CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: istockphoto.com)

Sådan tager Microsoft ansvar for din digitale sikkerhed

Klumme: Kun døden og Skat er 100 procent sikre, siger man. Men hvordan står det så til med den digitale sikkerhed? Og hvad gør Microsoft for at tage sin del af ansvaret? Det kommer jeg med et bud på her.

9. marts 2015 kl. 15.30
Ole Kjeldsen Ole Kjeldsen Teknologidirektør, Microsoft Danmark

Vi lever i en tid, hvor datasikkerhed og databeskyttelse får bred opmærksomhed og endda er med til at sætte dagsorden på politisk niveau.

Efter de seneste års mange sager om mere eller mindre lemfældig omgang med digitale data og efterretningstjenesters omfangsrige programmer til indsamling af data og overvågning af vores digitale verden, er det nu en snak, der fylder både over køkkenbordet hos hr. og fru Hansen, når verdensledere mødes og på direktionsgangene.

For os alle er det kun godt, at sikkerhed og databeskyttelse nu endeligt er blevet et element, som vi proaktivt er nødt til at tage stilling til.

Og vi, der arbejder professionelt med it, er nødt til nøje at overveje i hvilket omfang vi ønsker at etablere tiltag, der kan bringe sikkerheden og beskyttelsen op på det ønskede niveau.

Vi har et ansvar

Microsoft er én af aktørerne i den globale digitalisering.

Uden at der går marketingtekst i den, er det vel fair at anslå, at forbrugere, virksomheder og offentlige myndigheder i større eller mindre grad anvender alle vore løsninger.

Derfor har Microsoft naturligvis et ansvar for og et bud på, hvilke overvejelser man bør gøre sig.

Hvordan kan man imødekomme behovet for bedst mulig digital sikkerhed og databeskyttelse, og hvordan kan Microsoft selv gennem vore produkter, tjenester og generelle indflydelse medvirke til en positiv udvikling?

Jeg vil derfor i løbet af de næste måneder i en række klummer formidle Microsofts billede af de mange dimensioner, der er i datasikkerhed og- beskyttelse.

Det inkluderer både, hvad Microsoft gør og absolut ikke gør, samt hvad vi kunne ønske os, at myndigheder og politikere gjorde mere og mindre af.

Naturligvis har vi også nogle konkrete gode råd til, hvordan forbrugere og virksomheder bør forholde sig.

Jeg planlægger lige nu at dække i hvert fald følgende emner:

  • Staters rolle i cybersikkerhed.
  • Gode praktiske råd om cybersikkerhed.
  • Hvad er Privacy for en størrelse.
  • Cybertrusler, cyberforsvar og fremtidens cybersikkerhed.
Det bliver ikke en lovprisning af butikkens fortræffeligheder, og der vil ikke bliver langet en lige højre ud til konkurrenterne.

Men mine egne erfaringer er selvsagt baseret på oplevelser og indsigt, jeg har opnået gennem mit arbejde med kunder, partnere, lovgivere, kolleger, familie og venner.

Jeg vil meget gerne opfordre til at give jeres besyv med i kommentarerne nedenfor - egne oplevelser, bekymringer, forslag til andre emner og så videre.

Cybersikkerhed fylder

Siden The Guardian og Washington Post i sommeren 2013 begyndte at publicere deres artikler, baseret på de dokumenter, Edward Snowden havde overdraget til deres journalister, har cybersikkerhed, masseovervågning og retten til også digitalt privatliv fyldt de nationale medier.

Aktører på alle niveauer er retteligt blevet afkrævet svar på kendskab og stillingtagen til alle mulige dimensioner af cybersikkerhed.

Afsløringerne har helt naturligt skabt en øget mistillid til digitale løsninger, til leverandører og myndigheder, og mange søger svar og vejledning.

Der skyder i øjeblikket konferencer op i alle mulige forskellige dele af samfundet - alene de seneste tre måneder har jeg deltaget i og talt på ikke mindre end otte af slagsen, og min inboks har invitationer til endnu flere i den kommende tid.

Alle disse konferencer med cybersikkerhed som omdrejningspunkt tager afsæt i at genskabe tilliden til de digitale løsninger. Den tillid, som er så afgørende for vores allesammens liv og virksomhed i dag.

Fyldt med myter og halve sandheder

Selv om der er stort fokus på emnet, er det sket - som det så ofte sker i sådanne sager - at der er dannet myter og halve sandheder, og uomgåeligt dannes fordomsbaserede holdninger på forkert eller misforstået grundlag.

Når det sker, søger vi som mennesker nogen, vi kan have tillid til.

Mange oplever, at det i dette tilfælde er svært at finde sådan en myndighed eller person, og det gør os utrygge.

Her vil jeg dog gerne rose specielt vore myndigheder (inklusiv politi og militær) for, at de næsten altid stiller op og forklarer sammenhængen fra deres perspektiv.

Vi skal forklare os

Microsoft bliver også ofte bedt om at forklare sig - og intet kunne være mere naturligt, når nu virksomhedens navn gennem de seneste 18 måneder har været nævnt i mange sammenhænge ... fra NSA-samarbejde til retssag mod det amerikanske justitsministerium.

Oftest har det i Danmark tilfaldet mig at være talsmanden, hvilket til alt held ikke er så vanskeligt, fordi jeg fra begyndelsen har kunnet fortælle alle det samme igen og igen:

"Nej, Microsoft deltager ikke i, har aldrig og kommer ikke til at deltage i nogen form for masseovervågningsprogrammer, projekter eller lignende. Hverken med efterretningstjenester, andre myndigheder eller andre, som kunne have interesse i vore og vore kunders data. Vi tillader naturligvis heller ikke bagdøre eller bevidste svagheder i vores software, ligesom vi absolut ikke hjælper nogen med at bryde kryptering eller andre sikkerhedsforanstaltninger."

Hvorfor skulle man så have tillid til mig, når jeg siger det?

Flere journalister har gennem det seneste år spurgt mig og haft den kritiske skepsis, som de jo skal have - men svaret ligger lige for:

Dels fordi vi som virksomhed vil miste al troværdighed over for alle samarbejdspartnere, hvis vi blev taget i en direkte løgn om noget så vigtigt, dels fordi jeg kender de ufravigelige principper, som ligger til grund for alt, hvad Microsoft foretager sig.

Tilliden til principper

Som virksomhed og som medarbejder i en virksomhed har vi nogle naturlige incitamenter i vores job.

Oftest er de kommercielle, og det er kun helt naturligt, at der netop skal tjenes penge, skabes vækst i form af omsætning, nye job, flere ideer til produkter og tjenester som dækker vores samfunds behov.

Men med en situation som den vi i dag rent cybersikkerhedsmæssigt står i - med mistillid og følelsen af, at vi ikke helt kan finde en ekstern entitet at læne os op ad - har vi brug for noget andet og mere urokkeligt.

Hos Microsoft kalder vi det for vores 'styrende principper' - og dem har vi fire af:

  • Security by design.
  • Privacy by design.
  • Transparency.
  • Compliance.
Hvert af principperne fortjener næsten sin egen klumme, og jeg vender derfor nok tilbage til dem på et senere tidspunkt, men lad mig her blot hurtigt løbe gennem det overordnede indhold for hver af dem.

Security by design

Folk, der har fulgt Microsoft og vore produkter i mere end ti år, vil huske tilbage til begyndelsen af 00'erne, hvor et par store vira og orme-angreb eksponerede, hvor store huller blandt andet noget af vores databasesoftware reelt havde.

Samtidig viste det, hvor uforberedt både vi og branchen var på den udbredelse, som produkterne havde fået, og dermed også hvor stort et mål de var for hackere af forskellige typer.

Microsoft og vore kunder blev ramt hårdt, og det er nogle gange et godt udgangspunkt for at udføre reelle forandringer.

Efter fire måneders kodestop havde vi fået styr på de værste huller, men hvad vigtigere var, vi fik etableret det dengang nye princip om, at sikkerhed ikke var en eftertanke, men et fundament, som udviklingen af vores produkter skulle bygges på.

I dag, små 14 år senere, er resultatet det princip, vi kalder Secure Development Lifecycle, som beviseligt har gjort vore produkter til nogle af de mest sikre softwareprodukter på markedet.

Der er naturligvis en konstant udvikling og egentlig et våbenkapløb med dem, der vil udnytte sårbarheder, og blandt andet derfor har vi lagt specifikationen ud i Open Source - sammen med store dele af vores tekniske platform i øvrigt - så andre kan bruge og videreudvikle principperne til alles bedste.

Princippet har også en anden og vigtigere mere nylig konsekvens, nemlig at vi fra ende til anden nu 100 procent krypterer al trafik til og fra, i og imellem vore datacentre.

Tidligere havde vi tiltro til, at det ikke altid var nødvendigt eksempelvis mellem vore egne datacentre og på vore egne kabler.

Men Microsoft har i dag ikke noget grundlag for IKKE at antage, at der skulle foregå ulovlige efterretningsaktiviteter rettet mod Microsofts data eller Microsofts kunders data.

Alene mistanken om, at der kunne være eksempelvis efterretningstjenester, som uautoriseret skaffede sig adgang, betyder, at vi naturligvis SKAL gøre, hvad vi kan, for at vore data og vores kunders data er så sikre som muligt mod sådanne eventuelle aktiviteter. Ét eksempel er altså den fulde kryptering.

Privacy by design

Konceptet om Privacy by Design er kendt og yndes omtalt i eksempelvis offentlige udbud og meget gerne af politikere.

Udfordringerne opstår blandt andet, når en virksomheds forretningsmodel kolliderer med princippet. Derfor er det for Microsoft afgørende, at vi både i design af vore produkter, i standardindstillinger og ikke mindst i vores kontrakter forpligter os til, at data er kundens og kun kundens.

Vores eneste og fornemeste opgave er at drive produktet eller tjenesten sikrest muligt og passe på kundens data efter de bedste forskrifter.

Vi benytter IKKE dine data eller informationer, vi kunne indsamle ved at datamine dine data, til kommercielle formål, og vi har endda som den første nu opnået den nye ISO27018-certificering som bevis på, at dette princip efterleves i praksis, når du placerer selv de mest følsomme personlige data i vores varetægt.

Transparency

Her er tale om et centralt princip, som i sagens natur indimellem kolliderer med eksempelvis nationale sikkerhedsinteresser, love og lignende.

Ikke desto mindre efterstræber vi gennemsigtigheden overalt, hvor vi kan, fordi vi ved, hvor vigtig den er for netop den tillid, som i nogle tilfælde har lidt skade gennem den seneste tids sager.

Hvad der ikke kan forklares, kan ikke forsvares, hedder en yndet benyttet politisk vending. Andet bliver ofte genstand for teorier, spekulationer og så videre - og sjældent af positiv karakter.

Helt praktisk betyder det i Microsoft's tilfælde, at vi blandt andet har lagt sag an (og fået medhold) for at få lov til at fortælle om det, når myndigheder beder om, at vi udleverer data som følge af en given efterforskning - og nogle gange forsøgte at give os såkaldte 'Gag-orders' oveni.

I dag kan vi to gange om året i 'Law Enforcement Request Reports' fortælle alt om de (relativt set få) henvendelser, som vi får fra forskellige landes myndigheder, og hvordan vi behandler dem.

Det er spændende læsning, fordi man kan dykke helt ned på landeniveau og se, hvilke lande der er mest aktive, og i hvor mange tilfælde deres forespørgsler kan afvises, fordi de ganske enkelt ikke er berettigede ifølge lovgivningen.

Compliance

Dette princip har også mange facetter, hvor de tre vigtigste i denne sammenhæng er:

  • Uafhængige certificeringer.
  • Overholdelse af stærkeste gældende lovgivning.
  • At sikre, at vores samarbejde med myndigheder sker efter fuldt gennemsigtige principper og på rette lovgrundlag.

Vi er således på konstant jagt efter at få vores produkter og tjenester certificeret efter de nyeste og stærkeste standarder og sikre, at vi kan leve op til alle regioner, brancher og relevante standardiseringsorganers forskrifter for gode og sikre digitale løsninger.

Senest den nævnte ISO27018, som altså specielt regulerer, hvordan man håndterer de mest følsomme personlige data - en ikke uvæsentlig certificering, hvis man vil have tillid til en leverandør af en it-løsning.

Endelig har vi på branchens vegne forsøgt at få klarhed over, hvor loven begynder, og hvor den slutter.

Vi har blandt andet rejst en sag om rækkevidden af ransagningskendelser på tværs af landegrænser.

Det er en sag, som kører i USA, men som principielt kunne være rejst mange steder i verden inklusiv Danmark, fordi vi som de første udfordrer det, vi mener er en ulovlig retspraksis.

Der er mange aspekter og detaljer i den sag, hvilket man kan læse mere om her.

Hvorfor skulle du stole på Microsoft?

Principperne, jeg beskriver ovenfor, er født for længe siden i Microsoft, og vi arbejder konstant på at sikre, at de er implementeret på en tidssvarende måde.

Men det vigtigst at vide, hvis du vil kunne stole på os, er helt klart, at de ganske enkelt er ufravigelige i vores firma - de er en del af vores kultur.

Data bliver nok aldrig så sikkert som døden og Skat, men med omtanke, fokus og kendte fast principper, kan vi komme et godt stykke af vejen.

Men det kan ikke løses af leverandører alene.

Det kommer de næste klummer til at handle om.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Læs indlæg
Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Andreas Holbak Espersen
Derfor er den nye digitale taskforce det helt rigtige initiativ
Læs indlæg

Premium
Teaser billede
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Læs mere »
Cyber-gidselforhandler løfter sløret: Sådan undgår du at blive ramt af den frygtede 'double whammy'
Her er de 10 bedste arbejdspladser i den danske it-branche
Sådan har Novo sat AI i arbejde: Læs Computerworlds store temanummer om AI i forretningen
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Taler til sanserne: Den sjoveste elbil, som du overhovedet kan få, ser ud til at blive kinesisk
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske CloudNordic går konkurs efter stort ransomware-angreb
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »