şeffaflık
Bilgi teknolojileri modern toplumun ayrılmaz bir parçası haline geldikçe siber güvenlik, dolayısıyla güven, hiç olmadığı kadar büyük önem taşıyor. Bilgi güvenliği alanında çalışan şirketlerin müşterileri ve iş ortakları, gizli verilerini korurken işin içine kimlerin dahil olduğunu; hangi bilgileri kimlerle, hangi ilkeler doğrultusunda paylaştıklarını ve çok daha fazlasını anlamaya ihtiyaç duyuyor. Bu soruları yanıtlamak için birkaç yıl önce Global Şeffaflık Girişimimizi duyurmuştuk.
Bugün bu girişime büyük bir güncelleme geliyor: Siber güvenlik pazarında öncü olarak, 2020-2021 döneminde dünya çapında emniyet teşkilatlarından, devlet kurumlarından ve son kullanıcılardan aldığımız taleplerle ilgili bilgileri halka açık şekilde paylaşmak amacıyla bir yayınlıyoruz. Buna ek olarak, yeri gelmişken bu tür talepleri nasıl işleme aldığımız ve ne tür bilgiler sağladığımız hakkında daha fazla bilgi paylaşmak istiyoruz.
Yaygın siber suç tehdidi altında olan siber dünyada kullanıcılarımızın güvende, koruma altında ve rahat olmalarını arzu ediyoruz. Ulusaşırı siber suçlarla mücadeleye sunduğumuz katkının bir parçası olarak, dünya çapındaki emniyet teşkilatlarıyla düzenli olarak işbirliği yapıyor ve siber suç soruşturmalarına destek vermek üzere kötü amaçlı programların teknik analizlerini sunuyoruz. Bu teşkilatlar bazen Kaspersky’den teknik uzmanlık veya kişisel olmayan teknik bilgilerin yanı sıra Kaspersky’ye sağlanan kullanıcı bilgilerini de talep ediyorlar.
Bir siber güvenlik şirketi olarak, emniyet güçlerinin elektronik kanıt amacıyla zaman zaman istediği (kullanıcılar tarafından oluşturulan ve iletilen) içerik verilerini işlemiyoruz ve bu verilere sahip değiliz. Topladığımız sınırlı miktardaki kullanıcı verileri (örneğin, lisans bilgileri veya işletim sistemi sürümü), ürünlerimizin doğru şekilde çalışması için gerekli olan verilerdir. Bununla birlikte, kullanıcıların veri güvenliğini ve gizliğini koruma konusundaki yaklaşımımızın ve emniyet güçlerinden gelen taleplere nasıl yanıt verdiğimizin kullanıcılarımız tarafından anlaşılmasını istiyoruz. Bu sebeple Emniyet Güçleri ve Devlet Kurumlarından Gelen Talepler Raporu’nu yayınlıyor ve emniyet güçleri ve devlet kurumlarından gelen taleplere yanıt verirken bağlı kaldığımız temel ilkelerimizi paylaşıyoruz.
Talepleri yanıtlarken yaklaşımımız
Birincisi, Kaspersky herhangi bir emniyet teşkilatına veya devlet kurumuna asla kullanıcı bilgilerine ya da şirketin altyapısına erişim sağlamaz. Talep üzerine bu tür veriler hakkında bilgi sağlarız, fakat hiçbir üçüncü taraf, doğrudan ya da dolaylı olarak altyapımıza veya verilerimize erişemez. Sözkonusu talepler, Kaspersky çalışanları tarafından doğrulanır ve işlenir.
İkincisi, kullanıcılarımızın ve teknolojimizin güvenliğini sağlamada ulusal, bölgesel ve uluslararası emniyet teşkilatlarının rolünü bildiğimiz için, teknik uzmanlık ve kişisel olmayan teknik bilgileri paylaşırız. Seçkin siber güvenlik araştırmacılarımız ve uzmanlarımız, siber suçlarla savaşan diğer kişilerle bilgi, uzmanlık ve beceri paylaşımını görevlerinin bir parçası olarak görür.
Üçüncüsü, aldığımız her talep, ilgili kanun ve prosedürlere uymamızı sağlamak açısından hukuki doğrulama sürecinden geçer. Aşağıda genel hatlarıyla açıklanan çok aşamalı bu süreç, gelen talepleri onaylama, reddetme ya da itiraz etme kararı verirken bize rehberlik eder.
Emniyet teşkilatı ve devletlerden gelen taleplere yanıt verirken atılan adımlar
Son olarak, şifre anahtarı ve beyan edilmemiş yetiler kullanma taleplerini daima reddederiz. Mühendislik pratiklerimizin ve veri güvenliği sistemlerimizin bağımsız değerlendirmelerinin onayladığı ve düzenleyicilerin, iş ortaklarının ve diğer herkesin Şeffaflık Merkezlerimiz aracılığıyla doğrulayabileceği gibi, ürünlerimizin kalitesini ve dürüstlüğünü garanti etmek için çok çalışıyoruz.
Bu ilkeleri ve taleplerle ilgili verileri paylaşmanın, güven oluşturma ve bu güveni korumada büyük önem taşıdığına inanıyoruz. BT endüstrisindeki en iyi uygulama örnekleri doğrultusunda bugün, 2020 yılındaki ve 2021’in ilk altı ayındaki talep verilerini paylaşıyoruz; sayıları altı ayda bir güncellemeye devam edeceğiz. Kullanıcılarımızın verilerinin güvende olduğundan, siber suçlarla mücadeledeki ortaklarımızın ise onları desteklemeye olan kararlığımızdan emin olmalarını istiyoruz.
Bugün emniyet güçlerinden ve devlet kurumlarından gelen tüm taleplerle ilgili bilgileri kamuya açıyoruz. Bunlara ek olarak rapor; PII silinmesi, kullanıcı verilerinin nerede ve nasıl depolandığına dair bilgi ve bu bilgilerin kullanıcılara sunulması gibi birçok farklı talep hakkındaki verileri de içeriyor. İlk şeffaflık raporumuzun tamamına ulaşabilirsiniz.
İpuçları