Microsoft Security: Trustworthy Computing
Trustworthy Computing představuje principy, které jsou prvořadým cílem Microsoftu, protože hluboce věříme v jedinečnou možnost informačních technologií pomáhat lidem i firmám v plném využití jejich schopností.
Iniciativa Trustworthy Computing byla oficiálně oznámena v roce 2002 Billem Gatesem a je založena na třech základních pilířích: spolehlivost, zabezpečení, soukromí a integrita podnikání.
Za prvé se domníváme, že důvěryhodnost je založena na spolehlivosti. Počítačové systémy musí být spolehlivé, kdykoli k dispozici a funkční podle očekávání. Za druhé, počítačové systémy musí být zabezpečené. Musí být odolné proti útokům a plně chránit obsah, celistvost a dostupnost dat, které obsahují. Soukromí uživatelů musí být chráněno poskytnutím prostředků umožňujících kontrolu osobních dat a zajištěním, že všichni, kteří s těmito daty pracují, je využívají s ohledem na pravidla slušnosti a v zákonných mezích. Na závěr musí platit úplná integrita podnikání. Microsoft a všichni v tomto oboru musí reagovat na přání a požadavky zákazníků, pomáhat jim v nacházení řešení vhodných pro jejich konkrétní potřeby a odstraňovat potíže, se kterými se setkávají v souvislosti s používáním produktů a služeb.
Tento náš závazek jsme v uplynulém roce změnili ve skutečnost. Pozastavili jsme práci více než 8 500 našich vývojářů a provedli intenzivní analýzu miliónů řádků zdrojového kódu s cílem odhalit všechna možná ohrožení zabezpečení. Každý z vývojářů systému Windows a tisíce vývojářů ostatních našich produktů prošly speciálním školením zaměřeným na vývoj zabezpečeného softwaru. I když byl tento krok nákladný, byl velmi užitečný. Naše společnost vytvořila nový standard zabezpečení pro sebe – i pro ostatní.
I v budoucnosti budeme nadále důsledně uplatňovat naše principy Trustworthy Computing, protože víme, že tak zajistíme nejen dokonalé zabezpečení našich produktů, našich systémů a našich informací, ale také budoucnost, ve které všichni lidé budou moci na spolehlivých a důvěryhodných základech plně uplatnit své schopnosti.
Jean-Phillipe Curtois
Prezident Microsoft EMEA
Principy Trustworthy Computing: Zabezpečení od vývoje po instalaci
Iniciativa společnosti Microsoft Trustworthy Computing zahrnuje celofiremní zásady zabezpečení nazvané Secure by Design, Secure by Default, Secure by Deployment (Zabezpečení od vývoje po instalaci). Tento přístup poskytuje vývojářům i uživatelům technologií nástroje k vytváření, poskytování a zavádění zabezpečeného softwaru a služeb, které je možné používat s plnou důvěrou.
Secure by Design – Zabezpečení při vývoji: Vyškolili jsme všechny vývojáře v naší společnosti, kteří tak získali dokonalejší schopnosti vytvářet zabezpečenější produkty. Dokonale jsme prověřili a intenzivně zanalyzovali milióny řádků zdrojového kódu systému Windows, simulovali modelové situace ohrožení a vyvinuli nástroje pro analýzu kódu, které úspěšně odhalují chyby.
Secure by Default - Zabezpečení při výchozím nastavení: Zákazníci si mohou vybrat. Naše produkty jsou dodávány v uzamčených zabezpečených konfiguracích s množstvím vypnutých funkcí. Uživatelé mohou zvolit, které funkce chtějí zapnout a které služby používat nebudou a tedy chtějí nechat vypnuté. Takto omezujeme možnosti útoku na jednotlivé produkty.
Secure by Deployment – Zabezpečení při instalaci: Zákazníci i počítačoví odborníci mohou funkce zabezpečení svých systémů spravovat pomocí vylepšených služeb průběžně analyzujících zabezpečení a doručování oprav, které pravidelně aktualizují nástroje zabezpečení. Plnou podporu jim v jejich snažení poskytuje oddělení Microsoft Security Response Center, které důkladně zkoumá všechna ohlášená ohrožení zabezpečení a poté vyvíjí a distribuuje potřebné aktualizace zabezpečení, prostřednictvím kterých tak chrání další uživatele před stejnými či podobnými chybami či útoky.
Zvýšení důvěry v technologie... ...pomocí technologií
Technologické inovace tvoří základ Trustworthy Computing. V současné době vyvíjené technologie zabezpečení vytváří nové sady nástrojů, které uživatelům umožní pracovat a učit se novými a lepšími postupy.
Microsoft Baseline Security Analyzer: Uživatelé mohou pomocí tohoto nástroje analyzovat své systémy a hledat v nich obvyklé chyby v nastavení zabezpečení a chybějící opravy hotfix.
Automatické zasílání zpráv o chybách: Automatický nástroj pro odesílání informací umožňujících společnosti Microsoft identifikovat a reagovat na potíže se spolehlivostí produktů, které omezují práci koncových uživatelů.
Microsoft Windows Update: Tato automatická celosvětově přístupná webová služba dosahující více než 300 miliónů stažených oprav, aktualizací a vylepšení produktů měsíčně uzavírá celý systém zákaznické podpory.
Palladium: Nově vyvíjená hardwarová a softwarová architektura, která umožní spouštění aplikací v chráněném paměťovém prostoru vysoce odolném vůči virům a dalším útokům.
Kids Passport: Technologie Passport byla doplněna o nové prvky ochrany, které zajišťují bezpečné využívání internetového prostředí dětmi. Tyto funkce umožňují rodičům sledovat webové servery, které jejich děti navštěvují, a druh informací, které děti získávají nebo naopak sdílí s jinými uživateli online.
Budování důvěry zákazníků v informační technologie
Mají-li uživatelé jistotu, že jejich informační systémy jsou zabezpečeny a jejich osobní data chráněna, pak mohou nově a inovativně myslet, učit se i pracovat – mohou plně využít svůj potenciál. To je cílem iniciativy Trustwothy Computing – bezpečného a spolehlivého fungování výpočetní techniky.
I když je měření důvěry samozřejmě složité, je možné využít určitých indikátorů. Například na způsobu provádění finančních transakcí je dobře patrné, do jaké míry lidé důvěřují jednotlivým nástrojům a institucím. Ze všech držitelů platebních karet jich 66 % považuje za bezpečné transakce přes bankomaty, zatímco jen 7 % si myslí, že bezpečné jsou transakce přes Internet[1].
Při dotazu na důvod nedůvěry v nakupování online jsou jako nejčastější uváděny obavy související se zabezpečením transakcí: bezpečnost platební karty 79 %, bezpečnost osobních dat 77 % a nedůvěra k webovým prodejcům 48 %[2]. Podobné obavy vyjádřili i zákazníci v devíti evropských zemích, když v průzkumu v poměru dva ku jedné uvedli, že nedůvěřují elektronickému obchodování[3].
Podobně jako moderní finanční systémy založené na papírových měnách musely začít důvěřovat zlatému standardu, musí i uživatelé ve firmách a státních organizacích spolupracovat na vývoji technologického „zlatého“ standardu s pevnými základy tvořenými kvalitním modelem a vhodnými kontrolními prvky.
Evropské společnosti i vlády si tuto důvěru musí postupně vytvořit. Specializované firmy vyvinuly řešení zabezpečení, mezi které patří silné šifrování a elektronický podpis. Vlády poskytnuly příslušná pravidla pro ochranu soukromých údajů, jako například Organizací pro hospodářskou spolupráci a rozvoj (OECD) nedávno vydané dokumenty Guidelines for the Security of Information Systems and Networks (Pravidla pro zabezpečení informačních systémů a sítí) a Safe Harbour Agreement (Smlouva o bezpečném ukládání dat). Vlivné organizace, jako například World Wide Web Consortium, dosahují shody v otázkách důležitých standardů ochrany soukromých dat, jako je například projekt Platform for Privacy Protection Project neboli P3P.
Tyto a další podobné snahy musí dále pokračovat, zahrnovat nové pokrokové technologie a vytvářet širší spektrum partnerství. Až bude tohoto dosaženo, informační a spotřební technologie si získají plnou důvěru uživatelů a stanou se výkonným prostředkem k využití lidského potenciálu.
Ze všech držitelů platebních karet jich 66 % považuje za bezpečné transakce přes bankomaty, zatímco jen 7 % si myslí, že bezpečné jsou transakce přes Internet[1]
Evropská komise zasahuje proti útokům na informační systémy
V dubnu 2002 Evropská komise provedla důležité kroky směřující k vytvoření bezpečného důvěryhodného výpočetního prostředí v Evropě. Vytvořila Rámcové rozhodnutí kriminalizující útoky na informační systémy. Toto rozhodnutí se zaměřuje na dvě hlavní oblasti:
| • | Neoprávněný přístup: Tato oblast zahrnuje úmyslný přístup bez příslušných práv k celému či části informačního systému, kde (1) informační systém je chráněn pomocí technologických prostředků, (2) pachatel zamýšlí způsobit škody právnické či fyzické osobě nebo (3) pachatel chce svým činem získat pro sebe či jiné osoby ekonomický prospěch. |
| • | Neoprávněný zásah: Tato oblast pokrývá úmyslné závažné narušení či přerušení funkčnosti informačního systému nebo odstranění, poškození, změnu, omezení či znemožnění přístupu k počítačovým datům v počítačovém systému s úmyslem způsobit škodu právnické či fyzické osobě. |
Toto Rámcové rozhodnutí požaduje, aby členské státy zajistily, aby tyto činy včetně napomáhání či navádění byly trestané účinnými, přiměřenými a odrazujícími tresty včetně trestů odnětí svobody na dobu ne kratší než jeden rok. Toto rozhodnutí představuje důležitý krok ve snažení vlád a průmyslu směrem ke spolupráci při vytváření důvěry ve výpočetní systémy pomocí kontrolních prvků.
Jdou příkladem
EICTA a EU: Vytvoření pracovní skupiny zaměřené na zabezpečení informačních technologií v evropském prostoru
Jako odpověď na narůstající nedůvěru zákazníků v zabezpečení informačních technologií a zároveň rostoucí rizika narušení zabezpečení počítačových systémů hackery a počítačovými teroristy se Evropská unie a průmyslová sdružení, jako například EICTA (European Information, Communication and Consumer Electronics Technology Industry Association), spojují za účelem spolupráce při vytvoření pracovní skupiny zaměřené na zabezpečení informačních technologií (European Cyber-Security Task Force). Organizace EICTA, která reprezentuje více než 10 000 evropských firem, si klade za cíl, aby nová legislativní pravidla dobře odrážela dynamiku rozvoje informačních a spotřebních technologií.
Jako součást své aktivní role předala v nedávné době organizace EICTA Evropské radě připomínky, které mají za úkol zajistit, aby plánovaná pracovní skupina do svého rozhodování zahrnula také informace od zástupců průmyslu. Mimo jiné zdůrazňuje, aby cílem této pracovní skupiny byla možnost přístupu všech uživatelů informačních systémů v Evropské unii k informacím týkajícím se zabezpečení sítí a soukromých dat. Konkrétně organizace EICTA doporučuje, aby navrhovaná pracovní skupina pracovala jako decentralizovaná organizace zaměřená na podporu spolupráce mezi stávajícími týmy zajišťujícími rychlou podporu v případě potíží s výpočetními systémy (CERT). Dále by mělo úsilí této pracovní skupiny zahrnovat pomoc při návrhu a prosazování doporučených postupů zajištění zabezpečení sítí, poskytování mechanismů k rozšiřování informací o zabezpečení sítí různým cílovým skupinám a spolupráce mezi neevropskými systémy zabezpečení informačních technologií.
[1] Zdroj informací: Společnost Delarue Card Services
[2] Zdroj informací: Společnost PriceWaterhouseCoopers
[3] Zdroj informací: Společnost Cap Gemini Ernst & Young