Kaspersky bu yıl, tedarik zinciri riskleriyle mücadelede sektörde kıstas oluşturmayı amaçlayan öncü programı Global Şeffaflık Girişimi'nin (Global Transparency Initiative - GTI) beşinci yıl dönümüne kutluyor. Üçüncü parti yazılımların kullanımıyla ilişkili risklere yönelik genel tutumun yaygınlaşmasının yanı sıra şirketlerin ve regülasyon kurumlarının kullandıkları yazılımların ne kadar güvenli olduğunu öğrenmenin önemine bağlı olarak Kaspersky, dünya genelindeki Şeffaflık Merkezleri ağını büyüterek ve kaynak kodu inceleme seçeneklerini genişleterek bu girişimini daha da büyütmeyi planladığını duyurdu.

Dijital egemenliğe yönelik Avrupa Siber Dayanıklılık Yasası önerisi gibi düzenlemelerin ortaya çıkışı gibi önemli kilometre taşlarının belirlenmesiyle, daha fazla dijital güvene yönelik talep de artıyor. Bunların en sonuncusu, dijital ürünlerin kanıta dayalı kriterlerini ve uyumluluklarını doğrulamak için alınan önlemler hakkında bazı soruları gündeme getiriyor. Bu noktada evrensel güven oluşturma çerçeveleri daha önce olmadığı ölçüde talep görüyor. 

Kaspersky çözümlerinin güvenilirliğini vurgulamayı ve siber güvenlik sektöründe şeffaflık standartlarını bir bütün olarak teşvik etmeyi amaçlayan GTI, şirketin projeye yaptığı toplam 7,9 milyon ABD dolarına karşılık gelen yatırımı eşliğinde gelişiyor ve ölçeği genişliyor. GTI bugün verilerin yeniden konumlandırılması, dünya çapında şeffaflık merkezlerinin açılması, düzenli bağımsız denetimler, güvenlik açığı yönetim programı, eğitim amaçlı siber kapasite geliştirme programı ve şeffaflık raporları olmak üzere altı ana ayağı kapsıyor.
GTI'nın ilk eylemlerinden biri, Kaspersky kullanıcılarından alınan siber tehditlere dair verilerin güçlü veri koruması ve tarafsızlığı ile bilinen İsviçre'deki veri merkezlerine taşınması oldu. Bugün Avrupa, Kuzey ve Latin Amerika, Orta Doğu ve Asya-Pasifik bölgesindeki bazı ülkelerdeki Kaspersky kullanıcılarının verileri Zürih'teki iki veri merkezinde depolanıyor ve işleniyor.

Kaspersky’nin Teknolojiden Sorumlu Tepe Yöneticisi Anton Ivanov, şunları söylüyor: "Kaspersky'de kullanıcıların verilerini koruma konusunu her zaman son derece ciddiyetle ele alıyoruz. Müşterilerimizin bize emanet ettiği verilerin güvende olduğundan emin olmak için, veri yönetimi uygulamalarımızı önde gelen endüstri standartlarıyla uyumlu hale getiren entegre bir yaklaşım izliyoruz, Bunu doğrulamak için veri depolama ve işleme için endüstri standartlarına uygun birinci sınıf tesisleri seçtik ve üçüncü taraf denetçileri de davet ettik. Bu bütünsel bakış açısıyla, Kaspersky ürünlerinin kullanıcılarına verilerinin güvenliği ve gizliliği konusunda tam bir gönül rahatlığı sağlamayı umuyoruz."
Veri relokasyonunun lansmanıyla birlikte Kaspersky, müşterilerin ve iş ortaklarının yanı sıra siber güvenlikten sorumlu kamu düzenleyicilerinin kaynak kodlarını inceleyerek şirketin çözümlerinin bütünlüğünü kontrol edebilecekleri, ayrıca şirketin iç süreçleri hakkında daha fazla bilgi edinebilecekleri tesisler olan küresel Şeffaflık Merkezleri ağını oluşturmaya başladı. Kasım 2018'de Zürih'te açılan ilk Şeffaflık Merkezi'nden bu yana Kaspersky, Avrupa, Kuzey ve Latin Amerika'nın yanı sıra Asya-Pasifik'te sekiz merkez daha açtı. Kaspersky, bugüne kadar dünya çapındaki Şeffaflık Merkezlerinde ulusal düzenleyiciler ve dünyanın dört bir yanından işletmeler de dahil olmak üzere yaklaşık 60 talep sahibine hitaben brifingler düzenledi.

Kaspersky, Asya-Pasifik Bölgesinde İlk Şeffaflık Merkez Açıyor
Kaspersky, 2024 ortasına kadar Şeffaflık Merkezleri ağını Orta Doğu ve Afrika'da genişletmeyi ve bu bölgelerde ilk Şeffaflık Merkezlerini açmanın yanı sıra Asya-Pasifik bölgesinde yeni bir merkez kurmayı planlıyor. Bu üç yeni tesis, şirketin paydaşlarının Kaspersky'nin dahili mühendislik ve veri yönetimi uygulamalarının yanı sıra endüstrideki mevcut geçerli standartları ve en iyi uygulamalar hakkında daha fazla bilgi edinmeleri için brifing merkezleri olarak hizmet verecek.

Buna ek olarak Kaspersky, Şeffaflık Merkezlerinde sunduğu kaynak kodu inceleme teklifinin kapsamını genişletiyor. Daha önce yalnızca öncü kurumsal ve tüketici ürünlerinin kaynak kodunu incelemeye sunan Kaspersky, Temmuz 2023'ten itibaren bu konudaki sınırlamaları kaldırıyor ve tüm şirket içi çözümlerinin kaynak kodunu kurumsal müşterileri ve iş ortakları için erişilebilir hale getiriyor. Bu karar, müşterilerin ek Kaspersky ürünlerinin kaynak kodlarının incelenmesine yönelik artan ilgisinin sonucunda alındı. Kaspersky'nin Şeffaflık Merkezleri'nin sunduğu bir diğer yenilik de Avrupa Siber Dayanıklılık Yasası teklifinde belirtilen önerilerle ilgili tasarım belgeleri ve tehdit modelleri gibi unsurlar da dahil olmak üzere Kaspersky ürünlerinin kendi kendini sertifikalandırması olacak.

Kaspersky Halkla İlişkiler Direktörü Yuliya Shlychkova, şunları kaydetti: "Kaspersky Global Şeffaflık Girişimini başlattığında, dijital güveni geliştirme ve satıcıların müşterilerine karşı hesap verebilirliğini savunma konusunda öncü bir adım atmıştı. Bugün baktığımızda şeffaflığın, siber koruma konusunda daha olgun bir tutum sergileyen ve yazılım satıcılarının güvenilirliğine daha fazla önem veren dünya çapındaki kuruluşlar tarafından giderek daha fazla talep edildiğini görüyoruz. Bu da Kaspersky'nin sektörün gelecekteki gelişim alanlarını ve hakim olacak trendleri öngören vizyoner bir şirket olduğunu kanıtlıyor."

GTI'ın öne çıkan diğer özellikleri şöyle sıralanıyor:
• Kaspersky çözümlerinin güvenliğini doğrulayan düzenli üçüncü taraf denetimleri. Şirketin veri yönetim sistemleri, 2019'dan bu yana ISO/IEC 27001:2013 standardına uygun olarak düzenli sertifikasyona tabi tutuluyor. Bu da şirketin güçlü bir bilgi güvenliği sağladığını ve veri hizmetinin sektörün önde gelen uygulamalarıyla uyumlu olduğunu doğruluyor. Ayrıca Kaspersky, virüs veritabanlarını geliştirme ve dağıtma sürecini incelemek, bunların güvenliğini ve yetkisiz değişikliklere karşı korunduğunu doğrulamak için bağımsız bir denetçi tarafından düzenli olarak SOC 2 denetimine tabi tutuluyor.
• Güvenlik güçleri ve devlet kamu kurumları tarafından alınan teknik uzmanlık ve kullanıcı verileri taleplerinin sayısına ilişkin istatistikleri ortaya çıkaran Şeffaflık Raporları yayınlandı. Son rapor, 2022'nin ikinci yarısında alınan kullanıcı verileri ve teknik uzmanlık olmak üzere iki kategorideki taleplere ilişkin verileri ortaya koydu. Kaspersky, 2022'nin ikinci yarısında altı ülkedeki hükümetlerden ve kolluk kuvvetlerinden (LEA) 37 talep aldı. Bunların en az yüzde 65'i veri eksikliği veya yasal doğrulama gerekliliklerini karşılamamaları nedeniyle reddedildi.
• Bug Bounty Programı kapsamında herkes sistemlerimizde bulunan kritik güvenlik açıklarını veya hataları bildirebiliyor ve ödül alabiliyor. Kaspersky, GTI'nin bir parçası olarak en kritik güvenlik açıklarını bildiren güvenlik araştırmacıları için ödülleri artırdı ve bu kişiler 100 bin ABD dolarına kadar ödül almaya hak kazandı. Mart 2018'den bu yana küçük güvenlik açıklarıyla ilgili 55 rapor alındı, bunlar yamalandı ve karşılığında 77 toplam 450 ABD doları ödül verildi.
• Siber Kapasite Geliştirme Programı (The Cyber Capacity Building Program - CCBP), kurumların ICT ürünlerinin güvenlik değerlendirmelerine yönelik mekanizmaları ve becerilerini geliştirmelerine yardımcı olmak için tasarlandı. 2020'den bu yana altı devlet kurumu, yazılımların güvenilirliğini değerlendirme becerilerini geliştirmek için Kaspersky Siber Kapasite Geliştirme Programı'nı aldı.