Bendrovės „Kaspersky Lab“ politika naudotojų duomenų tvarkymo atžvilgiu

„Kaspersky Lab“ naudotojų duomenis tvarko pagal pagrindinį asmenų privatumo apsaugos ir gynimo principą. Mūsų apdorojami duomenys itin svarbūs nustatant naujas, dar nežinomas grėsmes, pavyzdžiui, kenkėjiškas programas „WannaCry“ ir „ExPetr“, ir pasiūlant naudotojams geresnes apsaugos priemones. Didelių duomenų kiekių, gautų iš milijonų įrenginių, analizė, siekiant stiprinti apsaugos galimybes – tai geriausia šios pramonės srities patirtis, kurios laikosi viso pasaulio IT saugumo paslaugų teikėjai. Tai būtinybė, siekiant apsaugoti naudotojus nuo kibernetinių grėsmių.

Išsamesnės informacijos apie tvarkomus duomenis ieškokite galutinio naudotojo licencinėje sutartyje (EULA) ir „Kaspersky Security Network“ („Kaspersky saugumo tinklo“) (KSN) sutartyje (ši skiriasi priklausomai nuo produkto). Šie duomenys apima informaciją apie įrenginį (pavyzdžiui, įrenginio tipą, operacinę sistemą ir pan.), įrenginyje nustatytas grėsmes, įtartinus įvykius operacinėje sistemoje ir pan. Naudojama informacija – apibendrinti statistikos duomenys atskirose sistemose; galioja griežta prieigos teisių politika, todėl duomenų nesiejame su konkrečiais fiziniais asmenimis.

„Kaspersky Lab“ produktų naudotojai gali iki absoliutaus minimumo sumažinti iš jų saugomų įrenginių gautą tvarkomų duomenų kiekį. Visi tvarkomi ir (arba) perduodami duomenys yra griežtai saugomi; tam naudojamas kodavimas, skaitmeniniai sertifikatai, atskiras saugojimas ir griežta prieigos prie duomenų politika.

Pagrindiniai principai

  • Bendrovės tinklo sistemose tvarkoma informacija yra itin svarbi naudotojų apsaugai nuo naujausių ir pažangiausių grėsmių užtikrinti.
  • Tvarkome tik duomenis, reikalingus nustatymo algoritmams tobulinti, produktų veikimui gerinti ir mūsų klientams pasiūlyti pažangesnius sprendimus.
  • „Kaspersky Lab“ siunčiami duomenys nesiejami su konkrečiais fiziniais asmenimis. Naudojama informacija – apibendrinti statistikos duomenys atskirose tarnybinėse stotyse; galioja griežta prieigos teisių politika.
  • „Kaspersky Lab“ tikslas – kai tik įmanoma nuasmeninti duomenis, todėl imasi įvairių priemonių, pavyzdžiui, ištrina paskyros duomenis iš perduotų URL, renka bendrą informaciją apie grėsmes, o ne atskiras rinkmenas, įslaptina naudotojų IP adresus ir pan.
  • Naudotojai gali nustatyti perduodamų duomenų kiekį, nes dalyvavimas „Kaspersky Security Network“ yra savanoriškas, ir jo galima bet kada atsisakyti. Jei naudotojai atsisako KSN, dalijamasi tik labai nedideliu duomenų kiekiu, būtinu tinkamam produkto veikimui (pavyzdžiui, duomenų bazės atnaujinimais ir informacija apie produkto licencijos galiojimo pabaigą).
  • Duomenys, kuriais dalijamasi, yra saugoma (net ir perdavimo metu) laikantis griežtų pramonės srities standartų (įskaitant kodavimą, skaitmeninius sertifikatus ir pan.).
  • „Kaspersky Lab“ nuolat peržiūri jos sprendimais tvarkomus duomenis, siekdama apsaugoti savo klientų privatumą ir laikytis naujausių teisės aktų reikalavimų, pavyzdžiui, netrukus įsigaliosiančio ES Bendrojo duomenų apsaugos reglamento (GDPR) reikalavimų.

„Kaspersky Security Network“ – kas tai?

„Kaspersky Security Network“ (KSN) – viena svarbiausių „Kaspersky Lab“ tinklo sistemų, sukurta siekiant kaip įmanoma efektyviau išaiškint naujas ir nežinomas kibernetines grėsmes, tokiu būdu užtikrinant sparčiausią ir efektyviausią naudotojų apsaugą. KSN – tai pažangi tinklo sistema, kuria automatiškai tvarkomi su kibernetinėmis grėsmėmis susiję duomenys, gauti iš milijonų „Kaspersky Lab“ priklausančių įrenginių naudotojų visame pasaulyje, kurie savo noru pasirinko naudotis šia sistema. Šis tinklo sistemos metodas dabar jau tapo pramonės standartu, kurio laikosi daug pasaulinio lygio IT saugumo paslaugų teikėjų.

Tinklo (angl. ‘cloud’-based) sistema – kas tai?

Ši sistema veikia bendrovės tarnybinėse stotyse, o atskiruose įrenginiuose, be to, gal galima (internetu) naudotis iš bet kurios pasaulio vietos. Tinklo sistemų pavyzdžiai: el. pašto, dalijimosi rinkmenomis ir rinkmenų prieglobos (angl. file hosting) sistemos. „Kaspersky Lab“ tinklo tarnybinės stotys yra išdėstytos skirtingose šalyse (pavyzdžiui, Vokietijoje, Kinijoje, Kanadoje, Rusijoje ir kitur), todėl galime sparčiau apdoroti informaciją ir užtikrinti galimybę naudotis tarnybinėmis stotimis (jei kurios nors stoties veikla sutriktų).

Kokia yra tinklo apsaugos paskirtis?

Daugelis IT saugumo paslaugų teikėjų naudojasi tinklu apsaugos sumetimais; pats geriausias variantas – mišrus (hibridinis) apsaugos modelis (antivirusų duomenų bazės + aktyvi gynyba + tinklas).

Didelės įmonių tarnybinių stočių galimybės reiškia, kad naudotojų įrenginiuose nustatytas kibernetines grėsmes galima išanalizuoti greičiau ir tiksliau. Pasirinkus tradicinį antivirusų ir duomenų vagysčių duomenų bazės atnaujinimo ciklą, paprastai tenka laukti keletą valandų, o pasirinkus tinklo sprendimą – naudotojai gali tikėtis apsaugos nuo naujų grėsmių jau po kelių minučių.

Pasirinkus tinklą, siūlomas saugumo produktas „palengvėja“ ir naudotojo įrenginyje užima mažiau atminties bei išteklių.

Kodėl turėčiau sutikti su KSN sutartimi ir dalintis statistikos duomenimis su „Kaspersky Lab“ tinklu?

Kuo daugiau naudotojų prisideda prie tinklo informacijos, tuo aukštesnis bus visų naudotojų apsaugos lygis. Jei naudotojas atsisako dalintis informacija su „Kaspersky Security Network“ (KSN), jo produktai lėčiau reaguos į naujas ir besiformuojančias kibernetines grėsmes. Duomenimis dalintis su KSN atsisakę buitiniai naudotojai nepraranda tinklo teikiamos apsaugos, bet jei taip pasielgs daug naudotojų, ilgainiui apsaugos lygis neišvengiamai sumažės. Jei įmonė naudotoja atsisako KSN, vadinasi, ji iš viso negalės naudotis tinklo teikiama apsauga. Tokiu atveju įmonės gali pasirinkti papildomą apsaugos lygį - „Kaspersky Private Security Network“; tokiu būdu jos gali naudotis tinklo apsauga, neperkeliant duomenų už įmonės ribų.

Ar galimi duomenų perdirbimo apribojimai?

Taip, naudotojai gali nustatyti perduodamų duomenų kiekį, nes dalyvavimas „Kaspersky Security Network“ yra savanoriškas, ir jo galima bet kada atsisakyti. Jei naudotojai atsisako KSN, dalijamasi tik labai nedideliu duomenų kiekiu, būtinu tinkamam produkto veikimui užtikrinti.

Svarbu perduoti šiuos buityje ar įmonėse naudojamų produktų duomenis (pavyzdžiui, informaciją apie įrenginį, produktą ir licenciją). Pagal šiuos duomenis identifikuojami teisėti produktai, jiems siunčiami duomenų bazių atnaujinimai, užtikrinamas jų veikimas ir pan. Ši privaloma informacija pateikiama galutinio naudotojo licencinėje sutartyje.

Buitinių naudotojų atveju į duomenų sąrašą patenka aplankytos interneto svetainės, informacija apie Wi-Fi prieigos taškus ir nustatytas grėsmes. Tai būtina, norint kuo geriau apsaugoti naudotojus, pavyzdžiui, galima įjungti Wi-Fi reputacijos savybę, padedančią identifikuoti pavojingas ir netikras Wi-Fi zonas.

„Kaspersky Security Network“ sutartyje pateikiamas duomenų sąrašas; klientai gali atsisakyti jais dalintis bet kuriuo metu, nuimdami varnelę atitinkamame produkto nustatymo laukelyje (klientai bet kada gali atsisakyti šio sprendimo). Jei klientai (įmonės) atsisako KSN, jie nebegalės gauti skubių pranešimų apie grėsmes tinkle. Šiai problemai išspręsti „Kaspersky Lab“ suformavo atskirą „Kaspersky Private Security Network“ (privatų saugumo tinklą), skirtą įmonėms (klientams); tokiu būdu jos gali naudotis tinklo apsauga, neperkeliant duomenų už įmonės ribų.

Siunčiamos informacijos kiekis ir struktūra skiriasi priklausomai nuo produkto; tai aptariama kiekvienam produktui skirtoje sutartyje. Išsamesnės informacijos ieškokite čia.

Ar tvarkote asmens duomenis?

Skirtinguose įstatymuose skirtingai apibrėžiami asmens duomenys. Pavyzdžiui, GDPR nurodoma, kad asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas). O štai tarptautiniame ISO/IEC 29100:2011(E) standarte teigiama, kad duomenys, pagal kuriuos galima nustatyti asmens tapatybę (PII) – tai bet kokie duomenys, pagal kuriuos galima nustatyti PI subjektą, kurio duomenys tai yra, ar duomenys, kuriuos galima tiesiogiai ar netiesiogiai susieti su PII subjektu.

Pagal naujausius kai kuriose šalyse priimtus teisės aktus, „Kaspersky Lab“ tinkle tvarkoma informacija gali apimti duomenis, laikomus asmens duomenimis ar duomenimis, pagal kuriuos galima nustatyti asmens tapatybę. Pavyzdžiui, el. pašto adresas, kuriuo prisijungta prie „My Kaspersky“ portalo, duomenys, pagal kuriuos diferencijuojamos naudotojų licencijos ir įrenginiai (kad jie veiktų tinkamai) ir pan. Vis dėlto šių duomenų nesiejame su konkrečiu asmeniu. Be to, duomenys patikimai saugomi taikant kodavimo ir kitas saugumo priemones (įskaitant duomenų nuasmeninimo būdus), ir naudojami išimtinai mūsų produktams ir paslaugoms patobulinti, taip pat užtikrinti kuo geresnę naudotojų apsaugą.

Kaip nuasmeninate tvarkomus duomenis?

„Kaspersky Lab“ naudotojų privatumas itin svarbus. Bendrovė taiko šias priemones gautiems duomenims nuasmeninti:

  • Naudojama informacija – apibendrinti statistikos duomenys;
  • Iš perduodamų URL atrenkami prisijungimo duomenys ir slaptažodžiai, net jei šie duomenys saugomi pradiniame naudotojo pateiktame prašyme dėl naršyklės;
  • Tvarkydami duomenis apie galimas grėsmes, paprastai niekuomet nenaudojame įtartinos rinkmenos; tam naudojame maišos sumą, t. y. vienpusę matematinę funkciją, pateikiančią mums unikalų rinkmenos identifikatorių;
  • Esant galimybei, įslaptiname IP adresus ir įrenginių duomenis (gautus su kitais duomenimis);
  • Duomenys saugomi atskirose tarnybinėse stotyse (prieiga prie jų griežtai ribojama), o visi naudotojo į tinklą perduodami duomenys yra saugiai koduoti.

Kuo naudotojams naudingas duomenų tvarkymas tinkle? Kokie duomenys tvarkomi?

Tolesnei analizei renkami duomenys priklauso nuo produkto; naudotojams siūloma atidžiai susipažinti su sutartimis, su kuriomis jie sutiko diegimo metu. Šiems duomenims priskiriami:

  • Licencijos ar abonento duomenys

Esame visuomet pasirengę padėti savo klientams, nukentėjusiems nuo išpuolių kibernetinėje erdvėje; tai pasakytina apie visus mūsų produktus. Turėdami licencijos ar abonento duomenis galime siųsti produktų ir antivirusų duomenų bazės atnaujinimus teisėtiems naudotojams, užtikrindami nuolatinę jų apsaugą nuo naujausių grėsmių.

  • Produkto duomenys

Svarbi ne tik naudotojų apsauga, bet ir kuo geresnė naudojimo patirtis. Todėl analizuojami įvairūs duomenys apie produkto veikimą ir jo sąveiką su naudotoju. Pavyzdžiui, kiek laiko tęsiasi grėsmių skenavimas? Kokiomis savybėmis naudojamasi dažniau, o kuriomis – rečiau? Tinkamas atsakymas į šiuos ir kitus klausimus mums padeda pritaikyti produktus mūsų naudotojams ir pasiūlyti jiems sprendimus, kuriais galima pasinaudoti greičiau ir paprasčiau.

  • Įrenginių duomenys

Mums svarbi ne tik naudotojų patirtis, bet ir naudojimosi patogumas; tam „Kaspersky Lab“ nuolat skiriame dėmesio, kad mūsų pirkėjams būtų lengviau pasirūpinti savo saugumu kibernetinėje erdvėje. Konkretus kompiuteris ar telefonas identifikuojamas pasitelkiant įrenginio tipo, operacinės sistemos ir kt. duomenis. Susiejus licenciją su konkrečiu įrenginiu naudotojui nebereikia įsigyti naujos saugumo produkto licencijos, kai operacinė sistema perinstaliuojama, todėl darbus galima tęsti be jokių nesklandumų.

  • Nustatytos grėsmės

Naudotojų saugumui užtikrinti jiems siūlomi kibernetinio saugumo sprendimai turėtų atitikti naujausias grėsmes; kaip tik tai siūlome savo klientams. Šiuolaikinės kibernetinės grėsmės nuolat kinta, vadinasi, svarbu reguliariai atnaujinti grėsmių duomenų bazes. Jei įrenginyje nustatoma grėsmė (nauja ar jau žinoma), duomenys apie ją siunčiami „Kaspersky Lab“. Todėl galime analizuoti grėsmes, jų šaltinius, užkrėtimo principus ir pan., vadinasi, visų naudotojų apsaugos lygis padidėja.

  • Informacija apie įdiegtas taikomąsias programas

„Kaspersky Lab“ laikosi nuomonės, kad kiekvienas naudotojas nusipelno tik jam skirtos patirties. Tuo tikslu tvarkome duomenis apie įdiegtas taikomąsias programas ir sudarome „baltų“ ar nepavojingų taikomųjų programų sąrašus, be to, galime būti tikri, kad saugumo produktai neblogins naudotojų patirties (nes šios taikomosios programos per klaidą nebus priskirtos kenksmingoms programoms). Be to, šie duomenys padeda mums pasiūlyti naudotojams jų poreikius atitinkančius saugumo sprendimus, todėl šie sprendimai geriau pritaikomi atskiriems naudotojams.

  • Aplankyti URL

„Kaspersky Lab“ tikslas – užtikrinti maksimalią klientų apsaugą naršant internete (nepriklausomai nuo aplankomų interneto svetainių). Todėl URL galima siųsti į tinklą, norint patikrinti, ar šie adresai nėra kenksmingi, ir užkirsti kelią naudotojams juos lankytis. Šie duomenys taip pat padeda sudaryti „baltų“ ar nepavojingų taikomųjų programų sąrašus, be to, galime būti tikri, kad saugumo produktai per klaidą nepriskirs tokių interneto svetainių kenksmingoms ir tokiu būdu nepablogins naudotojų patirties. Be to, šie duomenys padeda mus pasiūlyti geriausiai naudotojų poreikius atitinkančius saugumo sprendimus. Iš perduodamų URL atrenkame prisijungimo duomenis ir slaptažodžius, net jei šie duomenys saugomi pradiniame naudotojo pateiktame prašyme dėl naršyklės.

  • Operacinės sistemos įvykiai

Naujos kenksmingos programos nuolat tobulinamos (kad jų ir toliau nepavyktų nustatyti), todėl jas dažnai išduoda tik įtartinas elgesys. Norint apsaugoti mūsų naudotojus nuo naujausių grėsmių kibernetinėje erdvėje, produktai analizuoja duomenis apie įrenginyje vykstančius procesus. Tokiu būdu galime iš anksto atpažinti procesus, rodančius kenksmingą veiklą, ir greitai užkirsti kelią galimai žalingoms pasekmėms, pavyzdžiui, naudotojo duomenų vagystei ar sunaikinimui.

  • Įtartinos rinkmenos

Įtartinų rinkmenų analizė padeda naudotojams apsisaugoti nuo naujausių ir sudėtingiausių kenksmingų programų. Jei įrenginyje nustatoma (kol kas) neatpažinta rinkmena (kuri elgiasi neįprastai), ją galima automatiškai išsiųsti į tinklą, kur ji bus ištirta pasitelkiant mašininio mokymosi technologijas (tik retais atvejais tokias rinkmenas tiria kenksmingų programų analitikas). Paprastai asmeninės rinkmenos (pavyzdžiui, nuotraukos ar dokumentai) yra nekenksmingi, o jų elgesys nėra įtartinas. Todėl į „įtartinų“ rinkmenų kategoriją daugiausia patenka vykdomosios rinkmenos (.exe).

  • Wi-Fi ryšio duomenys

Šiuo metu mus visur supa Wi-Fi tinklai, tačiau anaiptol visi jie saugūs. Tam, kad naudotojai jaustųsi saugiai (nepriklausomai nuo savo buvimo vietos), Wi-Fi duomenys analizuojami, norint įspėti naudotojus apie nesaugius (t. y., nepakankamai apsaugotus), nes tai užtikrina, kad asmens duomenų per klaidą neperimtų kibernetinėje erdvėje veikiantys nusikaltėliai.

  • Naudotojų duomenys

Klientams svarbu žinoti, kad jų paskyros yra saugios, ir kad jomis galima naudotis nepriklausomai nuo buvimo vietos, todėl autorizacijai „My Kaspersky“ interneto portale naudojami el. pašto adresai (tokiu būdu naudotojai gali valdyti apsaugos lygį nuotoliniu būdu). Tiksliniai pranešimai (pavyzdžiui, įspėjamieji) „Kaspersky Lab“ produktų naudotojams taip pat siunčiami el. pašto adresais. Naudotojai taip pat gali nurodyti vardus (ar slapyvardžius), vartotinus „My Kaspersky“ portale ir susirašinėjant el. paštu. Naudotojai savo kontaktinius duomenis pateikia savo nuožiūra.

  • Perrašymo ir sekimo rinkmenos

Mūsų tikslas – užtikrinti kokybišką „Kaspersky Lab“ naudotojų patirtį, todėl naudotojai gali pasidalinti pranešimais apie klaidas su „Kaspersky Lab“ tarnybinėmis stotimis – tam reikia varnele pažymėti specialų produkto nustatymo laukelį. Ši informacija padeda tirti bet kokias produkte pasitaikančias klaidas ir prireikus produktą keisti, kad jis veiktų kuo efektyviau. Naudotojai turi rankiniu būdu patvirtinti visus į tinklą siunčiamus pranešimus.

Kur saugomi šie duomenys?

„Kaspersky Security Network“ tarnybinės stotys, skirtos prašymams priimti (angl. front-end servers) yra išdėstytos įvairiose šalyse (Vokietijoje, Kanadoje, Kinijoje, Rusijoje ir kitur), o tarnybinės stotys, kuriose tvarkomi duomenys (angl. back-end servers) išdėstytos Rusijoje; šioje šalyje dirba dauguma „Kaspersky Lab“ kovos su kenksmingomis programomis tyrimų darbuotojų. Skirtingi apibendrinti statistikos duomenys saugomi skirtingose tarnybinėse stotyse (prieiga prie jų yra griežtai reglamentuota) arba „Microsoft Azure“ tinkle.

Ar su trečiosiomis šalimis dalijatės asmens duomenimis, kurie tvarkomi pasitelkiant „Kaspersky Lab“ siūlomus sprendimus?

Su trečiosiomis šalimis jokia informacija nesidalijame.

Ar „Kaspersky Lab“ atitinka GDPR reikalavimus?

Šiuo metu „Kaspersky Lab“ imasi priemonių atitikčiai GDPR keliamiems teisiniams, techniniams ir organizaciniams reikalavimams užtikrinti, rengiantis naujų teisės aktų įsigaliojimui.