Kaspersky, Latin Amerika ve Orta Doğu’daki kullanıcıları kapsayan siber tehditlerle ilgili veri aktarımının kapsamını genişletti. Şirketin en iyi veri güvenliği uygulamalarını takip etme taahhüdü, TÜV AVUSTURYA’nın, Kaspersky’nin veri hizmetlerini genişletilmiş kapsamda yeniden sertifikalandırmasıyla bir kez daha teyit edildi. Buna ek olarak şirket, 2021 yılının ikinci yarısında hükümet ve kolluk kuvvetlerinin yanı sıra kullanıcılardan gelen veri ve teknik uzmanlık taleplerine ilişkin bilgileri de kamuyla açık bir şekilde paylaştı.
Kaspersky’nin aldığı yeni önlemler, şirketin Küresel Şeffaflık Girişiminin (GTI) bir parçası olarak, daha fazla şeffaflığa dair süreklilik taahhüdünü yansıtıyor. Kaspersky, 2017’de GTI’yı açıklayarak dijital güvenlik için bir ölçüt belirledi ve kaynak kodlarını inceleme için kullanıma sunan ilk siber güvenlik tedarikçisi oldu. Bugüne kadar kullanıcıları için güvenilir bir iş ortağı olmayı taahhüt eden Kaspersky, şeffaflığı bir endüstri standardına dönüştürmek ve daha fazla hesap verebilirlik yolunda adımlar atmak isteyen sayılı BT tedarikçilerinden biri olmaya devam ediyor.
Kaspersky, Mart 2022’den bu yana Latin Amerika ve Orta Doğu’daki kullanıcılardan alınan ve daha önce Rusya’daki tesisler tarafından işlenen kötü amaçlı ve şüpheli dosyalarını İsviçre’nin Zürih kentindeki veri merkezlerinde işliyor ve depoluyor. Bundan önce Avrupa, Kuzey Amerika ve yirmiye yakın Asya-Pasifik ülkesi için bu tür verilerin depolamasına dair, yeniden konumlandırma işlemi tamamlanmıştı. İsviçre veri merkezleri, şirket kullanıcılarının verilerinin güvenliğinden emin olabilmeleri için önde gelen sektör standartlarına uygun birinci sınıf tesislere sahip.
Ayrıca Kaspersky, uluslararası kabul görmüş geçerli bir güvenlik standardı olan bağımsız sertifika kuruluşu TÜV AVUSTURYA tarafından verilen ISO 27001* sertifikasını yeniledi. 2020’de gerçekleştirilen denetime ek olarak, bu kez sertifikanın kapsamı daha da genişletildi. Sertifika artık yalnızca KLDFS olarak adlandırılan, güvenli depolama ve kötü amaçlı ve şüpheli dosyalara erişim için Kaspersky Security Network (KSN) sistemini değil, aynı zamanda KSNBuffer veri tabanı olarak isimlendirilen ve istatistikleri işlemek için kullanılan KSNBuffer sistemlerini de kapsıyor.
Uluslararası alanda en iyi endüstriyel uygulama ve geçerli güvenlik standardı olarak kabul edilen ISO/IEC 27001:2013 ile uyumluluk, Kaspersky’nin bilgi güvenliğini uygulama ve yönetme yaklaşımının temelinde yer alıyor. Üçüncü parti akredite sertifika kuruluşu TÜV AVUSTURYA tarafından verilen bu sertifika, şirketin bilgi güvenliğine olan güçlü bağlılığının ve sunduğu veri hizmetlerinin sektör lideri uygulamalarına uygunluğunun kanıtı niteliğinde.
Belge TÜV AVUSTURYA Sertifika Dizininde yer alıyor. Ayrıca, Kaspersky web sitesinde herkese açık olarak mevcut.
Kaspersky İş Geliştirmeden Sorumlu Başkan Yardımcısı Andrey Efremov, şunları söylüyor: ”Siber tehditle ilgili veri işleme ve depolama süreçlerimizi, katı veri koruma mevzuatıyla tanınan İsviçre’deki tesislere taşıdık. Bu adımlar, şirketimizin veri hizmetleri ve mühendislik uygulamaları bütünlüğünün bağımsız değerlendirmelerini ve açık inceleme için ürünlerimizin kaynak kodunun sağlanmasını da içeren Küresel Şeffaflık Girişimimizin bir parçasını oluşturuyor. Bu önlemler eşliğinde kullanıcı verilerimizi işleme şeklimizin mümkün olduğunca açık ve şeffaf olmasını sağlama taahhüdümüzün altını çiziyor, müşterilerimize ve iş ortaklarımıza en emniyetli ve güvenilir çözümlerle hizmet vermeye devam ediyoruz.”
Şeffaflık raporunun yeni baskısı yayında
Kaspersky, şirketin veri taleplerini ele alma yaklaşımı ve bilgi açıklama konusunda sürekli bir uygulama geliştirerek, bilgileri kullanıcı verileri ve teknik uzmanlık olmak üzere iki kategoride** ortaya koyan düzenli ”Kolluk Uygulamaları ve Devlet Talepleri” raporunu yayınladı. Son yayınlanan raporda 2021’in ikinci yarısına dair veriler yer alıyor.
Özellikle 2021’in ikinci yarısında Kaspersky, 12 ülkenin hükümetlerinden ve kanun uygulayıcı kurumlardan (LEA) 109 talep aldı. Bunların 36’sı veri eksikliği veya yasal doğrulama gerekliliklerini karşılamaması nedeniyle reddedildi. Geçen yılın ikinci yarısında alınan taleplerin 92’si teknik uzmanlık alanındaydı.
Kaspersky, 2021 yılı boyunca toplamda hükümetlerden ve 17 ülkenin kanun uygulayıcılarından 214 talep aldı (2020’de bu rakam 160’dı). Bunların 181’i teknik uzmanlık içindi (2020’de 132). Bu tür isteklerin nasıl işleme koyulduğuna dair adımları burada bulabilirsiniz.
Aynı zamanda kullanıcı verilerinin ne olduğu ve nerede saklandığına, bunların sağlanmasına veya kaldırılmasına ilişkin kullanıcı taleplerinin sayısı da artarak toplamda 2 bin 252’ye ulaştı.
Kaspersky, siber güvenlik endüstri standartlarının hesap verebilirliğini ve şeffaflığını desteklemek için uzmanlığını daha geniş topluluklarla paylaşmayı amaçlıyor. Bu amaçla Kaspersky, Küresel Şeffaflık Girişimi’nin bir parçası olarak çevrimiçi bir kurs olan Dijital Siber Kapasite Geliştirme Programı’nı başlatarak dünya çapındaki kuruluşların güvenlik değerlendirmeleri için pratik araçlar ve bilgiler sağlamasına yardımcı olmayı amaçlayan Siber Kapasite Geliştirme Programını (CCBP) daha da genişletti. Artık daha geniş bir kitleye sunulan çevrimiçi eğitim, daha fazla kuruluş ve bireyin ürün güvenliği değerlendirmelerini öğrenmelerini ve siber dayanıklılıklarını artırma şansına sahip olmalarını sağlayacak.
Kaspersky Global Transparency Initiative (Kaspersky Küresel Şeffaflık Girişimi) hakkında daha fazla bilgi edinmek için web sitesi ziyaret edilebilir.
* ISO/IEC 27001, dünyanın en büyük gönüllü uluslararası standart geliştiricisi olan Uluslararası Standardizasyon Örgütü (ISO) tarafından hazırlanan ve yayınlanan en yaygın kullanılan bilgi güvenliği standardıdır.
**Kullanıcı verileri, şirketin ürünlerini ve hizmetlerini kullandıklarında kullanıcılar tarafından Kaspersky’ye sağlanan bilgileri içerir. Bunlar kullanıcıların kullandıkları hizmetlere, ürünlere ve özelliklere bağlıdır ve Kaspersky Gizlilik Politikasında açıklandığı şekilde korunur.
Teknik uzmanlık talepleri, Kaspersky güvenlik araştırmacıları ve makine öğrenimi algoritmaları tarafından üretilen ve sağlanan, kişisel olmayan teknik bilgileri içerir. Bunlar kötü amaçlı yazılımın MD5 karmalarını, tehlike göstergelerini (IoC’ler), siber saldırıların işleyiş biçimi hakkında bilgileri, kötü amaçlı yazılımların tersine mühendislik çıktılarını, istatistiksel bilgileri ve diğer araştırma sonuçlarını içerebilir.