Выворачивать наизнанку: зачем это нужно?
Представьте, что вы пришли в ресторан, где повар готовит еду на глазах у посетителей. Вы сможете увидеть, как он работает над вашим заказом и какие именно ингредиенты использует. Возникнут ли у вас в этом случае сомнения относительно качества сервиса?
Применяя ту же тактику "открытой кухни", например, за счет обнародования каналов передачи информации или сведений о способах внедрения тех или иных решений, организации преследуют следующие цели: показать свою ответственность, повысить лояльность клиентов и партнёров, наладить диалог с теми, кто в них сомневается. Многие люди отождествляют транспарентность в бизнесе с моральным обликом предприятия. Согласно исследованию консалтинговой компании Sprout Social, 86% потребителей считают, что прозрачность брендов сегодня важна, как никогда, 76% готовы покупать у таких брендов больше.
А что в ИТ?
Львиная доля наших данных сосредоточена в руках ИТ-корпораций. Мы всё теперь делаем онлайн: покупаем еду, заказываем такси, записываемся на приём к врачу через приложения. Отсюда и беспокойство насчёт конфиденциальности: многие корпорации сталкиваются с обвинениями в том, что используют информацию пользователей в своих целях.
Доверие общественности к сфере ИТ и кибербезопасности в целом подорвали скандалы с утечками данных. Взять хотя бы разоблачения Эдварда Сноудена, резонанс Facebook и Cambridge Analytica или отдельные локальные инциденты. Журналисты добавляют масла в огонь, рисуя мрачные картины из антиутопии Оруэлла, о том, что повсеместная цифровизация положит конец частной жизни.
На этом фоне принципы работы с данными стали краеугольным камнем в индустрии. На защиту приватности встали глобальные регуляторы: в 2018 году в силу вступил регламент General Data Protection Regulation (GDPR), который обязывает организации предоставить людям новые возможности защищать и контролировать сведения о себе. В частности, один из пунктов говорит о том, что информация о правилах обработки данных должна быть предоставлена их обладателю в понятном и доступном виде. Другой — о том, что пользователь имеет право знать, какие именно данные используются, как долго они хранятся, и кто имеет к ним доступ. Чтобы реализовать этот подход, многим компаниям пришлось внести изменения в свою инфраструктуру.
Не верьте на слово, убедитесь сами
Но существует распространенное мнение, что культура транспарентности должна создаваться не столько нормативными актами, сколько силами самих ИТ-компаний, прежде всего хедлайнеров отрасли. Так, у большинства ИТ-гигантов есть разнообразные программы, цель которых — выстроить процессы для всесторонней проверки. В качестве примера можно вспомнить программы по поиску уязвимостей — Bug Bounty (есть у Microsoft, Google, Intel, Facebook и т.д.). В каждом отдельном случае условия Bug Bounty разные, но общая суть заключается в том, что любой желающий — от начинающего IT-специалиста до продвинутого эксперта — может искать слабые места в продуктах компании. Таким образом компании демонстрируют готовность работать над ошибками, ответственность перед клиентами и профессиональным сообществом, а также обеспечивают дополнительные меры безопасности своих решений.
Программу Bug Bounty развивает и Kaspersky. Всего с марта 2018 года с помощью независимых исследователей компания закрыла 76 уязвимостей в своих продуктах. Общая сумма выплаченных вознаграждений составила 57 750 долларов США.
Кроме того, в 2017 году компания сделала смелый шаг и единственная среди конкурентов запустила глобальную инициативу по информационной открытости (Global Transparency Initiative). В её рамках в швейцарский Цюрих была перенесена существенная часть инфраструктуры, в том числе "сборочная линия" программного обеспечения и серверы, на которых хранятся и обрабатываются данные пользователей из США, Канады, ряда стран Азиатско-Тихоокеанского региона и Европы, включая Латвию, Литву и Эстонию. Почему именно в Швейцарию? Она входит в число мировых лидеров по количеству доступных защищённых интернет-серверов, её ЦОДы имеют самую высокую репутацию на глобальном уровне.
Ещё одна важная составляющая инициативы — открытие так называемых Центров прозрачности по всему миру, в которых клиенты и партнёры Kaspersky могут проанализировать исходный код продуктов и антивирусных баз компании, убедиться, что в них нет "пасхальных яиц", все функции соответствуют документации, а сам софт не может нанести вреда компьютерам. Помимо этого, Kaspersky приняла дополнительные меры по защите приватности корпоративных пользователей в Латвии. В 2019 году начал работу сервис на базе облачной сети Kaspersky Private Security Network, — решения, которое создано для систем повышенной безопасности и предусматривает размещение облачной системы в инфраструктуре клиента под его полным контролем, в связи с чем данные (запросы репутации файлов, сайтов и так далее, информация об обнаруженных угрозах и др.) не уходят за пределы инфраструктуры клиента. Это такой дополнительный слой защиты, частная облачная система, позволяющая компаниям воспользоваться всеми преимуществами облака без необходимости отправлять данные за пределы своей IT-инфраструктуры.
"Информационная открытость не может быть разовой акцией, а должна быть непрерывным процессом, вот почему наша инициатива по информационной открытости состоит из нескольких долгоиграющих проектов. С тех пор как мы в 2017 году ее анонсировали, произошла серьёзная трансформация подходов и законодательных инициатив, касающихся безопасной обработки и хранения данных. Транспарентность становится нормой в мире ИТ и Kaspersky выступает на передовой этого движения", — комментирует Андис Штейнманис, руководитель Kaspersky в странах Балтии.
Что в итоге?
Прозрачность и доверие идут рука об руку, одно вытекает из другого. Процесс создания прозрачных и доверительных отношений с партнерами и клиентами — длительный процесс, он может достигаться при помощи различных инструментов. Это как башня из тысячи кирпичей: чтобы построить ее, требуется аккуратно и терпеливо класть кирпичи один к другому. Такая работа может занять продолжительное время, но не должна оказаться чрезвычайно сложной, если скрывать компании действительно нечего, а за свои сервисы она ручается.
