В блоге Microsoft опубликован пост Брэда Смита (Brad Smith), генерального советника и исполнительного вице-президента Microsoft по правовым и корпоративным вопросам. Пост называется «Защита данных пользователей от государственного слежения».
«Многие наши пользователи cерьезно обеспокоены вопросом осуществления правительствами слежения в Интернете. Мы разделяем их беспокойство. Поэтому мы предпринимаем шаги, направленные на то, чтобы правительства действовали в рамках установленного законами порядка и не прибегали к методам технологической «грубой силы» для получения доступа к данным пользователей.
Как и многие другие, мы особенно обеспокоены недавно прозвучавшими в прессе заявлениями о якобы предпринимаемых некоторыми правительствами более масштабных и скоординированных попытках обойти сетевые системы безопасности и, с нашей точки зрения, установленный законом порядок и принципы правовой защиты с целью негласного сбора личных данных пользователей. В частности, в недавно опубликованных в прессе сюжетах говорится о перехвате и сборе правительством – без каких-либо постановлений об обыске или запросов судебных или правоохранительных органов – данных пользователей в процессе передачи данных от пользователей на серверы и наоборот или в процессе обмена этими данными центрами хранения и обработки данных компаний в нашей отрасли.
Если эти заявления верны, то такие действия могут серьезно подорвать доверие к безопасности и тайне онлайн передачи данных. Безусловно, государственное слежение в настоящее время потенциально представляет собой «целенаправленную устойчивую угрозу» наряду с изощренными вирусными программами и атаками хакеров.
В свете этих заявлений мы решили предпринять немедленные согласованные действия в трех направлениях:
• Мы расширяем область применения системы шифрования в отношении наших услуг.
• Мы усиливаем меры правовой защиты данных наших пользователей.
• Мы повышаем прозрачность нашего программного кода, что позволит пользователям легче удостовериться в том, что в наших продуктах нет «потайных дверей».
Ниже мы описываем более подробно принимаемые нами меры:
РАСШИРЕНИЕ ОБЛАСТИ ПРИМЕНЕНИЯ ШИФРОВАНИЯ
В течение многих лет мы использовали криптографию в наших продуктах и сервисах для защиты наших пользователей от интернет-преступников и хакеров. И хотя у нас нет прямых доказательств несанкционированного доступа правительства к данным наших пользователей, мы не намерены допускать подобную возможность и занимаемся данным вопросом. В связи с этим мы реализуем полный объем технических мероприятий в целях повышения криптостойкости шифрования данных пользователей по всем нашим сетям и сервисам.
Эти мероприятия также затронут наши основные коммуникационные службы, сервисы по повышению производительности и сервисы по созданию программного обеспечения, такие как Outlook.com, Office 365, SkyDrive и Azure и обеспечат защиту на весь период жизненного цикла контента пользователей, в частности:
• Контент пользователя, передаваемый нашими пользователями в Microsoft и обратно, будет шифроваться по умолчанию.
• Все наши основные платформы, сервисы повышения производительности и коммуникационные сервисы будут шифровать контент пользователя при его передаче между нашими центрами обработки данных.
• Мы будем использовать лучшие в своем классе системы криптографии в нашей отрасли для защиты этих каналов, в том числе Perfect Forward Secrecy и ключи длиной 2048 битов.
• Все это будет внедрено к концу 2014 года, однако многое используется уже сейчас.
• Мы также будем шифровать контент пользователя, который хранится у нас. В некоторых случаях, например, в случае сервисов, разработанных третьими лицами для работы с Windows Azure, право выбора останется за разработчиками, но мы готовы предложить средства, которые позволят им защитить данные без какого-либо особого труда.
• Мы сотрудничаем с другими компаниями отрасли для обеспечения защиты данных, передаваемых между сервисными компаниями: например, от одного поставщика услуг электронной почты к другому.
Мы считаем своим долгом действовать быстро, несмотря на то, что для этого потребуется проведение большого объема технических работ с учетом большого объема оказываемых нами услуг и сотен миллионов обслуживаемых нами пользователей. В сущности, многие наши услуги уже обеспечены надежным шифрованием на всем протяжении их жизненного цикла или на каком-то его этапе. Например, контент пользователей Office 365 и Outlook.com зашифрован уже на этапе его передачи пользователем в Microsoft и обратно, а большая часть объема данных Office 365 и данные системы хранения данных Windows Azure в настоящий момент зашифрованы при передаче данных между нашими центрами обработки данных. Мы также ускоренными темпами разрабатываем планы по обеспечению шифрования и в остальных областях.
УСИЛЕНИЕ МЕР ПРАВОВОЙ ЗАЩИТЫ
Мы также принимаем дополнительные меры в целях усиления правовой защиты данных наших пользователей. Например, мы в обязательном порядке уведомляем наших корпоративных и государственных заказчиков о получении нами законных постановлений в отношении их данных. Если мы не вправе сделать это в силу запрета на передачу информации, мы оспорим его в судебном порядке. Мы успешно делали это в прошлом и намерены продолжать делать это в будущем с тем, чтобы оставить за собой право предупреждать наших пользователей о предпринимаемых правительствами попытках получить доступ к их данным. И мы будем заявлять все возможные возражения против законных требований правительства о получении доступа к контенту пользователя, который хранится в другом государстве.
Мы полагаем, что, за исключением особых обстоятельств, государственные ведомства могут напрямую обратиться к корпоративным и государственным заказчикам с запросом о получении информации или данных о любом из их сотрудников, как они делали это ранее, до того, как эти заказчики переместились в облако, без негативных последствий для проводимых ими расследований и национальной безопасности. А если такие особые обстоятельства возникнут, у судов должна быть возможность изучить эти обстоятельства и вынести соответствующее решение.
ПОВЫШЕНИЕ ПРОЗРАЧНОСТИ
Мы считаем, что, призвав правительства к большей прозрачности в обсуждаемых нами вопросах, мы сами должны добиваться большей прозрачности в нашей работе. В этой связи мы предпринимаем дополнительные меры для повышения прозрачности путем совершенствования нашей долговременной программы, в рамках которой государственным заказчикам предоставляется возможность при необходимости проверить наш исходный код, еще раз удостовериться в его надежности и подтвердить отсутствие «потайных дверей». Мы намерены открыть сеть «центров прозрачности», в которых таким заказчикам будет предоставлена дополнительная возможность убедиться в надежности продуктов Microsoft. Мы собираемся открыть такие центры в Европе, в обеих Америках и в Азии, а также дополнительно расширить номенклатуру продуктов, включенных в такие программы.
* * *
В заключение хотелось бы отметить, что мы очень трепетно относимся к равновесию, которое так необходимо установить, когда речь идет о технологии, безопасности и законе. Мы все хотим жить в безопасном и надежном мире, но мы также хотим жить в стране, которая защищена Конституцией. Мы хотим быть уверены, что такие важные вопросы, как право доступа государства к информации, решаются судами, а не диктуются технологической возможностью. И мы делаем упор на использование новых мер по обеспечению безопасности во всем мире, признавая глобальный характер обсуждаемых вопросов и вызовов. Мы полагаем, что эти новые шаги позволят достичь необходимого равновесия и обеспечить всем нам не только необходимую безопасность, но и право на неприкосновенность частной жизни, которое мы заслуживаем.»