หลังจาก Kaspersky เจอปัญหารุมเร้าจากข้อกล่าวหาเรื่องรัฐบาลรัสเซีย จนส่งผลกระทบต่อธุรกิจ วันนี้บริษัทประกาศมาตรการกู้วิกฤตศรัทธา เรียกความเชื่อมั่นกลับคืนมา
แผนการของ Kaspersky มีชื่อว่า Global Transparency Initiative เน้นสร้างความโปร่งใสในผลิตภัณฑ์และกระบวนการทำงานของบริษัท ดังนี้
- เปิดซอร์สโค้ดของบริษัทให้ผู้เชี่ยวชาญภายนอกเข้ามาตรวจสอบ โดยจะเริ่มในไตรมาส 1/2018
- เปิดกระบวนการพัฒนาซอฟต์แวร์ให้ผู้เชี่ยวชาญภายนอกเข้ามาตรวจสอบ เริ่มไตรมาส 1/2018 เช่นกัน
- เพิ่มกระบวนการควบคุมข้อมูลขององค์กร โดยเปิดให้หน่วยงานภายนอกเข้ามาตรวจสอบอีกชั้น ในไตรมาส 1/2018
- ตั้งศูนย์ Transparency Centers สำหรับพาร์ทเนอร์เข้ามาตรวจสอบโค้ดและการทำงานของบริษัท โดยจะเปิด 3 แห่งทั่วโลก แยกเป็นในสหรัฐ ยุโรป เอเชีย ศูนย์แห่งแรกจะเปิดในปี 2018 และเปิดครบ 3 แห่งในปี 2020
- เพิ่มเงินรางวัลสำหรับการค้นพบช่องโหว่ในผลิตภัณฑ์ Kaspersky สูงสุดคือ 100,000 ดอลลาร์ต่อช่องโหว่
Kaspersky ยังบอกว่าจะประกาศแผนเพิ่มเติมในครึ่งหลังของปี 2018 และยินดีรับฟังความเห็นจากผู้เชี่ยวชาญในอุตสาหกรรมความปลอดภัยด้วย
ที่มา - Kaspersky

Our transparency initiative: source code (incl. updates) for 3rd party review; open 3 transparency centers worldwide https://t.co/HQmyufDCcU pic.twitter.com/1pdLil6MhQ
— Eugene Kaspersky (@e_kaspersky) October 23, 2017
on
คล้ายๆ กับ MEGA.nz ไหมครับ
jaideejung007 Tue, 24/10/2017 - 11:20
คล้ายๆ กับ MEGA.nz ไหมครับ
https://github.com/meganz/webclient
ที่เปิดซอร์สโค้ด เพื่อความโปร่งใสในการตรวจสอบ
อันนี้ไม่เปิดให้สาธารณะครับ
mk Tue, 24/10/2017 - 11:56
In reply to คล้ายๆ กับ MEGA.nz ไหมครับ by jaideejung007
อันนี้ไม่เปิดให้สาธารณะครับ แค่เปิดให้ auditor
กว่าจะถึง Q1 2018
McKay Tue, 24/10/2017 - 12:29
กว่าจะถึง Q1 2018 ความเชื่อมั่นจะลดลงอีกขนาดไหนนะ แถมไม่ใช่ว่าก่อน Q1 จะลบส่วนที่เคยยัดมีปัญหาทิ้งไม่ได้ การแถลงข่าวครั้งนี้จะกลายเป็นการ backfired หรือเปล่า
แทนที่จะแถลงข่าวเมื่อพร้อมให้ตรวจสอบแล้ว
มองแบบธุรกิจ
Hoo Tue, 24/10/2017 - 13:23
In reply to กว่าจะถึง Q1 2018 by McKay
มองแบบธุรกิจ
ที่ต้องรีบ action เพราะลูกค้าเก่า ทยอยหมดอายุ ละมั๊ง
เลยต้องรีบประกาศสร้างความมั่นใจ แล้วทำแก้ไปทีหลัง
เพราะถ้าลูกค้าเก่าไม่ต่ออายุแล้วไปซื้อเจ้าอื่น อาจจะเสียลูกค้าเก่าถาวร
ยิ่งถ้ารอถึง Q1 ปีหน้า ก็ตก 6 เดือน
ลูกค้าเก่าหายไปครึ่งนึงเลย!!!
การรีบปล่อยข่าวโดยที่ยังไม่สา
McKay Tue, 24/10/2017 - 13:46
In reply to มองแบบธุรกิจ by Hoo
การรีบปล่อยข่าวโดยที่ยังไม่สามารถทำได้ในปัจจุบันมันดูแย่มากนะครับ มันแปลว่า ณ ปัจจุบันตัว Kaspersky เอง'ไม่พร้อม'ที่จะถูก Audit ไม่ว่าจะด้วยเหตุผลอะไรก็แล้วแต่ และต้องใช้เวลาอย่างน้อย 2 เดือน เพื่อ'เตรียมการ'ถูก Audit นั้น
การมาแสดงตัวว่า'ตอนนี้ไม่พร้อม'นี่แหละครับ ยิ่งทำให้ตัวเองหมดความน่าเชื่อถือ
ความไม่พร้อม ไม่น่าเกิดจาก
Hoo Tue, 24/10/2017 - 14:25
In reply to การรีบปล่อยข่าวโดยที่ยังไม่สา by McKay
ความไม่พร้อม ไม่น่าเกิดจาก code ไม่พร้อมถูก Audit นะ
ผมมองว่า
การกำหนด ข้อตกลงการ Audit เอย
การเลือกหา บ.Audit ที่ไว้ใจได้เอย
การดำเนินการขั้นตอนทางธุรกิจกับ บ.Audit เอย
ต้องใช้เวลาทั้งนั้น
สิ่งเหล่านั้นเป็นเพียงข้ออ้าง
McKay Tue, 24/10/2017 - 14:36
In reply to ความไม่พร้อม ไม่น่าเกิดจาก by Hoo
สิ่งเหล่านั้นเป็นเพียงข้ออ้างมากกว่าครับ Kaspersky มีเวลาสองเดือนกว่าๆก่อนที่จะออกมาให้ข่าวนี้ด้วยซ้ำ
อย่างที่บอกครับ หากไม่พร้อมก็ไม่ควรให้ข่าวตั้งแต่แรก
ถูกต้องครับ
Jirawat Tue, 24/10/2017 - 20:03
In reply to สิ่งเหล่านั้นเป็นเพียงข้ออ้าง by McKay
ถูกต้องครับ
ถ้าปักธงไปแล้วว่า
Hoo Tue, 24/10/2017 - 20:12
In reply to สิ่งเหล่านั้นเป็นเพียงข้ออ้าง by McKay
ถ้าปักธงไปแล้วว่า มีฝังโค้ดขโมยข้อมูลแน่ๆ
เวลาที่ยืดคือใช้ทำลายหลักฐาน
ผมก็ไม่มีอะไรจะพูดละ
เพราะผมแค่ชี้ว่า ขั้นตอนทางธุรกิจ มันไม่ได้เร็วแบบนั้น
แค่เขียนร่างข้อตกลงยอมให้ Audit แล้วมีช่องโหว่
เช่น เปิดมากไป/น้อยไป Auditor ต้องรักษาความลับธุรกิจยังไง ถ้าหลุดจะฟ้องร้องได้ขนาดไหน ฯลฯ
มันไม่ง่าย ต้องปรึกษาฝ่ายเทคนิก อ่านทวนสัญญา ตรวจสอบอย่างรอบคอบหลายรอบ
รวมทั้งเหตุผลที่รอไม่ได้
ถ้าคิดว่าฟังไม่ขึ้น หรือ อยากก่อดราม่า ก็เอาที่สบายใจ
เพราะผมใช้ AVG
ผมไม่ได้ปักธงอะไรครับ
McKay Tue, 24/10/2017 - 21:08
In reply to ถ้าปักธงไปแล้วว่า by Hoo
ผมไม่ได้ปักธงอะไรครับ ไม่ได้คิดว่า Kaspersky จะต้องฝังโค๊ดด้วยซ้ำ
แต่การเป็นบริษัท security นั้นจำเป็นต้องทำงานแบบ transparency ครับ คุณจะปล่อยให้เกิดปัญหามาอย่างน้อยสองเดือนกว่าแล้วมาบอกว่าอีกสองเดือน(รวม 5 เดือน+)จะให้ Audit บริษัทนะ แบบนั้นมันแย่ครับ เพราะมันแปลว่าที่ผ่านมาคุณไม่เคยให้ใคร Audit ตัวเองเลยแม้แต่เรื่องกระบวนการ กรณีแบบนี้ท้ายที่สุดแล้วความน่าเชื่อถือมันจะอยู่ที่ไหนครับ นโยบาย CEO ไม่ให้ความร่วมมือก็จริง แต่ก็ไม่มีอะไรมายืนยันได้ว่าในบริษัทจะไม่มีใครแอบฝัง หรือสร้างช่องโหว่อะไรไว้ หรือแม้แต่ข่าวลือเรื่อง Kaspersky สร้างไวรัสอะไรนั่นก็ด้วย
ไม่ใช่ว่ากรณี lost trust แบบนี้มันไม่เคยเกิดขึ้นครับ มันเกิดขึ้นบ่อยมากจนมาเกิดกับ Kaspersky แต่การแก้ปัญหาของ Kaspersky นั้นล่าช้าจนปัญหามันลุกลามไปเยอะแล้ว
ขอย้ำอีกทีว่าโดยส่วนตัวผมไม่คิดว่า Kaspersky จะต้องฝังโค๊ดอะไร แต่การให้ข่าวนี้ของ Kaspersky นั้นแทบจะเรียกความเชื่อมั่นคืนมาไม่ได้เลยครับ ในขณะที่จำนวนคู่แข่งเองก็เพิ่มขึ้นมาเรื่อยๆและลูกค้าสามารถย้ายไปใช้เจ้าอื่นได้ตลอดเวลา
อันนี้ Kaspersky ไม่ได้บอกนะครับว่าจะเสร็จตอน Q1 2018 แต่บอกว่าจะ'เริ่ม' ซึ่งกระบวนการมันก็คงเริ่มตอนนั้นแหละครับ
ถ้าพูดถึงการพูดแล้วแต่ยังไม่
Hoo Wed, 25/10/2017 - 18:06
In reply to ผมไม่ได้ปักธงอะไรครับ by McKay
ถ้าพูดถึงการพูดแล้วแต่ยังไม่ action
ก็ไม่มีผลต่อตลาดเท่าไหร่ อันนี้เห็นด้วย
แต่ผมไม่เห็นด้วยว่า kaper ไม่โปร ที่ไม่พร้อมให้ audit
เพราะผมไม่เคยเห็นมี AV ตัวไหนต้องโดน audit เลย
แล้วแนวคิด security
บางอย่างควรเปิด
บางอย่างควรปิด
โดยมาก algo ในการตรวจเชิงพฤติกรรมอะไรแบบนี้จะปิดลับ ไม่ใช่เปิด
การเปิดจะทำให้ hack หาวิธีหนีการตรวจจับได้ง่ายขึ้น เพราะจะรู้จุดหมิ่นเหม่ได้
ไม่ว่าการจับบอทค่าย blizzard หรือ google ที่ตรวจ apk
ยังไม่รวมทั้งรั่วถึงคู่แข่งอีก
2 เดือนที่ผ่านมา ไม่ควรนับ
เพราะ kaper พยายามดิ้นด้วยวิธีอื่น คงเพิ่งตกลงจะยอมใช้วิธีให้ audit นี้ ซึ่งน่าจะเป็นทางเลือกสุดท้ายจริงๆ
เมื่อตกลงแล้วว่าจะใช้วิธีนี้
จากนี้ขั้นตอนธุรกิจคือ
-ร่างสัญญาให้รัดกุม
-เลือกหา บ.Audit ที่ยอมรับสัญญา + เจรจาราคา
-บ.Audit ต้องเตรียมหาคนมาดูแลงานนี้
ฝั่ง kaper เองก็ต้องแก้ process งาน เช่น เปิดให้ audit เข้าถึง code ก่อน build
ฯลฯ
กว่าจะเริ่มได้ก็ Q1 นั่นแหละ
ลองคิดว่าคุณเป็น kaper ที่จู่ๆ รายได้ก็หายไป แต่ค่าใช้จ่ายยังวิ่งเหมือนเดิม เงินที่หมุนน้อยลงไปเรื่อยๆ ในทางธุรกิจมันหนักนะ
การออกมาพูดโดยหวังว่ามันจะดีขึ้นซักนิด(เผื่อบางคนเชื่อมั่นขึ้นมา) ก็ดีกว่าเงียบเฉยๆครับ
เรียกว่าจะจมน้ำแล้ว เห็นฟางก็ต้องคว้าละครับ
มันเป็นอะไรที่เข้าใจได้ในทางธุรกิจครับ
อันนี้ผมไม่ขอตอบเพิ่มแล้วกันน
McKay Wed, 25/10/2017 - 19:13
In reply to ถ้าพูดถึงการพูดแล้วแต่ยังไม่ by Hoo
อันนี้ผมไม่ขอตอบเพิ่มแล้วกันนะครับ แต่แนะนำให้ไปอ่านเพิ่มเติมใน blog ของ kaspersky เอาเอง เรื่อง transparency