Kaspersky’de Şeffaflık

Global Şeffaflık Girişimimiz nasıl gelişiyor.

2017’de Global Şeffaflık Girişimimizi (GTI) başlattık. Bu proje kapsamında veri altyapımızın bir kısmını İsviçre’ye taşıdık. İş ortaklarımızın ve müşterilerimizin, ürünlerimizin kaynak kodunu inceleyebilecekleri Şeffaflık Merkezleri açtık. Ayrıca üçüncü taraf bağımsız akredite işletmeler, veri hizmetlerimizi ve mühendislik uygulamalarımızı değerlendirdi. Bununla beraber, artık Kaspersky’nin siber suç soruşturmaları bağlamında, devlet kurumlarından gelen veri ve teknik uzmanlık talepleriyle ilgili olarak aldığı bilgileri düzenli olarak sizinle paylaşıyoruz. Bugün, bu girişimdeki yeni adımlardan bahsedeceğiz.

Global Şeffaflık Girişimi kapsamında yapılanlar

Programı faaliyete geçirdiğimizden bu yana geçen beş yıl içinde, çözümlerimizde gizli özellikler veya belgelenmemiş yetenekler olmadığından emin olmak için müşterilerimizin ve ortaklarımızın ürünlerimizin kaynak kodunu ve yazılım güncellemelerini inceleyebilecekleri dört Şeffaflık Merkezi açtık. Mühendislik ve veri yönetimi uygulamalarımızı da harici inceleme için sunuyoruz. Kaspersky Şeffaflık Merkezleri; Avrupa, Latin Amerika ve Asya’da faaliyet gösteriyor. Merkezlerimizi bizzat ziyaret edemeyecek olanlar için uzaktan ziyaret imkanı sunuyoruz.

Bir teknoloji ve siber güvenlik şirketi olarak, kullanıcılara sağlanan siber korumanın etkinliğini artırmak için ürünlerimizin kullandığı verileri işliyoruz. Bu veriler, siber tehditlerle ilgili bilgileri içeriyor. Örneğin otomatik bulut tabanlı kötü amaçlı yazılım analizi için, kullanıcılar kabul ettiği takdirde ürünlerimizin gönderdiği şüpheli ve kötü amaçlı dosyalar. Veriler, yeni ve bilinmeyen tehditleri tanımlamamıza, çözümlerimizi sürekli iyileştirmemize ve kullanıcılara kendilerini korumaları için daha iyi yollar sunmamıza yardımcı oluyor.

Avrupa’daki kullanıcılarımızın bu tür siber tehditlerle ilgili verileri, İsviçre’deki veri merkezlerimizde Kasım 2018’den bu yana saklanıyor ve işleniyor. Daha sonra, Kuzey Amerika, Latin Amerika, Orta Doğu’daki kullanıcılar ve Asya-Pasifik bölgesinde bulunan birkaç ülkenin kullanıcılarının bu tür verilerinin işlenmesi ve depolanması için de İsviçre’ye taşındık.

Ayrıca, bağımsız bir sertifikasyon kuruluşu olan TÜV AUSTRIA’dan ISO 27001 uyumluluk sertifikası aldık. Şirketimizin etkin bir bilgi güvenliği yönetim sistemine sahip olduğu teyit edildi. Kullanıcılarımız, Kaspersky’nin işlediği verilerin en yüksek düzeyde korunduğundan emin olabilir.

Ayrıca, şirketlerin, devlet kurumlarının ve akademik çevrenin BT sistemlerini korumak için ihtiyaç duydukları becerileri geliştirmelerine yardımcı olmak adına, Siber Kapasite Geliştirme Programı (Cyber Capacity Building Program) eğitimini başlattık. Yakın zamanda, fırsatlarımızı genişlettik ve artık hem işletmelerin hem de bireysel kullanıcıların erişilebileceği dijital bir eğitim sürümünü kullanıma sunduk.

Şeffaflık için yeni adımlar

Kaspersky, daha fazla şeffaflık ilkesiyle yola çıkarak birçok çalışma yaptı ve işleri bu noktada bırakmayı da düşünmüyor. Global Şeffaflık Girişimi (GTI) kapsamında yakın zamanda yeni adımlar attık.

Üç yeni Şeffaflık Merkezi

Müşterilerine ve ortaklarına ürünleri ve uygulamaları hakkında güvenlik güvencesi sağlamayı taahhüt eden Kaspersky, 16 Haziran 2022’de dünya çapında üç yeni Şeffaflık Merkezi daha açtı. Bunlar Japonya, Singapur ve Amerika Birleşik Devletleri’nde bulunuyor. Yeni tesisler, müşterilerin ve ortakların Kaspersky’nin mühendislik ve veri işleme uygulamaları hakkında daha fazla bilgi edinme ve şirketin kaynak kodunu ve işin diğer alanlarını gözden geçirme imkanlarını genişletiyor.

Yeni açılan Şeffaflık Merkezleri, siber güvenlikten sorumlu devlet kurumları ve düzenleyiciler de dahil olmak üzere şirketin kurumsal ortaklarını ve müşterilerini ağırlayacak. APAC’de (Tokyo ve Singapur’da) iki tesis daha, şirketin bu bölgedeki paydaşlara daha yakın olmasını sağlarken, Amerika Birleşik Devletleri’ndeki Woburn, MA’daki merkez, şirketin Kuzey Amerika Şeffaflık Merkezi için yeni bir mekan olarak hizmet verecek. New Brunswick, Kanada’da bulunacak.

Zürih’te veri merkezi genişletmesi

2022’nin başından bu yana, Latin Amerika ve Orta Doğu’daki kullanıcılardan gelen kötü amaçlı ve şüpheli dosyaları işlediğimiz Zürih’teki veri merkezlerimizin kapasitesini önemli ölçüde artırdık. Ayrıca, daha önce dahil olmayan Kuzey Amerika ülkeleri (Meksika, Panama, Jamaika ve diğer ada ülkeleri) için bu tür siber tehditlerle ilgili verilerin işlenme ve depolanma merkezlerini de buraya taşıdık.

İsviçre’nin tercih edilmesinin bir sebebi var: sıkı veri koruma düzenlemelerine sahip olan ülkelerden biri. Zürih’te bulunan iki veri merkezimiz de en üst düzey endüstri standartlarını karşılayan birinci sınıf ekipmanlarla çalışıyor.

ISO 27001 yeniden sertifikalandırma

Kaspersky veri sistemleri, ISO 27001 gerekliliklerine uygun olarak, TÜV AVUSTURYA tarafından yeniden sertifikalandırılmıştır. Ve bu sadece bir sertifika yenileme değil; bu sefer denetimin kapsamı da önemli ölçüde genişletildi. Sertifika artık hem siber tehditle ilgili verileri işlemeye yönelik veri sistemlerini (Kaspersky Dağıtılmış Dosya Sistemi, KLDFS) hem de istatistikleri (KSNBuffer veritabanı) kapsıyor.

TÜV AUSTRIA, bağımsız bir sertifikasyon kuruluşudur. Kaspersky’nin veri güvenliğine yaklaşımı bir kez daha onaylandığı için gurur duyuyoruz.

SOC 2 denetimi başarılı yenileme

Kaspersky, şirketin ilk kez 2019’da gerçekleştirdiği Hizmet Kuruluşları için Hizmet Kuruluşu Kontrolü (SOC 2) Tip 1 denetimini 2022’de bir kez daha tamamladı. Bağımsız değerlendirme, uluslararası bir Büyük Dörtlü muhasebe firması tarafından gerçekleştirildi.

Ocak 2022’nin sonlarında başlatılan yeniden değerlendirme, Nisan sonunda başarıyla tamamlandı ve Kaspersky’nin antivirüs tabanlarının geliştirme ve yayınlama sürecinin güvenlik kontrolleri tarafından yetkisiz değişikliklere karşı korunduğunu doğruladı. İnceleme sırasında, Büyük Dörtlü denetçiler diğer şeylerin yanı sıra şirketin antivirüs (AV) tabanlarının geliştirilmesi ve piyasaya sürülmesiyle ilgili politika ve prosedürlerini, bu sürece dahil olan altyapının ağ ve fiziksel güvenliğini ve Kaspersky ekibi tarafından kullanılan izleme araçlarını kontrol etti. 

Kaspersky o zamandan beri yeni güvenlik araçları ve kontrolleri sunduğundan, mevcut denetimin kapsamı 2019 değerlendirmesine kıyasla genişletildi. Raporun tamamı talep üzerine müşterilerimize sunulabilir.

SOC 2 denetiminin ne olduğu hakkında daha fazla bilgi edinmek için blog gönderimize göz atın.

Devlet ve emniyet teşkilatlarının taleplerine yönelik çalışmak

Kullanıcı verilerinin güvende olduğunu söylüyorsunuz. Peki ya emniyet teşkilatlarından gelen bilgi talepleri? Aslında Kaspersky, bu tür taleplerle çalışma konusundaki yaklaşımını düzenli olarak paylaşıyor. Geçen yıldan bu yana şirket, emniyet teşkilatlarından ve devlet kurumlarından gelen talepler hakkında raporlar yayınlıyor. Ayrıca kısa süre önce, 2021’in ikinci yarısı için bir rapor yayınladık. İşte bazı önemli rakamlar:

  • Uzmanlarımız, 12 ülkenin hükümetinden ve emniyet teşkilatından 109 talep aldı.
  • 92 talep, teknik uzmanlığa yönlendirildi. Bunlardan 17 tanesi, kullanıcı verilerine erişim talebi içeriyordu.
  • Kullanıcı verilerini paylaşmaya yönelik 17 talep reddedildi. Bu taleplerden bazıları yasal gereklilikleri karşılamıyordu, diğerleri ise şirketin sahip olmadığı verileri talep ediyordu.

Bize kişisel verilerinin nerede ve nasıl saklandığını kullanıcılar da soruyor. Bazı insanlar indirmeyi veya silmeyi talep ediyor. 2021 yılında, benzer şekillerde gelen 2.252 talebi değerlendirdik.

Yeni eğitim düzeyi programı

Kaspersky, deneyimini küresel toplulukla paylaşmaya her zaman hazır. Benzer bir çevrimiçi kursu faaliyete geçirerek, Siber Kapasite Geliştirme Programımızı genişlettik. Artık programa daha fazla iş ortağı ve müşteri katılabilir. Bu eğitim, kuruluşların ve bireylerin kullandıkları yazılımların güvenliğini değerlendirmelerine, aynı zamanda siber saldırıların risklerini ve olası sonuçlarını azaltmalarına yardımcı olacak.

Sırada ne var?

Kullanıcıların, müşterilerin ve iş ortaklarının güveni, bizim önceliğimiz. Güvenlik uygulamalarımızı iyileştirmeye ve Global Şeffaflık Girişimi’ni geliştirmeye devam ediyoruz. Bunun, bir gün siber güvenlik endüstrisi için uluslararası standart haline geleceğini umuyoruz.

Güvenlik çözümlerimizin sunduğu koruma kalitesine gelince, bu konuda da iyi haberlerimiz var. Önde gelen bağımsız laboratuvarların ürünlerimizi de dahil ederek 2021 yılında yaptığı düzinelerce test ve incelemenin sonuçlarını kısa süre önce özetledik. Sonuçları buradan kontrol edebilirsiniz.

İpuçları