Microsoft понимает и разделяет озабоченность своих клиентов тем, что правительственные структуры пытают “подсматривать” за делами и данными людей и организаций в Интернете, и готова помочь пользователям своих облачных сервисов в разрешении этих проблем. Корпорация считает, что правительства имеют право использовать только законные методы доступа к пользовательским данных, но не вправе применять “хакерские” способы. Об этом заявил в официальном блоге компании главный юрисконсульт и исполнительный вице-президент по правовым и корпоративным отношениям Microsoft Брэд Смит.
Он сообщил, что его компания, как и многие другие, весьма обеспокоена последними сообщениями в СМИ о расширяющихся и продолжающихся попытках некоторых правительственных органов получить возможность наблюдения за частной информацией в обход законных процедур или без судебных решений на это счет. (Cтоит обратить внимание, что в США для обозначения властных структур используется именно термин “правительственный”, а не “государственный”.)
Речь, в частности, идет публикациях о сборе информации о перемещении пользовательских данных от клиентов к серверам или между датац-ентрами компаний. Далее юрисконсульт отмечается, что помимо незаконности такого контроля подобные действия правительств (в тексте заявление нигде не называется конкретная страна, речь введется в общих выражениях) создают принципиально новую ситуацию в сфере ИТ-безопасности как таковой. Понятно, что правительства имеют намного более мощные ресурсы, по сравнению с любым “частным” хакером по преодолению систем защиты, и проблема тут заключается в том, что обнаруженной брешью могут воспользоваться не только сотрудники, работающие под контролем правительства, но и многие другие люди в собственных корыстных целях. Правда, при этом подчеркивается, что у Microsoft нет точных данных о том, что правительства имели неавторизованный доступ к данным пользователей, работающих с продуктами или сервисами компании. Так или иначе, но появление в ИТ-мире хакера качественного нового уровня существенно повышает требования к ИТ-поставщикам по обеспечению безопасности своих продуктов и сервисов.
И в этой ситуации Microsoft решила предпринять немедленные и скоординированные действия в трех направлениях:
- Расширение возможностей шифрования данных по всей системе своих сервисов, таких как Outlook.com, Office 365, SkyDrive и Windows Azure. Microsft будет шифровать по умолчанию данные, передаваемые между пользователями и сервисами, а также между дата-центрами корпорации. При этом будут использоваться лучшие методы криптографии, включая Perfect Forward Secrecy и ключи 2048-разрядной длины. Такая же работа будет вестись при взаимодействии с сервисами других поставщиков, в частности, для почтового обмена. Все это должно быть реализовано до конца 2014 г., но компания обещает выполнить эти планы как можно быстрее, при том, что для многих сервисов Microsoft (в частности, для ряда служб Office 365 и хранилищ Windows Azure), такие средства защиты работают уже сейчас.
- Дополнительные усилия по юридической защите данных потребителей. Например, Microsoft уже сейчас берет на себя обязательства по уведомлению пользователей (как деловых, так и правительственных) о том, что компания получает законные приказы относительно доступа к их данным. При этом, если Mircosoft получает приказ о “молчании”, то она обязуется оспорить такое указание в суде. Брэд Смит пишет, что у компании уже есть позитивный опыт в отношении с правительственными структурами в этом плане, она его будет расширять. По его мнению, правительственные агенты должны получать данные о сотрудниках разного рода организаций от руководства этих организацией, не втягивая в эти дела поставщиков облачных сервисов.
- Усиление прозрачности программного кода, чтобы пользователи сами могли убедиться, что в ПО нет “черных входов”. Как можно понять со слов главного юрисконсульта Microsoft, речь идет о повышении открытости исходного кода, в первую очередь, для правительственных потребителей в разных странах. Для решения этой задачи компания намерена создать специальные центры во всех регионах мира, которые будут работать совместно с соответствующими органами разных стран.
В заключение Брэд Смит подчеркивает, что проблема сочетания вопросов безопасности и законности является достаточно сложной и требует нахождения оптимального баланса: “Мы все хотим жить в безопасном и защищенном мире, но мы также хотим жить в стране, которая находится под защитой Конституции”.