Kaspersky heeft gisteren een transparantiecentrum geopend in het Benelux-hoofdkantoor in Utrecht. Daar kunnen klanten, overheden en toezichthouders op afspraak de softwarecode van producten en diensten van de cyberbeveiliger uitpluizen. Het centrum past in de trend waarbij aanbieders openheid geven over de softwarecode die schuilgaat achter hun producten en diensten.
Het gaat om het negende ’transparency center’ van het van oorsprong Russische bedrijf. Door de zwarte doos van zijn technologie open te stellen, hoopt Kaspersky het vertrouwen van klanten in zijn producten te vergroten.
Op verzoek biedt het bedrijf inzicht in de documentatie van zijn softwareontwikkeling, dreigingsanalyses, beveiligingsreviews, en applicaties voor securitytests. Ook een review van de broncode van Kaspersky Internet Security (KIS) voor consumenten en van Kaspersky Endpoint Solutions (KES) voor bedrijven is mogelijk.
Klanten kunnen een lijst krijgen van de softwarecomponenten die er in hun producten zitten. Screening van Kaspersky Security Center (KSC), een controletool voor zakelijke producten, zit ook in het pakket. Ook kunnen klanten overzichten krijgen van verschillende versies van hun software (builds) en testen of aangepaste code werkt met veelgebruikte openbare modules.
Zwarte piste
De ict-beveiliger biedt verschillende gradaties in de reviewmogelijkheden. In Utrecht wordt het centrum aangeduid met de term ‘blauwe piste’. Voor diepgravender onderzoek zijn centra die de term ‘rode’ en ‘zwarte piste’ hanteren, naar voorbeeld van de moeilijkheidsgraad van de afdaling op een skipiste.
Blauw staat voor een review op afstand of op locatie van Kaspersky’s meestgebruikte securityoplossingen. Bij rood worden de meest bedrijfskritische onderdelen van een klant of een betreffende regelgevende instantie onderzocht. De zwarte piste is de meest vergaande review en bedoeld voor techneuten die de meest kritieke onderdelen van de softwarecode vergaand willen testen. Dat kan alleen in centra in Zwitserland en in de VS en kost dagen, zo niet weken, legde een vertegenwoordiger van het transparantieprogramma uit. Volgens Benelux-manager Tim de Groot zal zo’n tachtig procent van de vragen in de blauwe piste vallen.
Overigens is het niet zo dat die klanten de deur platlopen. In de afgelopen vijf jaar zijn er dertig reviews gedaan in de verschillende centra. Ongeveer tien daarvan betroffen de zwaarste, ofwel zwarte piste.
Zwitserland en overheidsban
Het transparantiecentrum op het Benelux-kantoor vloeit voort uit een weg die Kaspersky in 2018 insloeg. Toen verplaatste het bedrijf zijn kernactiviteiten van Rusland naar Zwitserland. Het gaat om opslag en verwerking van klantgegevens en software-assemblage, inclusief updates voor dreigingsdetectie.
Kaspersky zette die stap om, zoals het zelf zegt: ‘volledige transparantie en integriteit te garanderen’, maar had in die jaren steeds vaker te maken met overheden die uit voorzorg de antivirussoftware van de leverancier in de ban deden uit angst voor vermeende spionage door de Russische staat. Die zou door de vestiging in Rusland namelijk een beroep kunnen doen op de data van het bedrijf.
Ook de Nederlandse rijksoverheid deed de antivirussoftware van Kaspersky in de ban. Kaspersky hoopt dat vertegenwoordigers van het rijk snel een kijkje komt nemen in het nieuwe centrum op het Benelux-kantoor en dat besluit herzien. De Groot: ‘Zij zijn de eerste partij die we hebben uitgenodigd voor een review en zijn van harte welkom.’ Kaspersky heeft nog geen reactie ontvangen op die uitnodiging.
