Zürih, İsviçre – Zürih merkezine birkaç kilometre uzaklıkta sıradan bir ofis binası. Panjurların arkasına gizlenmiş terasa bakan büyük pencereleri, büyük bir masası, birkaç sandalyesi ve iki iş istasyonu olan yaklaşık yirmi metrekarelik bir oda. Kısacası, diğerleri gibi bir ofis alanı.
Duvarlardan birine şirketin adı serpiştirilmiş, ekranlarda ise bilgisayar giriş hatları birbirini takip ediyor. Evet, yer sıradan. Bununla birlikte, Rus antivirüs editörü Kaspersky için stratejiktir. Şirketin birkaç tane sahip olduğu İsviçre şeffaflık merkezi, editörün kimlik bilgilerini göstermek için temel argümanlarından biridir.
Hayati Güven
2017’de Rus istihbaratının antivirüs yazılımını kullanan bir NSA yüklenicisini gözetlemesine izin vermekle suçlanan Kaspersky, gerçekten de kaynak kodunu şeffaflık merkezlerinde denetlemeyi teklif ederek misillemede bulunmuştu. Şirketin saklayacak hiçbir şeyi olmadığını kanıtlamanın bir yolu. Yayıncı, programların herhangi bir şekilde bulaşma girişimini izlemesi gerektiğinden doğal olarak son derece müdahaleci olan bir program türü olan antivirüsüne müşterilerinin güvenini korumak için gerçekten her şeyi yapmalıdır.
Altı yıl sonra Kaspersky, şirket tarafından İsviçre’ye düzenlenen bir basın gezisinde bu programın bir değerlendirmesini sundu. Beş yılda – Zürih şeffaflık merkezi Kasım 2018’de faaliyetlerine başladı – 57 ürün denetimi gerçekleştirildi, “inceleme” ortalama üç gün sürdü. Şirket genel olarak bu denetimlerin sayısındaki eğilimin yükselişte olduğunu açıklıyorsa, pandemi taleplerde önemli bir düşüşe neden olmuştu.
zor analiz
ZDNET.fr tarafından sorgulanan sektördeki üç uzman, ancak bu iki rakama şaşırdı. İlki, toplam denetim sayısının düşük olduğunu düşünürken, ikincisi ilk olarak “incelemelerin” ortalama süresiyle zorlanır. Görüşülen üçüncü uzman, “Daha az denetim hayal ederdim ama çok daha uzun” diye ekliyor.
Üç günün yalnızca kodun genel olarak keşfedilmesine veya programın işleyişinin belirli bir noktasında araştırmaya izin verdiğine inanıyor. Sonunda, “Zeki bir adam tarafından gizlenen bir arka kapı için sonradan bakmak her zaman karmaşıktır,” diye hatırlıyor ve bu tür bir keşfin genellikle daha çok şansa veya büyük beceriksizliğe borçlu olduğunu vurguluyor.
Ancak, bu rakamları karşılaştıramadığımız için bu birkaç istatistiğin analizinde daha ileri gitmek zordur – Kaspersky, siber güvenlikte şeffaflığa eşi benzeri görülmemiş bir yaklaşım uyguladığını iddia ediyor – üstelik bu rakamlar tam anlamıyla alınmamalıdır. . Süreleri hakkında, antivirüs yayıncısı böylece denetimlerin bir gün başlayabileceğini, analizleri gerçekleştirmek için gereken sürenin durdurulabileceğini ve daha sonra çok daha sonra, birkaç ay sonra tamamlanabileceğini ve bu toplam sürenin dahili sayıma dahil edilmediğini hatırlatır.
İşletmeler ve devlet kurumları
Kaspersky Lab’de ürün güvenliğinden sorumlu ZDNET.fr Igor Kumagin, “En uzun denetim altı iş günü sürdü” dedi. “İncelemeler” esas olarak özel şirketler tarafından yürütülüyor, ancak adı açıklanmayan devlet kurumları da şirketin yazılımlarının sırlarını incelemeye geldi.
Zürih’e veya başka bir şirket şeffaflık merkezine gelmek için, toplamda dokuz tane var ve üç tane daha gelecek yıl açılacak – bir e-posta göndermeniz veya hesap yöneticileriyle iletişime geçmeniz yeterli. Denetime hazırlanmak için, kapsamın belirlenmesini sağlamak üzere önceden bilgi alışverişi yapılır. Ardından D-Day’de ziyaretçilere yerinde Kaspersky uzmanları yardımcı olur.
Dinleyicinin monitörünün burnu değilse, editörün ekipleri araştırmasında onu desteklemek ve aynı zamanda herhangi bir hırsızlık girişimini önlemek için onun yanındadır. Igor Kumagin, “Kaynak kodunun bir bölümünün kopyalanmasını veya fotoğrafının çekilmesini istemediğimiz için bu ziyaretler denetleniyor” diyor.
Her seferinde bir ürün
Şirketin basına gösterdiği gibi, denetçi denetlenen ürünlerin kodunun farklı bölümleri arasında gezinebilir. Bu çalışma, belirli bölümlere geçmeden önce, yazılımın mimarisinin ve nasıl oluşturulduğunun gözden geçirilmesiyle başlar. Bu denetimler genellikle tek bir ürüne odaklanır. Ancak beş güne yayılan bunlardan biri, örneğin iki ürünle ilgiliydi. Ve şüpheli bir kod parçası keşfedilirse ne olur? Şirket, “Standart bir süreç” olarak tartışır ve düzeltiriz diye yanıt verir.
Sonunda, Kaspersky’nin şeffaflık operasyonu 7,9 milyon avroya mal oldu, bu meblağ büyük ölçüde Avrupa, Amerika, Orta Doğu ve Asya’nın bir bölümünde verileri barındıran İsviçre veri merkezlerine ayrıldı. Şirket için suçlamaların tehlikeleri göz önüne alındığında, sonuçta oldukça küçük bir yatırım. Ama yeterli mi? Rusya’nın Ukrayna’yı işgalinin başlamasından sonra şirketin ürünlerinin kullanımına ilişkin Anssi veya Alman BSI’nin teknik olmaktan çok jeopolitik uyarıları olumsuz bir yanıt veriyor.