datu drošība
Fоtо: Shutterstock
Нормы европейского регламента о защите данных, официально вступившие в силу 25 мая 2018 года, распространяются на все компании, ведущие деятельность на территории Евросоюза. Под них подпадает и Kaspersky.

Впрочем, для компании, входящей в пятёрку лидеров отрасли информационной безопасности, эта дата не была часом икс, поскольку ещё до выхода нового регламента компания озаботилась вопросами прозрачности операций и теперь считает это конкурентным преимуществом.

Аккуратное обращение с пользовательскими данными и их защита — основной принцип Kaspersky. Сотрудничество и доверие сегодня являются краеугольным камнем в индустрии кибербезопасности. Однако Kaspersky никогда не считала доверие своих пользователей и партнёров чем-то само собой разумеющимся и поэтому на протяжении всей своей истории придерживается принципов прозрачности ведения бизнеса и информационной открытости.

Так, в 2017 году была запущена глобальная инициатива по информационной открытости. Она создавалась именно для того, чтобы подтвердить: предоставляемая Kaspersky защита надёжна, а все внутренние операции прозрачны.

Евгений Касперский, генеральный директор компании, так комментировал это событие: "Мы должны восстановить доверие в отношениях между компаниями, правительствами и гражданами и хотим продемонстрировать, что мы полностью открыты. Нам нечего скрывать. Я рассчитываю, что с помощью таких шагов мы сможем преодолеть любые проявления недоверия и продолжим успешно защищать людей по всему миру от киберугроз".

Как Kaspersky работает с данными

Компания заботится о том, чтобы личные данные пользователей её продуктов находились в безопасности. Решения Kasperskу работают в соответствии с законами о защите личных данных и общим регламентом по защите персональных данных (GDPR).

Компания получает статистические данные пользователей с помощью распределённой антивирусной сети Kaspersky Security Network (KSN), причём только тех пользователей, которые дали согласие на их передачу и обработку. Подключение к сети KSN даёт клиентам возможность улучшить скорость реакции защитных решений на неизвестные ранее угрозы и в целом повысить качество детектирования за счёт обращения к облачной инфраструктуре, куда стекается самая последняя информация о вредоносных объектах, которую технически невозможно передать целиком на сторону клиента из-за её объёма.

Компания обрабатывает только данные, без которых невозможно нормальное функционирование её продуктов. Объём и состав информации отличается для разных продуктов. В минимальный перечень входят данные о типе устройства, операционной системе, любых обнаруженных угрозах, подозрительных событиях в операционной системе и т.д. Полный список типов данных доступен в пользовательском соглашении. Компания не может идентифицировать конкретных пользователей на основе получаемой информации, поскольку та надёжно защищена благодаря технологиям шифрования, цифровым сертификатам, децентрализованной системе хранения и строгим правам доступа.

Kaspersky применяет следующие методы для защиты данных:

  • информация используется в виде агрегированной статистики;

  • в передаваемых URL отфильтровываются от передачи в KSN логины и пароли, если они хранятся в схеме протокола запроса браузера;

  • по возможности в получаемых данных скрываются IP-адреса и информация об устройствах;

  • данные хранятся на разных серверах со строгими правами доступа, а вся информация, передаваемая пользователем в облако, зашифровывается.

Важно, что каждый пользователь может в любой момент отказаться от передачи данных в систему KSN. Кроме того, в этом случае он получает дополнительное уведомление, предупреждающее, что только базы обновлений и информация об окончании срока действия лицензии будут передаваться между пользователем и компанией, это критически важно для корректной работы продукта.

После введения регламента GDPR Kaspersky внесла ряд изменений в свою инфраструктуру. В частности, были усовершенствованы унифицированные механизмы контроля и процессы отслеживания потоков данных; разработаны и внедрены дополнительные соглашения с третьими сторонами, ресурсы которых компания использует для обработки данных; формализованы процессы предоставления пользователям возможности запросить или удалить данные, хранящиеся в инфраструктуре Kaspersky.

Данные пользователей из стран Балтии

В рамках глобальной инициативы Kaspersky по информационной открытости (GTI) данные пользователей из стран Балтии были перенесены в 2019 году в расположенную в Цюрихе инфраструктуру по обработке и хранению данных пользователей. Согласно независимым рейтингам, Швейцария входит в число мировых лидеров по количеству доступных защищённых интернет-серверов. IT-инфраструктура этой страны, её ЦОДы имеют самую высокую репутацию на глобальном уровне.

Ещё одним шагом в рамках данной инициативы стало успешное прохождение Kaspersky сертификационного аудита на соответствие требованиям международного стандарта ISO/IEC 27001:2013, вобравшего в себя лучшие мировые практики управления информационной безопасностью. Аудит проводился для систем управления сбором и обработкой вредоносных и подозрительных файлов с использованием облачной инфраструктуры Kaspersky Security Network, а также для системы Kaspersky Distributed File System, позволяющей безопасно хранить и получать доступ к таким файлам. Сертификат распространяется на инфраструктуру компании, расположенную в дата-центрах в Цюрихе, Франкфурте-на-Майне, Торонто и Москве.

В рамках GTI в разных странах мира были открыты Центры Прозрачности, в которых клиенты и партнёры компании, в том числе из стран Балтии, могут получить информацию о практиках компании по обработке и защите данных, а также о программном коде Kaspersky, обновлениях продуктов, антивирусных базах, правилах распознавания угроз и т.д. В Европе такие центры работают в Цюрихе и Мадриде. Пока бушует пандемия и физический доступ в них недоступен, Kaspersky предоставляет удалённый доступ к одной из опций Центров Прозрачности. Подать заявку можно по ссылке: https://www.kaspersky.com/transparency-center-offices.

Кроме того, Kaspersky реализовала инициативу, в рамках которой были приняты дополнительные меры по защите приватности корпоративных пользователей в Латвии. В 2019 году был запущен сервис на базе облачной сети Kaspersky Private Security Network, - решения, которое создано для систем повышенной безопасности и предусматривает размещение облачной системы в инфраструктуре клиента под его полным контролем, в связи с чем никакие данные (запросы репутации файлов, сайтов и так далее, информация об обнаруженных угрозах и др.) не уходят за пределы инфраструктуры клиента, обеспечивая при этом максимально возможный уровень защиты.. Это такой дополнительный слой защиты, частная облачная система, которая позволяет компаниям воспользоваться всеми преимуществами облака без необходимости отправлять данные за пределы своей IT-инфраструктуры.

"Сбор и обработка персональных данных сегодня имеют огромное экономическое значение. Кроме того, то, насколько ответственно компании подходят сегодня к безопасности данных, отражается на их репутации. Лидеры в сфере кибербезопасности, Kaspersky в частности, оказались наиболее готовы к появлению регламента GDPR, поскольку вопросы безопасности данных — это их вотчина. Они лучше других понимают возможные риски и способы защитить данные от несанкционированной или незаконной обработки, уничтожения и повреждения. Инициатива Kaspersky по информационной открытости — это, как и регламент по защите данных, важный шаг на пути восстановления доверия пользователя, который позволяет бизнесу максимально использовать возможности на международном рынке", — комментирует Андрис Сорока, основатель и руководитель Data Security Solutions; oснователь и организатор всемирных и международных конференций по кибербезопасности и защите данных (таких как DSS ITSEC и Digital Era) с более чем 20-летним опытом.

Нормы GDPR полностью соответствуют представлениям Kaspersky о том, каким должно быть цифровое пространство, и её миссии — обеспечить безопасность технологий, чтобы каждый мог наслаждаться теми безграничными возможностями, которые они способны ему предложить. Компания продолжает работать над различными проектами в рамках глобальной инициативы по информационной открытости и усиливать свои продукты с точки зрения бережного обращения с пользовательскими данными.

Читайте нас там, где удобно: Facebook Telegram Instagram !