Az alábbi bejegyzés Brad Smith-től, a Microsoft Corporation Jogi és Társasági Ügyekért Felelős Ügyvezető Alelnökétől származik.
Számos ügyfelünknek komoly aggályai vannak az Internet kormányzati megfigyelésével kapcsolatban.
Osztjuk az aggályaikat. Ezért lépéseket teszünk annak biztosítására, hogy a kormányzatok az ügyfelek adataihoz való hozzáféréshez a nyers technológiai erő alkalmazása helyett jogi eljárást vegyenek igénybe.
Mint sokan mások, mi is a különösen aggasztónak találjuk a közelmúltban a sajtóban megjelent azon híreszteléseket, amelyek a biztonsági intézkedések – és nézőpontunk szerint a jogi eljárás és jogi védelem – megkerülését és az ügyfelek magánadatainak titkos megszerzését célzó, egyes kormányzatok által folytatott szélesebb körű, koncentrált erőfeszítésekről szólnak. Különösen azokat, a sajtóhírekben közelmúltban megjelent állításokat, amelyek az ügyfelek között illetve az ügyfelek és iparágunk cégeinek adatközpontjai között továbbított ügyféladatok – házkutatási parancs vagy megfelelő felhatalmazást biztosító jogi határozat nélküli – kormányzati megszerzéséről és gyűjtéséről szólnak.
Ha valóban igazak, akkor ezen erőfeszítések súlyosan alááshatják az online kommunikáció biztonságába és bizalmas jellegébe vetett bizalmat. Valóban, a kormányzati megfigyelés immár potenciális „magas szintű, folyamatos biztonsági fenyegetést” jelent, a kifinomult rosszindulatú szoftverek (malware) és a internetes támadások mellett.
Ezen állítások fényében úgy döntöttünk, hogy azonnali, összehangolt lépéseket teszünk három területen:
- Kiterjesztjük a titkosítási eljárások alkalmazását valamennyi szolgáltatásunkra.
- Megerősítjük az ügyfeleink adatait védő jogi kereteket.
- Fokozzuk szoftveres kódjaink transzparenciáját, megkönnyítve ezzel az ügyfeleink részére, hogy maguk is megbizonyodhassanak arról, hogy termékeink nem tartalmaznak hátsó ajtókat.
Az alábbiakban részletesebben is bemutatom, hogy min dolgozunk jelenleg is:
A titkosítás kiterjesztése
Sok éven át azért alkalmaztunk titkosítási eljárást termékeinkben és szolgáltatásainkban, hogy megvédjük ügyfeleinket az online bűnözőktől és hackerektől. Bár nincs közvetlen bizonyítékunk arra, hogy ügyfél adathoz jogosulatlan kormányzati hozzáférés történt volna, semmiképp sem akarjuk ezt kockáztatni és inkább a problémának elébe menve kezeljük ezt az ügyet. Ezért átfogó műszaki erőfeszítéseket fogunk tenni annak érdekében, hogy a megerősítsük az ügyfelek adatainak titkosítását hálózatainkon és szolgáltatásainkban.
Ezen erőfeszítéseink az ügyfél által létrehozott tartalom teljes életciklusa alatt kihatással lesznek olyan főbb kommunikációs, üzleti hatékonysággal kapcsolatos és fejlesztői szolgáltatásainkra, mint az Outlook.com, az Office 365, a SkyDrive és a Windows Azure. Konkrétabban:
- Az ügyfeleink és a Microsoft között mozgó ügyfél tartalmak alapbeállításként titkosításra kerülnek.
- Minden kulcsfontosságú platform, üzleti hatékonysággal kapcsolatos és kommunikációs szolgáltatás titkosítani fogja a tartalmakat az adatközpontjaink közötti mozgás során.
- A kategóriáján belüli legjobb iparági titkosítás alkalmazásával védjük meg e csatornákat, beleértve a Perfect Forward Secrecy-t és a 2048 bites kulcsok alkalmazását.
- Mindezek 2014 végére bevezetésre kerülnek és nagy részüket már azonnali hatállyal alkalmazzuk.
- Titkosítani fogjuk az általunk tárolt ügyfél tartalmakat is. Egyes esetekben – mint például a harmadik felek által a Windows Azure-ön való futtatásra fejlesztett szolgáltatások esetén – a választás jogát meghagyjuk a fejlesztőknek, ugyanakkor felkínáljuk számukra azon eszközöket, amelyekkel könnyedén megvédhetik az adatokat.
- Az iparágon belül más vállalatokkal is együttműködünk abban, hogy biztosítsuk a szolgáltatások között – például az egyik email szolgáltatótól a másikhoz – továbbított adat védettségét.
Bár ez nagyszámú szolgáltatásunk és az általunk kiszolgált több százmillió ügyfél miatt jelentős műszaki erőfeszítést igényel, eltökéltek vagyunk a gyors megvalósításban. Valójában számos szolgáltatásunk már most is élvezi a fokozott titkosítás előnyeit a teljes termék-életciklus vagy annak egy része során. Így például, az Office 365 vagy az Outlook.com ügyféltartalom az ügyfél és a Microsoft között, továbbá a legtöbb Office 365 funkció, valamint a Windows Azure tárhely szolgáltatás az adatközpontjaink között már most is titkosítva kerül továbbításra. Más területeken pedig felgyorsítjuk a titkosítás biztosítására vonatkozó terveinket.
A jogi védelem megerősítése
Új lépéseket fogunk tenni annak érdekében is, hogy a megerősítsük ügyfeleink adatainak jogi védelmét. Elkötelezettek vagyunk például az üzleti és kormányzati ügyfeleink értesítésére abban az esetben, ha az adataikkal kapcsolatos, jogilag kötelező határozatot kapunk kézhez. Ha a határozat ezt részünkre megtiltaná, azt a bíróság előtt megtámadjuk. Ezzel a múltban már sikerrel éltünk és a jövőben továbbra is hasonlóképpen fogunk eljárni annak érdekében, hogy továbbra is figyelmeztethessük ügyfeleinket, ha a kormányzat az adataikat próbálja megszerezni. És támaszkodni fogunk a rendelkezésre álló joghatósági kifogásokra olyan jogi megkeresések esetén, amikor a kormányzatok más országban tárolt ügyféladatokhoz való hozzáférést kérnek.
Úgy gondoljuk, hogy a legritkábban előforduló körülményeket leszámítva a kormányzati szervek közvetlenül is megkereshetik az üzleti vagy kormányzati ügyfeleket annak érdekében, hogy tőlük valamely alkalmazottjukról tájékoztatást vagy adatot igényeljenek – ahogyan ezt azelőtt is tették, hogy az ügyfelek felhőszolgáltatásra váltottak – anélkül, hogy ezzel a nemzetbiztonságot vagy a nyomozást veszélyeztetnék. Ha pedig a fenti ritka körülmények mégis előfordulnának, a bíróságok számára biztosítani kell annak lehetőségét, hogy a kérdést megvizsgálhassák és arról döntést hozhassanak.
A transzparencia fokozása
Hasonlóan ahhoz, ahogy a kormányzatokat felhívtuk arra, hogy ezekben az ügyekbe nagyobb transzparenciát biztosítsanak, úgy gondoljuk, részünkről is az a helyes, ha mi magunk is nagyobb átláthatóságot biztosítunk. Ezért további lépéseket teszünk annak érdekében, hogy növeljük a transzparenciát – azon régóta fennálló programunkra építve, amely kormányzati ügyfeleinket képessé teszi arra, hogy a forráskódunkat megfelelően áttekintsék és megbizonyosodhassanak annak sértetlenségéről, és hogy az nem tartalmaz hátsó ajtókat. Transzparencia központok hálózatát fogjuk megnyitni, amely ezen ügyfelek részére még több lehetőséget biztosít arra, hogy megbizonyosodhassanak a Microsoft termékeinek sértetlenségéről. E központokat Európában, Amerikában és Ázsiában nyitjuk meg és bővíteni fogjuk a programban részt vevő termékek körét.
Végezetül: érzékenyek vagyunk arra az egyensúlyra, amelynek a technológiai, biztonsági és jogi kérdések között kell fennállnia. Mindannyian egy olyan világban szeretnénk élni, amely nyugodt és biztonságos, de egyúttal egy olyan országban is, amelyet az Alkotmány védelmez. Biztosítani akarjuk, hogy a kormányzati hozzáféréssel kapcsolatos fontos kérdésekről a bíróság, és ne a technológiai fölény döntsön. Új biztonsági
intézkedések alkalmazására koncentrálunk világszerte, felismerve ezen ügyek és kihívások globális természetét. Hisszük, hogy ezen új lépések megfelelő egyensúlyt hoznak és elősegítik mindannyiunk számára azt a biztonságot, amelyre szükségünk van és a magánszférához való jogot is, amelyet megérdemlünk.