Мудрый человек способен найти что-то хорошее даже в плохой ситуации. «Даже если тебя съели – у тебя есть несколько выходов» © Недавняя откровенная травля ЛК в американских СМИ, конечно, не была для нас приятной процедурой, но она позволила сделать несколько любопытных наблюдений и выводов, а также дала волшебный пинок многим давно буксовавшим инициативам, об одной из которых сейчас пойдёт речь.
Бизнес кибербезопасности основан на доверии между пользователем и разработчиком. Например, любой антивирус для выполнения поставленной задачи защиты от сетевого зловредства использует ряд технологий, для которых нужны широкие права доступа на компьютере хозяина. По-другому и быть не может – кибернегодяи используют все доступные средства, чтобы проникнуть и закрепиться в операционной системе. Единственный способ засечь и выковырять их оттуда – иметь не меньшие системные привилегии. А это уже благодатная почва для разного рода конспирологических теорий из разряда «антивирусные компании сами пишут вирусы» (ага, сложно представить, чем же занимается МЧС, пожарные и врачи). Ну или что одна кибервоенщина взломала наши продукты и следит через них за другой кибервоенщиной.
Характерной чертой истерики в американских СМИ было полное отсутствие доказательств, использование сугубо анонимных источников и, что самое неприятное, злоупотребление доверием между пользователем и разработчиком. Увы, надо признать, что на выстраивавшиеся десятилетиями доверительные отношения была брошена очень густая тень. Тень не только на ЛК – на всю индустрию кибербезопасности, поскольку все вендоры используют аналогичные технологии для предоставления лучшей защиты.
Можно ли бороться с кризисом доверия? И как?
Можно и нужно. Делать это нужно только настоящими, конкретными шагами, которые аргументированно и технически докажут, что доверию ничто не угрожает. Пользователи как и раньше могут доверять разработчикам, у которых всегда была, есть и будет одна-единственная миссия – защита от киберзловредства.
Мы всегда были максимально открыты во всех планах, а особенно технологическом. Все наши ключевые технологии предельно задокументированы (в рамках нераскрытия секретов) и публично описаны. А вчера мы объявили о запуске глобальной программы открытости, чтобы развеять любые сомнения в чистоте и непорочности наших продуктов, а также подчеркнуть прозрачность внутренних бизнес-процессов, и их соответствие высочайшим индустриальным стандартам.
Итак, что же конкретно мы будем делать.
Во-первых, мы привлечём независимые организации для проведения анализа исходных кодов продуктов и обновлений. Проверить можно будет всё до последнего байта самого антикварного бэкапа. Ключевое слово здесь – независимые. Второе ключевое слово – анализ и аудит не только самого продукта, но и обновлений.
Во-вторых, также независимая оценка безопасности разработки и рисков в процессе доставки продуктов до конечного пользователя.
В-третьих, открытие трёх специализированных центров прозрачности в США, Европе и Азии, где заказчики, партнёры и госорганы смогут как получить исчерпывающую информацию о наших продуктах и технологиях, так и самостоятельно провести разнообразные анализы и оценки.
Это только начало – у нас ещё много планов как стать прозрачнее воздуха и приятнее аромата натуральной магнолии. Мы в самом начале реализации проекта, но будем регулярно рассказывать о свершениях, достижениях и результатах. Если у вас есть идеи и советы – милости прошу сюда ⇒ transparency@kaspersky.com.