|
|
Brad Smith – General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft December 09, 2013 |
Brad Smith – General Counsel & Executive Vice President, Legal & Corporate Affairs, Microsoft
Wielu z naszych klientów ma poważne obawy związane z rządową kontrolą Internetu.
Podzielamy te zastrzeżenia. Z tego powodu podejmujemy działania, które zapewnią, że rządy będą korzystały z odpowiednich procedur prawnych, a nie z bezwzględnej siły technologicznej, do pozyskiwania danych naszych klientów.
Jak wiele innych firm i instytucji, jesteśmy szczególnie zaniepokojeni niedawnymi oskarżeniami prasowymi na temat szerokich i skoordynowanych działań podejmowanych przez niektóre rządy celem ominięcia środków bezpieczeństwa w sieci – a także, naszym zdaniem, procedur i zabezpieczeń prawnych – by pozyskać w sposób tajny osobiste dane klientów. W szczególności, niedawne artykuły prasowe informowały o oskarżeniach wobec rządów w zakresie przechwytywania i zbierania – bez nakazów przeszukania lub sądowej zgody – danych klientów w momencie, gdy były one przesyłane pomiędzy klientami i serwerami lub pomiędzy centrami danych firm sektora informatycznego.
Jeśli powyższe informacje są zgodne z prawdą, wspomniane działania grożą poważnym naruszeniem zaufania, jeśli chodzi o bezpieczeństwo i prywatność komunikacji internetowej. W rzeczywistości, rządowa inwigilacja może być potencjalnie traktowana jako „zaawansowane i trwałe zagrożenie”, na równi ze złośliwym oprogramowaniem o wysokim poziomie zaawansowania i atakami w cyberprzestrzeni.
W świetle wspomnianych oskarżeń, zdecydowaliśmy się podjąć natychmiastowe i skoordynowane działania w trzech obszarach:
-
Rozbudowujemy szyfrowanie naszych usług.
-
Wzmacniamy ochronę prawną danych naszych klientów.
-
Zwiększamy jasność i przejrzystość kodu naszego oprogramowania ułatwiając tym samym naszym klientom możliwość sprawdzenia, że nasze produkty nie zawierają żadnych ukrytych tylnych wejść.
Poniżej znajdują się dodatkowe szczegóły na temat naszych działań:
ROZBUDOWYWANIE SZYFROWANIA
Od wielu lat wykorzystujemy szyfrowanie naszych produktów i usług by chronić naszych klientów przed przestępcami internetowymi i hakerami. Mimo że nie posiadamy żadnych bezpośrednich dowodów na to, że dane klientów znalazły się w posiadaniu organów rządowych w sposób nieautoryzowany, nie chcemy ryzykować i reagujemy na taką możliwość z wyprzedzeniem. Z tego względu, podejmiemy całościowe działania techniczne celem wzmocnienia szyfrowania danych naszych klientów w całości naszych sieci i usług.
Działania te obejmą nasze najważniejsze produkty w zakresie komunikacji, produktywności i usług programistycznych, takie jak Outlook.com, Office 365, SkyDrive i Azure, a także zapewnią one całościową ochronę treści tworzonych przez naszych klientów. W szczególności:
-
Materiały klientów wysyłane przez nich do Microsoft będą automatycznie szyfrowane.
-
Wszystkie nasze platformy oraz usługi w zakresie produktywności i komunikacji będą szyfrować materiały przygotowane przez klientów w momencie, gdy są one wysyłane pomiędzy naszymi centrami danych.
-
Będziemy wykorzystywać najwyższej klasy zabezpieczenia kryptograficzne by chronić wspomniane kanały wymiany informacji, włącznie z Perfect Forward Secrecy i kluczem szyfrowania o długości 2048-bit.
-
Całość przedstawionych tutaj działań zostanie w pełni zrealizowana do końca roku 2014, znaczna część będzie działać natychmiast.
-
Będziemy także szyfrować dane klientów, które przechowujemy. W niektórych przypadkach, takich jak usługi realizowane przez firmy zewnętrzne wykorzystujące Windows Azure, wybór pozostawimy programistom, ale zaoferujemy im narzędzia pozwalające na łatwą ochronę danych.
-
Współpracujemy z innymi firmami z sektora informatycznego by zapewnić, że dane wysyłane pomiędzy różnymi usługami – na przykład, pomiędzy jednym dostawcą poczty elektronicznej a innym – były chronione.
Pomimo że wprowadzenie wspomnianych rozwiązań stanowi znaczący wysiłek programistyczny, biorąc pod uwagę dużą liczbę usług oferowanych przez nas i setki milionów klientów, dla których pracujemy, jesteśmy zdeterminowani przeprowadzić je szybko. W rzeczywistości, wiele z naszych usług już w tym momencie korzysta z silnego szyfrowania w całości lub części cyklu ich wykorzystania. Dla przykładu, dane klientów w Office 365 i Outlook.com już obecnie są szyfrowane w momencie wysyłania ich na linii klienci – Microsoft. Także, większość materiałów w dokumentach Office 365 i przechowywanych przez Windows Azure już teraz jest szyfrowana w czasie przesyłania ich pomiędzy naszymi centrami danych. Przyśpieszamy plany wprowadzenia szyfrowania w pozostałych obszarach naszej działalności.
WZMACNIANIE OCHRONY PRAWNEJ
Podejmiemy także nowe działania by wzmocnić ochronę prawną danych naszych klientów. Przykładowo, jesteśmy zdeterminowani by informować klientów biznesowych i rządowych, jeśli otrzymamy nakazy prawne związane z ich danymi. W przypadku, gdy nastąpi próba udaremnienia tego poprzez sądowy zakaz publikowania informacji, zakwestionujemy taką decyzję w sądzie. W przeszłości podejmowaliśmy takie działania skutecznie i będziemy kontynuować takie działania w przyszłości, by zachować nasze możliwości ostrzegania klientów w momencie, gdy rządy będą próbowały pozyskać ich dane. Co więcej, skorzystamy ze wszystkich prawnych sposobów wyrażania sprzeciwu wobec żądań prawnych w sytuacji, kiedy rządy będą starały się zdobyć dostęp do danych zgromadzonych w innym państwie.
Z wyjątkiem najbardziej szczególnych okoliczności, jesteśmy przekonani, że agencje rządowe mogą kontaktować się bezpośrednio z firmami lub klientami rządowymi celem uzyskania informacji lub materiałów na temat jednego z ich pracowników – w ten sam sposób jak miało to miejsce zanim klienci zaczęli wykorzystywać chmurę – bez jakiejkolwiek szkody dla prowadzonych śledztw lub bezpieczeństwa narodowego. W przypadku gdy mają zastosowanie owe najbardziej szczególne okoliczności, sądy powinny mieć możliwość zbadania sytuacji i wydania decyzji.
ZWIĘKSZANIE JASNOŚCI I PRZEJRZYSTOŚCI
Tak jak wezwaliśmy rządy by zwiększyły swoją transparentność w omawianych kwestiach, analogicznie uważamy, że jest wskazane abyśmy sami zwiększyli jasność i przejrzystość naszych działań. Z tego względu, podejmujemy dodatkowe kroki celem podniesienia transparentności poprzez rozszerzanie naszego długoterminowego programu współpracy, który daje klientom rządowym odpowiednie możliwości weryfikacji naszego kodu źródłowego, upewnienia się co do jego integralności i potwierdzenia, że nie zawiera on żadnych tylnych wejść. Utworzymy sieć centrów transparentności, które zapewnią wspomnianym klientom coraz to większą zdolność upewniania się co do integralności produktów Microsoft. Otworzymy takie centra w Europie, Amerykach i Azji, a także będziemy stale poszerzali zakres produktów objętych tymi programami.
* * *
Wreszcie, jesteśmy bardzo wrażliwi, jeśli chodzi o równowagę, która musi być zachowana pomiędzy technologią, bezpieczeństwem i prawem. Chcemy żyć w świecie, który jest bezpieczny, ale także chcemy żyć w państwie, które jest rządzone przez konstytucję. Chcemy by ważne pytania o rządowy dostęp do informacji były rozstrzygane przez sądy a nie dyktowane przez potęgę technologiczną. Jesteśmy skupieni na wprowadzeniu nowych zabezpieczeń na skalę światową, ponieważ uznajemy globalny charakter wspomnianych kwestii i wyzwań. Wierzymy, że proponowane rozwiązania zapewnią właściwą równowagę, gwarantując tym samym nam wszystkim zarówno bezpieczeństwo, którego potrzebujemy, jak i prywatność, na którą zasługujemy.
