التي تلزم المورّدين بمساعدة جهاز FSB في أنشطة التحقيق التشغيلي فقط على الشركات التي تقدم خدمات الاتصالات الإلكترونية، والتي لا تقدمها شركة Kaspersky Lab.
• تنطبق القوانين التي تلزم الشركات بتخزين البيانات في روسيا وتوفيرها بالإضافة إلى تقديم مفاتيح التشفير (لفك التشفير) إلى جهاز FSB فقط على مزودي خدمات الاتصالات، والتي لا تُعد شركة Kaspersky Lab من ضمنهم.
وأخيرًا وليس آخرًا، فقد قمنا بتحسين برنامج الكشف عن الأخطاء البرمجية Bug Bounty، عن طريق إضافة برنامج Kaspersky Password Manager وبرنامج Kaspersky Endpoint Security for Linux بالإضافة إلى بعض المنتجات الأخرى فيما يتعلق بنطاق البرامج المتوفرة للمراجعة. تم اكتشاف أكثر من 50 خطأ حتى الآن وتم الإبلاغ عنها من خلال البرنامج، وتقاضى الباحثون أكثر من 17000 دولار على شكل مكافآت لتوضيحهم لهذه الأخطاء.

تم التحديث في 13 نوفمبر 2018

أصبح “مركز الشفافية” الأول لدينا مفتوحًا بشكل رسمي، مما يمكن الشركاء المعتمدين من الوصول إلى مراجعات حول قوانين الشركة وتحديثات البرامج وقواعد الكشف عن التهديدات.
بدءًا من اليوم، سنقوم أيضًا بمعالجة جميع الملفات الخبيثة والمشبوهة التي تتم مشاركتها بواسطة مستخدمي منتجات Kaspersky Lab في أوروبا في منشآتي البيانات العالميتين في زيوريخ.
وكما وعدنا، فقد تعاقدت Kaspersky Lab مع إحدى شركات الخدمات الاحترافية “الأربع الكبرى” لإجراء التدقيق، وفقًا لمعيار SSAE 18، على الأساليب الهندسية للشركة حول إنشاء قواعد بيانات الكشف عن التهديدات وتوزيعها، وذلك لتأكيد التزامها بشكل مستقل بأعلى ممارسات الأمان بالصناعة.

تحديث: 29 أغسطس 2018

نحن نحرز تقدمًا جيدًا، فقد قمنا بالفعل بتنفيذ تغيير كبير عن طريق زيادة مكافأة الكشف عن الأخطاء البرمجية إلى 100000 دولار. وساعد هذا الأمر في جعل منتجاتنا أكثر أمانًا وموثوقية. وعند هذه النقطة، بدأنا أيضًا المرحلة التالية من مشروع “مبادرة الشفافية العالمية”، فقد قمنا بتركيب الأجهزة اللازمة لنقل خوادم معالجة بيانات المستخدم إلى أوروبا.
كما تعاقدت Kaspersky Lab أيضًا مع اثنين من مزودي الخدمات الأوروبيين، شركة Interxion وشركة NTS،لاستضافة البنية الأساسية الجديدة اللازمة لتجميع بيانات العملاء ومعالجتها وتخزينها في مدينة زيوريخ، سويسرا، بحلول نهاية عام 2018، وذلك لمعالجة مخاوف أصحاب المصلحة من القطاعين العام والخاص فيما يتعلق بالوصول غير المصرح به إلى بيانات العملاء. ستبدأ عملية نقل خوادم معالجة البيانات وتخزينها بالعملاء الأوربيين وستتبعها البلدان الأخرى. نخطط للانتهاء بشكل كامل من عملية النقل فيما يتعلق بالدول الأوروبية في الربع الرابع من عام 2019.

لماذا اخترنا سويسرا؟

لقد اخترنا هذا الموقع لعدة أسباب. فمن الناحية الأولى، تقع سويسرا في وسط أوروبا. ومن الناحية الأخرى، لا تُعد سويسرا جزءًا من الاتحاد الأوروبي، مما يجعلها دولة مستقلة يمكنها اتخاذ قراراتها بنفسها. كما نجد أنها ترمز إلى شيء جذاب: يكمن أحد المبادئ الرئيسية لمبادرة الشفافية العالمية في إظهار أننا شركة مستقلة، ولذلك ليس هناك مكان أفضل من سويسرا للبدء منه.
تشتهر سويسرا أيضًا بالمظاهر التكنولوجيا المبتكرة والمتطورة للغاية، بالإضافة إلى لوائحها الصارمة بشأن معالجة طلبات البيانات الواردة من جانب السلطات. لذلك، سيتم تخزين بيانات عملائنا ومعالجتها في واحد من أكثر المواقع أمنًا في العالم.

مراحل “مبادرة الشفافية العالمية”

يتم أيضًا تطوير عناصر أخرى لـ “مبادرة الشفافية العالمية”.
نحن نخطط لافتتاح أول “مركز شفافية” لنا في سويسرا. ويتم إعداد هذا المركز حاليًا وسيتم افتتاحه بمجرد أن نكون مستعدين لبدء معالجة البيانات في مراكز بيانات زيوريخ (من المقرر أن يتم هذا في وقتٍ لاحق من هذا العام). [تحديث: افتتحنا مركزين للشفافية في زيوريخ ومدريد.]

نحن عازمون على نقل المنشآت المكلفة بمعالجة بيانات العملاء للبلدان الأخرى أيضًا. هذه العملية معقدة للغاية، وللحد من أي تعطل محتمل فيما يتعلق بحماية عملائنا، فقد قررنا اتباع نهج تدريجي. لذلك، سنتطرق إلى ذلك بعد أن ننتهي من نقل منشآت معالجة بيانات المواطنين الأوروبيين إلى سويسرا. [تحديث: بدأت عملية النقل وسيتم الانتهاء منها بالنسبة للمواطنين الأوروبيين في عام 2019.]

من المقرر أيضًا بدء مراجعة التعليمات البرمجية والعمليات التابعة لجهات خارجية عقب الانتهاء من النقل؛ نحن نبحث حاليًا عن شريك مناسب. [تحديث: انتهى أحد المراجعين في “الأربع الكبرى” من عملية التدقيق باستخدام إطار إعداد تقارير ضوابط تنظيم الخدمة SOC 2 النوع 1.]

والجزء الآخر من نطاق التخطيط لدينا هو نقل عملية تجميع قاعدة بيانات البرامج وقواعد الكشف عن التهديدات إلى سويسرا. رغم ذلك، كانت الأولوية الأعلى لعملية معالجة المخاوف المتعلقة بالوصول غير المصرح به لبيانات المستخدم، لذلك ستحدث هذه الخطوة بعد أن نبدأ عملية النقل.
يُمثل تنفيذ “مبادرة الشفافية العالمية” عملية مهمة للغاية بالنسبة لنا. نحن واثقون تمامًا بأن استثمار الوقت والجهد في هذا المشروع الطويل هو أمر ضروري لإثبات أن شركة Kaspersky Lab تتمتع بشفافية واستقلال تام، ولديها كل الأسباب التي تجعلها محلًا للثقة. نظرًا لأنه يمكننا مشاركة المزيد من الأخبار حول العمليات الجارية لمبادرة الشفافية العالمية، فسنواصل تحديث هذه المدونة وكذلك موقع مركز الشفافية، حتى يتمكن كل شخص من العثور على معلومات حول أنشطتنا المتعلقة بالشفافية في مكان واحد.