Kaspersky åbner nu en helt ny afdeling i Schweiz med ét enkelt formål; at scanne selskabets konstant foranderlige kildekode for bagdøre.
»Der er simpelthen opstået et behov for at afmystificere, hvad vores industri laver og vi ønsker at gå i front, blive transparente og tillade kritiske øjne at se helt ind bag gardinerne,« siger Leif Jensen, der er Kasperskys nordiske direktør, til Version2.
Mistilliden rammer ikke kun Kaspersky, og derfor forventer Kasperskys øverste kommunikationschef, Anton Shingarev, at andre selskaber må tage de samme skidt for at cementere deres troværdighed.
»Vi er overbevist om, at vi her kommer til at sætte en ny standard, hvad angår transparens for hele branchen,« lyder det selvsikkert fra Anton Shingarev i en paneldebat om transparens, faciliteret af Kaspersky som Version2 har fået eksklusiv adgang til.
Risikerer at miste EU
Udmeldingen falder sammen med en opsigtsvækkende afstemning i EU. For i skrivende stund er unionen i gang med at stemme om, hvorvidt Kaspersky skal forbydes på alle officielle EU-systemer.
Og det er blot det seneste eksempel på en lang stribe af mistillids-sager mod det russisk baserede antivirusselskab. Det er ellers ikke længe siden mistilliden til branchen, og især Kaspersky, kulminerede i et totalforbud af Kaspersky-produkter i de fleste offentlige sammenhænge i USA.
Forbudet gælder stadig den dag i dag, for man tror ikke på, at russisk baserede antivirus-selskaber kan holde Putin og hans efterretningstjenester ude af koden, lyder det.
Dermed mistede Kaspersky ikke bare en lang række store kunder, men fik også en ridse i troværdigheden, der kunne mærkes, og som gav genlyd ikke bare blandt selskabets andre kunder, men også i hele branchen.
Og nu risikerer de at miste endnu en stor kunde: EU-Parlamentet.
Mistilliden har ulmet i mange år, lyder det fra sikkerhedseksperten fra G-Data, Eddy Willems, der er en af de øvrige paneldeltagere. For hvem tjekker egentlig de systemer, der tjekker for malware hos forbrugerne?
»Folk er pludselig blevet mere skeptiske over for os og hvorfor skulle de ikke det? Vi er som branche skeptiske over for alle, så der er ingen grund til at forbrugerne, både kunder og virksomheder, ikke skal have lov til at være skeptiske over for os,« siger Eddy Willems.
Bagdørs-scanner
Anton Shingarev fra Kaspersky forklarer, at Kaspersky agter at bygge et helt nyt, topsikret kompleks med videoovervågning, uden adgang til internettet og med et betydeligt sikkerhedsniveau.
Her skal en mindre gruppe schweizere, godt hjulpet af algoritmer, konstant gennemgå Kasperskys kode for bagdøre.
Idéen er ikke ny eller original som sådan. Faktisk er der tale om en almindelig praksis i andre dele af softwarebranchen, og erfaringen viser, at det er en sikker måde at få objektive øjne på kode uden at løbe en betydelig sikkerhedsrisiko, fortæller Anton Shingarev.
»Vi er ikke bange for, at vores produkt tager skade af at blive kigget igennem. En lang række andre virksomheder, herunder Microsoft, har eksterne gennemlæsere og har haft det længe.«
Når man ikke blot går den nuværende kode igennem en gang og derefter blot tjekker opdateringerne skyldes det, at måden Kasperskys software er bygget op på, hele tiden ændrer sig for meget. Derfor er der nødt til hele tiden at køre en validering, et scan, forklarer Anton Shingarev.
Standarder
Han fortæller også, at den schweiziske kodescanner kun er første skridt i en større plan, der skal genrejse tilliden til selskabets produkter og gøre det nemmere at stole på branchen.
Men det er næppe nok i sig selv, mener Eddy Willems fra G-Data.
»Vi som organisationer kommer til at gøre meget mere for at bevise os selv og vores metoder. Og jeg er overbevist om, at en eller anden form for standard eller certificering ville hjælpe os rigtig meget med det.«
Han fortæller, at der allerede er nogle standarder for antivirus-selskaber, men at de mest koncentrerer sig om, hvor gode de er til at detektere, slette og fryse trusler. Den kigger ikke på troværdighed, metoder eller etik.
Og uanset hvad, bliver det ikke nemt at lave en standard der, eksempelvis, indeholder krav til tests af kildekoden i antivirus-softwaren.
»Det er i forvejen svært at teste software. Vil man eksempelvis reverse-engineere et helt antivirusprogram, kommer det til at kræve ekstremt mange ressourcer,« siger Eddy Willems.
Alligevel ser han minimumskrav, i form af standarder, til branchen som en af flere løsninger, der kan genskabe tilliden til antivirusbranchen.
Det er endnu ikke offentliggjort, hvilken ‘ekstern leverandør’, som Kaspersky selv formulerer det, der skal stå for løsningen, der forventes at være driftsklar i løbet af den sidste halvdel af 2019.