Kuriozalna notka szefa Microsoftu. Kompromitacja

Minione kilkanaście miesięcy wiązały się z szeregiem niepokojących zdarzeń związanych z cyberbezpieczeńswem w Microsofcie. Seria przeprowadzonych z powodzeniem cyberataków z pewnością skłoniła niektórych klientów Microsoftu do zastanowienia się, czy dalsza współpraca z gigantem jest opłacalna. Co prawda w wyniku wspomnianych ataków nie ucierpiał żaden klient i właściwie nic poza dumą Microsoftu i jego specjalistów ds. cyberbezpieczeństwa - nie zmienia to jednak faktu, że wśród rzeczonych klientów znajdują się wielkie korporacje czy nawet organy administracji publicznej. Ich dane, przetwarzane narzędziami Microsoftu, są warte fortunę.

Ktoś w Microsofcie uznał, że całkiem niezłym pomysłem będzie wyjście frontem do zaniepokojonych klientów i postawienie na wizerunek pełen szczerości i otwartości. Firma opublikowała na blogu Microsoft Security wpis od wiceprezesa Charlie’ego Bella, a The Verge pozyskał notatkę wysłaną przez prezesa Nadellę do wszystkich pracowników firmy. Miało wyjść fajnie, tak po ludzku. Firma zdaje się wprost przyznawać, że bezpieczeństwo danych do tej pory może faktycznie nie było jej największym priorytetem. I że się zmieni.

Że co proszę?

- Microsoft gra główną rolę w światowym cyfrowym ekosystemie, wiąże się z tym ogromna odpowiedzialność, by zasłużyć na zaufanie i je utrzymać. Musimy się bardziej postarać i to zrobimy. Bezpieczeństwo staje się najwyższym priorytetem w firmie Microsoft, wyższym niż wszystko inne - pisze wiceprezes Bell. I składa kilka nieco bardziej konkretnych deklaracji.

Nie przegap:

Prezes Nadella we wspomnianej notatce pisze jeszcze ciekawsze rzeczy. Instruuje pracowników, że od tej pory bezpieczeństwo ma priorytet nad wszystkim innym w ujęciu dosłownym. Nowa ciekawa funkcja może potencjalnie lepiej sprzedać produkt, ale jest niedostatecznie sprawdzona pod kątem bezpieczeństwa? Nie wolno jej wdrażać. Praca nad nowym projektem kontra łatanie istniejącego? To drugie jest ważniejsze. Za każdym razem, gdy na szali jest bezpieczeństwo, to ma mieć priorytet.

Co ciekawe prezes Nadella odnosi się w notatce nie tylko do obecnych i przyszłych projektów firmy, ale również i do przeszłych. Zdaniem niektórych jednym z ważniejszych źródeł sukcesu Microsoftu jest dbanie o zgodność i interoperacyjność jego informatycznych rozwiązań, nawet między produktami i usługami wydanymi wiele lat temu. Prezes twierdzi, że jeśli zachowanie tej wstecznej zgodności rodzi niemożliwe do rozwiązania problemy związane z cyberbezpieczeństwem, również i tu bezpieczeństwo ma być priorytetem.

Microsoft jest jednym z największych dostawców usług informatycznych na świecie i ma szeroką bazę klientów, w tym wiele dużych korporacji oraz organów administracji publicznej. Dokładna liczba lub procent takich klientów nie jest publicznie dostępna, ponieważ Microsoft jako firma prywatna nie ujawnia szczegółowych informacji o swoich klientach. Można jednakże przypuszczać, że ze względu na rozległe portfolio produktów i usług, takich jak systemy operacyjne Windows, pakiet biurowy Microsoft 365, platforma chmurowa Azure i inne, Microsoft obsługuje znaczną część dużych przedsiębiorstw oraz instytucji publicznych na całym świecie.

Wartość danych przetwarzanych przez korporacje, w tym klientów Microsoftu jest ogromna i ciągle rośnie. Dane stały się nowym surowcem dla gospodarki cyfrowej, porównywalnym do węgla, stali czy ropy naftowej w przeszłości. W 2020 r. szacowano, że ilość danych na świecie osiągnie 44 zettabajty, co odpowiada bilionom gigabajtów. Ile to może być warte?

O konkretne kwoty trudno, ponieważ wartość danych zależy od ich rodzaju, unikalności, możliwości wykorzystania w różnych branżach, a także od potencjału do generowania przychodów lub oszczędności kosztów. Dane mogą być wykorzystywane do poprawy efektywności działalności gospodarczej, rozwoju nowych modeli biznesowych, produktów, usług czy relacji z klientami.

Dla największych korporacji, które przetwarzają ogromne ilości danych, ich wartość może sięgać miliardów, a nawet bilionów dolarów, biorąc pod uwagę wpływ na innowacje, konkurencyjność i wzrost. Przykładowo dane generowane przez inteligentne urządzenia, takie jak sensory w samochodach czy urządzenia Internetu rzeczy (IoT), mogą dostarczać cennych informacji o zachowaniach użytkowników, stanach technicznych urządzeń czy optymalizacji procesów produkcyjnych. Jednakże, wartość danych nie ogranicza się tylko do aspektów finansowych. Dane mają również znaczenie strategiczne i mogą wpływać nawet na bezpieczeństwo narodowe.

Microsoft przez lata zdawał się rozumieć ciążącą na nim odpowiedzialność. Sprzedawał bezpieczeństwo jako jeden ze swoich atutów. Bardzo chętnie też poddawał swoje produkty audytom zewnętrznych specjalistów. Rozwiązania dla firm, korporacji i instytucji rządowych najczęściej kończyły takie testy z celującą oceną. Niedawne włamania do centrów danych Microsoftu naświetliły jednak inne, dodatkowe problemy - związane z wewnętrzną polityką firmy i sposobem wdrożenia poszczególnych rozwiązań.

Jak będzie zapamiętany prezes Nadella? Wbrew obiegowej opinii, to nie on wprowadził Microsoft w świat cyfrowej chmury. To ostatnie z dzieł poprzedniego prezesa Steve’a Ballmera. Wywodzący się z serwerowego segmentu Nadella miał między innymi być gwarancją, że chmura i Azure zapewnią Microsoftowi świetlaną przyszłość - to jednak realizacja cudzej wizji, a nie własnej. Aktualny prezes znacząco zmienił kulturę firmy i jej strukturę, ale za takie działania niezupełnie ląduje się w annałach korporacyjnych historii.

Dziełem Nadelli jest obranie kursu na sztuczną inteligencję i uczynienie Microsoftu wizjonera i lidera tego segmentu. Za sprawą jego niedawnego apelu cały Microsoft ma teraz pracować nad SI. Xbox, Microsoft 365, Windows, Skype, Dynamics 365, każdy jeden dział ma obrać kurs na technologie związane ze sztuczną inteligencją. Ta strategia to imitacja taktyki Ballmera, który swego czasu również zażądał, by cała firma zaczęła myśleć o chmurze i cyfrowych usługach - zapewne największym symbolem tej zmiany jest przekształcenie się Microsoft Office w Microsoft 365. Cloud computing i Software as a Service to spuścizna Ballmera. Kurs na interoperacyjność, open-source a przede wszystkim na sztuczną inteligencję zapewne będą spuścizną Nadelli. A rzeczone cyberbezpieczeństwo?

Trudno pamięcią nie wrócić do 2002 r., kiedy to Bill Gates, założyciel Microsoftu, rozpoczął inicjatywę Trustworthy Computing (TwC) wysyłając słynny email do wszystkich pracowników Microsoftu, w którym wezwał zespoły do dostarczania produktów, które są tak dostępne, niezawodne i bezpieczne jak standardowe usługi takie jak elektryczność, usługi wodne i telefonia. To podejście miało na celu umieszczenie bezpieczeństwa klientów i ostatecznie ich zaufania na pierwszym planie we wszystkich działaniach firmy.

W ramach TwC, Microsoft skonsolidował proces aktualizacji bezpieczeństwa w tzw. Patch Tuesday, aby zapewnić większą przewidywalność i przejrzystość dla klientów. W 2008 r. firma opublikowała Lifecycle Rozwoju Bezpieczeństwa (Security Development Lifecycle), opisując podejście Microsoftu do bezpieczeństwa i prywatności na wszystkich etapach procesu rozwoju.

Inicjatywa ta była odpowiedzią na rosnące wymagania dotyczące bezpieczeństwa i prywatności w cyfrowym świecie, a także na wyzwania związane z coraz bardziej zaawansowanymi atakami cybernetycznymi. Za sprawą kompromitująco spóźnionej ale słusznej zmiany priorytetów Microsoft wręcz wydał swój ówczesny nowy system operacyjny za darmo - Windows XP Service Pack 2 pierwotnie miał być bowiem nowym, płatnym Windowsem.

Gates a później Ballmer rozumieli, że czasy informatycznej fuszerki i lepionych na cyfrowe klej i gumę do żucia rozwiązań dobiegły końca. Microsoft przestał być dzikim, nieokrzesanym startupem-buntownikiem, a stał się organizacją na której polegają kluczowe światowe firmy i instytucje. Mając przy tym produkty będące pod względem stabilności i bezpieczeństwa dziurawe jak szwajcarski ser i będące o krok od jakiejś biznesowej czy gospodarczej katastrofy, która potencjalnie mogłaby pociągnąć za sobą całą firmę. TwC stało się strategią absolutnie priorytetową, co przyniosło spodziewane owoce.

Niestety jest zasadnicza różnica pomiędzy Gatesem i Nadellą. Ten pierwszy uderzył na alarm i tak o dekady za późno - ale również w czasach, w których cyfryzacja kolejnych procesów biznesowych czy związanych z działalnością rządową dopiero postępowała. Jego przebudzenie zmieniło kierunek budowania przyszłości. Tymczasem dziś cyfryzacja to proces, który w zasadzie można uznać za niemal zakończony. Za znaczną część obiegu cyfrowych danych i ich przechowywania odpowiada Microsoft. Firma, która niczym garażowy startup właśnie się budzi, że to cyberbezpieczeństwo to chyba jednak coś całkiem istotnego.

Nie wygląda to dobrze.

*Ilustracja otwierająca: Tada Images / Shutterstock