Firma uvádí nový plán na zabezpečení svých produktů a jejich uživatelů. Microsoft hovoří o tom, že to je nejvyšší priorita a přiznává, že v jejích produktech je spousta dalších bezpečnostních děr.
Dávat dohromady slova „Microsoft“ a „bezpečný“ znamená koledovat si pomalu o veřejné opovržení. I když se v poslední době neobjevilo mimořádně velké množství nových bezpečnostních děr, zjevily se, lépe řečeno byly naprogramovány mimořádně protivné a svým způsobem „úspěšné“ viry, které na palčivost těchto problémů upozornily snad každého z nás. Vskutku: obecné povědomí dříve bralo viry a červy jako cosi podobného nákazám ve fyzickém světě, jako věc, na kterou jsme prostě náchylní, kterou „chytíme“, pokud nemáme ochranu (antivirus) a nic víc se s tím nedá dělat. Nyní si je ale stále více lidí (běžných uživatelů) vědomo toho, že existence virů je zapříčiněna jakýmisi otevřenými vrátky, která ovšem otevřená mít nemají – a také že je možná rozumné si pořídit nějaký jiný počítač (Apple?) nebo jiný operační systém (Linux?), kde toto tak často nenastává. V tomto směru situace pro Microsoft ještě mimořádně vážná není, ale pro marketing konkurenčních produktů to je mimořádně vděčné téma, takříkajíc argument nabídnutý konkurentem na stříbrném podnose.
Microsoft se již před několika měsíci věnoval veřejně tomuto tématu ústy Billa Gatese vyhlášením tzv. Iniciativou důvěryhodného computingu (Trustworthy computing initiative), tedy jakéhosi širšího záměru řešení bezpečnostních problémů. (Jako naschvál několik dní po tomto vyhlášení se objevila vlna dalších bezpečnostních děr a následných záplat od Microsoftu). Gates slíbil věnování velkých zdrojů firmy právě na bezpečnost, jenomže od tohoto vyhlášení v lednu 2003 se situace zhoršila rychleji, než kdokoli očekával – vlny útoků jsou tak masivní a zasahují s takovou snadností takové počty počítačů, že je jen otázkou času, kdy může přijít útok se skutečně destrukčním účinkem a kdy mohou desítky miliónů uživatelů přijít o veškerá data na svých počítačích.
Microsoft navíc čelí první žalobě, kterou „jménem uživatelů“ podala proti firmě advokátní kancelář v Los Angeles. Kromě značné a pro Microsoft nepříjemné publicity má tento právní spor zásadní význam – pokud by jej firma prohrála, byl by to precedent gigantického významu, a to nejen pro Microsoft. Softwarové firmy se v licenčních ujednání explicitně vzdávají všech záruk – jinými slovy, program sám může být jakkoli chybný a může způsobit škody jakýchkoli rozměrů, firma nenese nejmenší záruku a uživatel tuto smlouvu rozbalením krabice či odklepnutím při instalaci schvaluje a na dálku uzavírá, „podepisuje“ (podle názorů právníků představují výjimky zranění či smrt způsobena softwarem – například špatně počítajícím konstrukčním programem, který způsobí zřícení stavby atd. Z toho se údajně softwarová firma „vyvléknout“ licenčním ujednáním snadno nemůže).
I když Windows zřejmě ještě nikoho o život nepřipravily, je podle názorů řady právních analytiků možné, že licenční ujednání zvláště v případě Microsoftu není neprůstřelné. Proč? Protože je to Microsoft – dle některých názorů představuje tato dominantní softwarová společnost „omezenou možnost volby“ pro uživatele, a proto je nemá právo ještě takto omezovat licenčními smlouvami (zjednodušeně řešeno). Celý spor ještě zajímavě okořeňuje nový kalifornský zákon, který praví, že pokud u firmy provozující e-komerci hrozí, že by mohla přijít o data svých zákazníků, musí je o tom dopředu informovat, a tudíž se toto ujednání vztahuje i na bezpečnostní díry ve Windows, které mohou dvířka k těmto únikům otevřít. Proto byla samozřejmě žaloba podána v Kalifornii.
Žaloba ale není to hlavní – bez ohledu na licenční ujednání i Microsoft silně trápí škody a jiné újmy, které uživatelé virovými útoky trpí, neboť to ohrožuje pozici Microsoftu rovněž, byť nepřímo, v důsledcích. Microsoft proto vyhlásil nová opatření ve věci bezpečnosti svých produktů, a současně je otevřenější i v komunikaci – uznává tyto chyby, uznává jejich závažnost a dokonce sám uvádí, že v jeho problémech je ještě mnoho dalších bezpečnostních děr, které jsou v řešení. Zásadní nová opatření jsou následující:
- Microsoft bude uvádět bezpečnostní záplaty pravidelně jednou měsíčně; výjimkou budou případy, kdy si situace bude vyžadovat okamžité řešení, např. u nově objeveného mimořádně závažného problému nebo u velmi nebezpečného nového viru
- Záplaty by se měly pohodlněji aplikovat: jejich velikost má klesnout asi o 30% (tj. čas downloadu se sníží, zejména uživatelé na dial-upu často záplatu oželí, než aby měli platit za čas stahování), a má se snížit počet nutných restartů Windows při aplikování záplat (řada uživatelů záplatu stáhne a „nainstaluje“, ale Windows nerestartuje, až třeba po několika dnech; přitom bez restartu je záplata neúčinná)
- Microsoft dokonce „vzal svá slova zpět“ a vrátil se k poskytování technické podpory pro starší verze operačních systémů, pro které dříve tuto službu už zrušil, aby přiměl uživatele k upgradování (konkrétně Windows NT4 SP6a a Windows 2000 SP2).
- U existujících produktů budou implicitně aplikována tvrdší bezpečnostní opatření. Např. zabudovaný firewall bude implicitně zapnutý a nastavený; zapnutí filtrování nebezpečných souborů (skripty atd.) bude rozšířené i na další programy mimo Outlooku
- Bezpečnostní zóny v Internet Exploreru budou předělány
Druhým směrem, jakým chce Microsoft současnou situaci napravovat, je lepší vzdělávání uživatelů. Microsoft je chce sám školit a firma má cíl do roku 2004 vyškolit sama půl miliónu lidí. To sice není malé číslo, ale je to méně než každý tisící člověk, který pracuje s počítačem…
Steve Balmer při prezentaci vášnivě vyvracel názor, že je bezpečnější „přejít ke konkurenci“, a že „monokultura je hrozbou pro bezpečnost“ a podobně; označil je přímo za hovadinu (hogwash). Na příkladě Red Hat Linuxu uváděl, že konkurence má bezpečnostních děr více než Microsoft – tento operační systém v deváté verzi měl v prvních sto padesáti dnech objevených celkem 49 bezpečnostních chyb. (Kompletní přepis jako vždy emotivní Ballmerovy řeči je zde).
K bezpečnostním problémům se Microsoft letos poprvé ve své historii postavil s maximální vážností: jeho viceprezident Mike Nash uvádí, že bezpečnost je pro firmu nyní priorita číslo jedna, která má přednost před vším ostatním. Zejména to, že Microsoft znovu zavedl technickou podporu pro operační systémy, u kterých ji už dříve skončil, nemá v dějinách firmy obdoby a indikuje to cosi zásadního: firma se skutečně cítí problémy s bezpečností ohrožena, není to jen „jeden z řady úkolů k řešení“.
A jakkoli Balmer vášnivě vyvrací mýty o „nebezpečné monokultuře“ (logicky, neboť to útočí na podstatu existence firmy a na její podnikatelskou strategii), nejsou opačné hlasy jen nějakými ojedinělými výkřiky. Analytická firma Gartner Group, která sice nikdy neslynula přílišnou přízní pro tohoto softwarového giganta, ale která si drží slušné renomé, vydala rovněž bezprecendentní zprávu, podle které „monokultura“, či techničtěji „jednotná kódová báze“ v případě selhání může způsobit kolaps velkých částí informačních či internetových systémů a že dobrou preventivní obranou, či jakousi pojistkou nebo zálohou je právě multiplatformní řešení. Stěží najdeme věc, která by uším Microsoftu zněla neliběji, ale nic se s tím nedá dělat – je celkem jedno, jestli je toto tvrzení pravdivé nebo ne, v případě boji proti hrozbě celofiremního kolapsu vyzkouší IT manager rád cokoli, co by mohlo uspět.
