Hace unos meses anunciamos que estábamos a punto de lanzar nuestra Iniciativa de Transparencia Global. Cuando comenzó la primavera, seguimos en esa dirección, con el aumento de la recompensa de nuestro programa bug bounty a 100.000 dólares. Y hoy estamos listos para dar un paso importante: vamos a trasladar una gran parte de nuestra infraestructura a Zúrich, Suiza, incluida nuestra “línea de ensamblaje de software” y los servidores que almacenan y procesan los datos de Kaspersky Security Network y vamos a crear nuestro primer Centro de Transparencia.
Para ayudar a los usuarios a entender el propósito y la importancia de esta iniciativa, hemos recopilado las siguientes preguntas y respuestas.
¿Qué es eso de la línea de ensamblaje y los datos de KSN?
En primer lugar, nuestros sistemas de desarrollo (o “línea de ensamblaje”), que trabajan en la compilación y creación de los productos de Kaspersky Lab y en la actualización de normas de la detección de amenazas, se trasladarán a Zúrich. De esta forma, nuestro software se compilará y firmará en Suiza bajo la supervisión de una organización tercera antes de que se distribuya a los clientes.
En segundo lugar, estamos trasladando los servidores que procesan y almacenan la información de usuarios de Kaspersky Security Network en Europa, Norteamérica, Australia, Japón, Corea del Sur y Singapur (y más países que se irán uniendo). Esta rutina también la revisará un organismo independiente.
¿Por qué trasladamos la línea de ensamblaje y los datos de KSN?
Aunque el nivel de protección actual en la infraestructura de procesamiento de datos y desarrollo de software ya es muy elevado, seguimos trabajando sin descanso para mejorarlo. Para aumentar nuestra resistencia a los riesgos de la cadena de suministro y la transparencia a nuestros clientes, es importante asegurarse de que el código fuente se revise en nuestro Centro de Transparencia y que el código compilado en los productos que se envían a los clientes sea el mismo. Por ello, también vamos a trasladar el servicio de compilación y firma a Suiza.
Lo mismo ocurre con los datos procesados por Kaspersky Security Network. Si se almacenan en Suiza bajo la supervisión de una organización independiente, cualquier acceso a ellos se registra meticulosamente y estos registros se pueden consultar en cualquier momento.
¿Y qué es el Centro de Transparencia?
Es un servicio donde los socios de confianza y las partes interesadas del Gobierno puedan comprobar el código fuente de nuestros productos y las herramientas que usamos. Este servicio proporciona acceso a:
- La documentación del desarrollo de software seguro.
- El código fuente de cualquier producto que haya sido publicado (incluidas las versiones antiguas).
- Las bases de datos de las normas de detección de amenazas.
- El código fuente de los servicios de la nube responsable de recibir y almacenar los datos de los clientes de Europa y Norteamérica.
- Las herramientas de software usadas para la creación de un producto (las pautas de construcción), bases de datos y servicios de la nube.
¿Cuál es la finalidad?
El objetivo principal de nuestra Iniciativa de Transparencia Global es establecer la revisión de los procesos de modo que la integridad de nuestros productos, actualizaciones, reglas de detección, almacenamiento de datos y similar no dependan solo de nuestra palabra. Los responsables del gobierno y de las organizaciones privadas con una experiencia relevante podrán comprobar nuestro software para asegurarse de que todo funciona como debería.
¿Quién va a asegurarse de que trabajéis conforme a las reglas?
Una organización tercera independiente evaluará la fiabilidad de todo lo que tenga lugar en nuestras instalaciones en Zúrich. Esta tendrá el mayor acceso posible y sus funciones incluirán:
- Supervisar y registrar instancias de los empleados de Kaspersky Lab que tengan acceso a los metadatos recibidos a través de Kaspersky Security Network y almacenados en el centro de datos suizo.
- Organizar y realizar un análisis del código fuente.
- Ejecutar otras tareas destinadas a evaluar y verificar la confianza de los productos de Kaspersky Lab.
Kaspersky Lab respalda la creación de una nueva organización sin ánimo de lucro que corra con esta responsabilidad, no solo para la compañía, sino también para los socios y miembros que deseen unirse. Cabe recalcar que el Centro de Transparencia y la organización son dos entidades completamente diferentes e independientes.
¿Por qué Suiza?
Elegimos esta ubicación por dos motivos. Primero, Suiza ha mantenido una política de neutralidad durante dos siglos y, segundo, el país cuenta con una fuerte legislación de protección de datos. Creemos que estas dos cualidades hacen de Suiza el país perfecto para establecer parte de nuestra infraestructura sensible.
¿Vais a abrir más Centros de transparencia?
Tenemos planeado abrir centros adicionales en Norteamérica y Asia para 2020. Sin embargo, todavía no podemos comentar los detalles.
¿Cuándo tendrá lugar el traslado?
Este proceso llevará un tiempo. El traslado de nuestra línea de ensamblaje, lo más fácil del proceso, estará listo a finales del 2018. Pero la creación de una infraestructura que procese datos requiere la mudanza de una docena de servicios de Moscú a Zúrich y su implementación. Acabamos de empezar este proyecto y tenemos pensado terminar a finales del 2019.
Por lo que sabemos, somos la primera compañía de ciberseguridad en presentar esta iniciativa. Y ser pionero puede generar complicaciones, pero creemos que ya es hora de aportar transparencia al desarrollo de software y, por tanto, cada compañía tendrá que hacer lo mismo tarde o temprano. Ser los primeros nos da ventaja al respecto.