Vi lever i en tid, hvor datasikkerhed og databeskyttelse får bred opmærksomhed og endda er med til at sætte dagsorden på politisk niveau.
Efter de seneste års mange sager om mere eller mindre lemfældig omgang med digitale data og efterretningstjenesters omfangsrige programmer til indsamling af data og overvågning af vores digitale verden, er det nu en snak, der fylder både over køkkenbordet hos hr. og fru Hansen, når verdensledere mødes og på direktionsgangene.
For os alle er det kun godt, at sikkerhed og databeskyttelse nu endeligt er blevet et element, som vi proaktivt er nødt til at tage stilling til.
Og vi, der arbejder professionelt med it, er nødt til nøje at overveje i hvilket omfang vi ønsker at etablere tiltag, der kan bringe sikkerheden og beskyttelsen op på det ønskede niveau.
Vi har et ansvar
Microsoft er én af aktørerne i den globale digitalisering.
Uden at der går marketingtekst i den, er det vel fair at anslå, at forbrugere, virksomheder og offentlige myndigheder i større eller mindre grad anvender alle vore løsninger.
Derfor har Microsoft naturligvis et ansvar for og et bud på, hvilke overvejelser man bør gøre sig.
Hvordan kan man imødekomme behovet for bedst mulig digital sikkerhed og databeskyttelse, og hvordan kan Microsoft selv gennem vore produkter, tjenester og generelle indflydelse medvirke til en positiv udvikling?
Jeg vil derfor i løbet af de næste måneder i en række klummer formidle Microsofts billede af de mange dimensioner, der er i datasikkerhed og- beskyttelse.
Det inkluderer både, hvad Microsoft gør og absolut ikke gør, samt hvad vi kunne ønske os, at myndigheder og politikere gjorde mere og mindre af.
Naturligvis har vi også nogle konkrete gode råd til, hvordan forbrugere og virksomheder bør forholde sig.
Jeg planlægger lige nu at dække i hvert fald følgende emner:
- Staters rolle i cybersikkerhed.
- Gode praktiske råd om cybersikkerhed.
- Hvad er Privacy for en størrelse.
- Cybertrusler, cyberforsvar og fremtidens cybersikkerhed.
Men mine egne erfaringer er selvsagt baseret på oplevelser og indsigt, jeg har opnået gennem mit arbejde med kunder, partnere, lovgivere, kolleger, familie og venner.
Jeg vil meget gerne opfordre til at give jeres besyv med i kommentarerne nedenfor - egne oplevelser, bekymringer, forslag til andre emner og så videre.
Cybersikkerhed fylder
Siden The Guardian og Washington Post i sommeren 2013 begyndte at publicere deres artikler, baseret på de dokumenter, Edward Snowden havde overdraget til deres journalister, har cybersikkerhed, masseovervågning og retten til også digitalt privatliv fyldt de nationale medier.
Aktører på alle niveauer er retteligt blevet afkrævet svar på kendskab og stillingtagen til alle mulige dimensioner af cybersikkerhed.
Afsløringerne har helt naturligt skabt en øget mistillid til digitale løsninger, til leverandører og myndigheder, og mange søger svar og vejledning.
Der skyder i øjeblikket konferencer op i alle mulige forskellige dele af samfundet - alene de seneste tre måneder har jeg deltaget i og talt på ikke mindre end otte af slagsen, og min inboks har invitationer til endnu flere i den kommende tid.
Alle disse konferencer med cybersikkerhed som omdrejningspunkt tager afsæt i at genskabe tilliden til de digitale løsninger. Den tillid, som er så afgørende for vores allesammens liv og virksomhed i dag.
Fyldt med myter og halve sandheder
Selv om der er stort fokus på emnet, er det sket - som det så ofte sker i sådanne sager - at der er dannet myter og halve sandheder, og uomgåeligt dannes fordomsbaserede holdninger på forkert eller misforstået grundlag.
Når det sker, søger vi som mennesker nogen, vi kan have tillid til.
Mange oplever, at det i dette tilfælde er svært at finde sådan en myndighed eller person, og det gør os utrygge.
Her vil jeg dog gerne rose specielt vore myndigheder (inklusiv politi og militær) for, at de næsten altid stiller op og forklarer sammenhængen fra deres perspektiv.
Vi skal forklare os
Microsoft bliver også ofte bedt om at forklare sig - og intet kunne være mere naturligt, når nu virksomhedens navn gennem de seneste 18 måneder har været nævnt i mange sammenhænge ... fra NSA-samarbejde til retssag mod det amerikanske justitsministerium.
Oftest har det i Danmark tilfaldet mig at være talsmanden, hvilket til alt held ikke er så vanskeligt, fordi jeg fra begyndelsen har kunnet fortælle alle det samme igen og igen:
"Nej, Microsoft deltager ikke i, har aldrig og kommer ikke til at deltage i nogen form for masseovervågningsprogrammer, projekter eller lignende. Hverken med efterretningstjenester, andre myndigheder eller andre, som kunne have interesse i vore og vore kunders data. Vi tillader naturligvis heller ikke bagdøre eller bevidste svagheder i vores software, ligesom vi absolut ikke hjælper nogen med at bryde kryptering eller andre sikkerhedsforanstaltninger."
Hvorfor skulle man så have tillid til mig, når jeg siger det?
Flere journalister har gennem det seneste år spurgt mig og haft den kritiske skepsis, som de jo skal have - men svaret ligger lige for:
Dels fordi vi som virksomhed vil miste al troværdighed over for alle samarbejdspartnere, hvis vi blev taget i en direkte løgn om noget så vigtigt, dels fordi jeg kender de ufravigelige principper, som ligger til grund for alt, hvad Microsoft foretager sig.
Tilliden til principper
Som virksomhed og som medarbejder i en virksomhed har vi nogle naturlige incitamenter i vores job.
Oftest er de kommercielle, og det er kun helt naturligt, at der netop skal tjenes penge, skabes vækst i form af omsætning, nye job, flere ideer til produkter og tjenester som dækker vores samfunds behov.
Men med en situation som den vi i dag rent cybersikkerhedsmæssigt står i - med mistillid og følelsen af, at vi ikke helt kan finde en ekstern entitet at læne os op ad - har vi brug for noget andet og mere urokkeligt.
Hos Microsoft kalder vi det for vores 'styrende principper' - og dem har vi fire af:
- Security by design.
- Privacy by design.
- Transparency.
- Compliance.
Security by design
Folk, der har fulgt Microsoft og vore produkter i mere end ti år, vil huske tilbage til begyndelsen af 00'erne, hvor et par store vira og orme-angreb eksponerede, hvor store huller blandt andet noget af vores databasesoftware reelt havde.
Samtidig viste det, hvor uforberedt både vi og branchen var på den udbredelse, som produkterne havde fået, og dermed også hvor stort et mål de var for hackere af forskellige typer.
Microsoft og vore kunder blev ramt hårdt, og det er nogle gange et godt udgangspunkt for at udføre reelle forandringer.
Efter fire måneders kodestop havde vi fået styr på de værste huller, men hvad vigtigere var, vi fik etableret det dengang nye princip om, at sikkerhed ikke var en eftertanke, men et fundament, som udviklingen af vores produkter skulle bygges på.
I dag, små 14 år senere, er resultatet det princip, vi kalder Secure Development Lifecycle, som beviseligt har gjort vore produkter til nogle af de mest sikre softwareprodukter på markedet.
Der er naturligvis en konstant udvikling og egentlig et våbenkapløb med dem, der vil udnytte sårbarheder, og blandt andet derfor har vi lagt specifikationen ud i Open Source - sammen med store dele af vores tekniske platform i øvrigt - så andre kan bruge og videreudvikle principperne til alles bedste.
Princippet har også en anden og vigtigere mere nylig konsekvens, nemlig at vi fra ende til anden nu 100 procent krypterer al trafik til og fra, i og imellem vore datacentre.
Tidligere havde vi tiltro til, at det ikke altid var nødvendigt eksempelvis mellem vore egne datacentre og på vore egne kabler.
Men Microsoft har i dag ikke noget grundlag for IKKE at antage, at der skulle foregå ulovlige efterretningsaktiviteter rettet mod Microsofts data eller Microsofts kunders data.
Alene mistanken om, at der kunne være eksempelvis efterretningstjenester, som uautoriseret skaffede sig adgang, betyder, at vi naturligvis SKAL gøre, hvad vi kan, for at vore data og vores kunders data er så sikre som muligt mod sådanne eventuelle aktiviteter. Ét eksempel er altså den fulde kryptering.
Privacy by design
Konceptet om Privacy by Design er kendt og yndes omtalt i eksempelvis offentlige udbud og meget gerne af politikere.
Udfordringerne opstår blandt andet, når en virksomheds forretningsmodel kolliderer med princippet. Derfor er det for Microsoft afgørende, at vi både i design af vore produkter, i standardindstillinger og ikke mindst i vores kontrakter forpligter os til, at data er kundens og kun kundens.
Vores eneste og fornemeste opgave er at drive produktet eller tjenesten sikrest muligt og passe på kundens data efter de bedste forskrifter.
Vi benytter IKKE dine data eller informationer, vi kunne indsamle ved at datamine dine data, til kommercielle formål, og vi har endda som den første nu opnået den nye ISO27018-certificering som bevis på, at dette princip efterleves i praksis, når du placerer selv de mest følsomme personlige data i vores varetægt.
Transparency
Her er tale om et centralt princip, som i sagens natur indimellem kolliderer med eksempelvis nationale sikkerhedsinteresser, love og lignende.
Ikke desto mindre efterstræber vi gennemsigtigheden overalt, hvor vi kan, fordi vi ved, hvor vigtig den er for netop den tillid, som i nogle tilfælde har lidt skade gennem den seneste tids sager.
Hvad der ikke kan forklares, kan ikke forsvares, hedder en yndet benyttet politisk vending. Andet bliver ofte genstand for teorier, spekulationer og så videre - og sjældent af positiv karakter.
Helt praktisk betyder det i Microsoft's tilfælde, at vi blandt andet har lagt sag an (og fået medhold) for at få lov til at fortælle om det, når myndigheder beder om, at vi udleverer data som følge af en given efterforskning - og nogle gange forsøgte at give os såkaldte 'Gag-orders' oveni.
I dag kan vi to gange om året i 'Law Enforcement Request Reports' fortælle alt om de (relativt set få) henvendelser, som vi får fra forskellige landes myndigheder, og hvordan vi behandler dem.
Det er spændende læsning, fordi man kan dykke helt ned på landeniveau og se, hvilke lande der er mest aktive, og i hvor mange tilfælde deres forespørgsler kan afvises, fordi de ganske enkelt ikke er berettigede ifølge lovgivningen.
Compliance
Dette princip har også mange facetter, hvor de tre vigtigste i denne sammenhæng er:
- Uafhængige certificeringer.
- Overholdelse af stærkeste gældende lovgivning.
- At sikre, at vores samarbejde med myndigheder sker efter fuldt gennemsigtige principper og på rette lovgrundlag.
Vi er således på konstant jagt efter at få vores produkter og tjenester certificeret efter de nyeste og stærkeste standarder og sikre, at vi kan leve op til alle regioner, brancher og relevante standardiseringsorganers forskrifter for gode og sikre digitale løsninger.
Senest den nævnte ISO27018, som altså specielt regulerer, hvordan man håndterer de mest følsomme personlige data - en ikke uvæsentlig certificering, hvis man vil have tillid til en leverandør af en it-løsning.
Endelig har vi på branchens vegne forsøgt at få klarhed over, hvor loven begynder, og hvor den slutter.
Vi har blandt andet rejst en sag om rækkevidden af ransagningskendelser på tværs af landegrænser.
Det er en sag, som kører i USA, men som principielt kunne være rejst mange steder i verden inklusiv Danmark, fordi vi som de første udfordrer det, vi mener er en ulovlig retspraksis.
Der er mange aspekter og detaljer i den sag, hvilket man kan læse mere om her.
Hvorfor skulle du stole på Microsoft?
Principperne, jeg beskriver ovenfor, er født for længe siden i Microsoft, og vi arbejder konstant på at sikre, at de er implementeret på en tidssvarende måde.
Men det vigtigst at vide, hvis du vil kunne stole på os, er helt klart, at de ganske enkelt er ufravigelige i vores firma - de er en del af vores kultur.
Data bliver nok aldrig så sikkert som døden og Skat, men med omtanke, fokus og kendte fast principper, kan vi komme et godt stykke af vejen.
Men det kan ikke løses af leverandører alene.
Det kommer de næste klummer til at handle om.