Há alguns meses, anunciamos que estávamos próximos de lançar nossa Iniciativa de Transparência Global. Avançamos nessa direção, por meio da expansão de nosso programa de caça aos bugs com recompensas de até US$ 100 mil. Hoje, estamos prontos para dar mais um passo importante: mudaremos parte de nossa infraestrutura para Zurique, na Suíça, o que inclui nossa linha de desenvolvimento de softwares, servidores responsáveis pelo armazenamento e processamento de dados da Kaspersky Security Network, assim como a criação do nosso primeiro centro de transparência.
Para auxiliar usuários a entender o propósito e importância da inciativa, criamos o ‘Perguntas e respostas” a seguir.
O que é esse negócio de “linha de produção” e dados da KSN?Primeiro, nosso sistema construtivo – ou linha de desenvolvimento – que funciona por meio da compilação e criação dos produtos da Kaspersky Lab e atualização de regras de detecção, agora ficarão em Zurique. Dessa forma, nossos softwares serão montados e assinados na Suíça, sob a supervisão de uma organização independente, antes de serem distribuídos aos nossos clientes.
Segundo, mudamos os servidores que processam e armazenam informações de usuários da Kaspersky Security Network localizados na Europa, América do Norte, Austrália, Japão, Coreia do Sul, Singapura, com mais países a seguir. Essa rotina será independentemente revisada.
Por que realocar a linha de desenvolvimento e os dados da KSN?
Apesar dos atuais níveis de proteção de nossa infraestrutura de desenvolvimento e processamento de dados serem extremamente altos, trabalhamos constantemente para melhorar. A fim de aumentar a resiliência a riscos à cadeia de fornecimento e transparência aos nossos clientes, é importante garantir que o código-fonte revisado em nosso Centro de Transparência e o compilado em nossos produtos seja o mesmo. É por isso que tomamos a decisão de mover nossa linha de desenvolvimento e certificação para a Suíça.
O mesmo é aplicado aos dados processados na Kaspersky Security Network: ao serem armazenados na Suíça, sob a supervisão de uma organização independente, é possível a supervisão meticulosa de qualquer acesso, possibilitando auditorias a qualquer momento, caso surjam dúvidas.
Afinal, o que é um Centro de Transparência?
Trata-se de uma organização na qual parceiros confiáveis e stakeholders governamentais podem revisar os códigos fontes de nossos produtos, bem como as ferramentas que usamos. Essas instalações fornecerão acesso às seguintes informações:
- documentação segura de desenvolvimento de software
- o código fonte de qualquer produto liberado publicamente (o que inclui versões antigas)
- bases de dados das regras de detecção de ameaças
- o código-fonte de serviços de nuvem responsáveis por receber e armazenar os dados de clientes com sede na Europa e América do Norte, Austrália, Japão, Coreia do Sul e Singapura
- ferramentas de software utilizadas na criação de um produto (construção de scripts), bases de dados e serviços de nuvem.
Por que estão fazendo isso?
O objetivo mais importante da nossa Iniciativa de Transparência Global é estabelecer todos os processos de auditoria de forma que nossa palavra não seja a única fonte acerca da integridade de nossos produtos, atualizações, regras de detecção, armazenamento de dados e questões do tipo. Órgãos associados ao governo e organizações privadas com expertise relevante serão capazes de revisar nossos softwares a fim de garantir que funcionam como o esperado.
Quem irá garantir que vocês obedecem as regras?
Uma organização independente será responsável pela transparência e idoneidade de tudo que ocorre na nossa instalação em Zurique. A organização possuirá o máximo de acesso possível. Entre suas funções, lista-se:
- supervisão e registro de colaboradores da Kaspersky Lab que obtenham acesso a metadados de produtos recebidos por meio da Kaspersky Security Network e armazenados no centro de dados suíço
- organização e condução de auditoria nos códigos
- realização de outras tarefas voltadas a avaliação e verificação da confiabilidade dos produtos da Kaspersky Lab.
A Kaspersky Lab apoia a criação de uma organização nova, sem fins lucrativos que se responsabilize não apenas pela própria empresa, mas por qualquer parceiro e membro que deseje se unir a esse iniciativa. O Centro de Transparência e organização de supervisão são duas entidades completamente diferentes, um ponto que desejamos dar bastante ênfase.
Por que a Suíça?
Escolhemos essa localização por dois motivos. Primeiro, a Suíça mantém uma política de neutralidade por dois séculos. Segundo, o país possui leis robustas quanto a proteção de dados. Acreditamos que essas duas qualidades a tornam o destino perfeito para parte de nossa infraestrutura de dados.
Vocês abrirão mais Centros de Transparência?
Temos planos para outros centros na América do Norte e Ásia até 2020. Contudo, sem muitos detalhes por enquanto.
O quão rápido será essa realocação?
Levará um certo tempo. Realocar nossa linha de desenvolvimento e produção, a parte mais fácil do processo, será finalizada até o fim de 2018. A criação de infraestrutura de processamento de dados requer dezenas de serviços que deverão ser transferidos de Moscou para Zurique. Começamos o projeto agora e planejamos terminá-lo no fim de 2019.
Até onde estamos cientes, somos a primeira empresa de cibersegurança a tomar essa iniciativa. Ser pioneiro, torna alguns detalhes um pouco complicados, contudo acreditamos fortemente que é a hora de tornar o desenvolvimento de softwares transparente, e a partir de então, toda empresa terá de fazer o mesmo cedo ou tarde. Ser o primeiro nos dá vantagem nesse sentido.