Microsoft langer ut mot overvåkerne

Datatilsynet: – De lever av kundenes tillit.

Varg Aamo

Lagre artikkel

Edward Snowden har gjennom sine lekkasjer blåst lokket av en rekke hemmelige overvåkningsprogrammer. Amerikanske NSA har som kjent spionert på både FN og sine allierte, men også i Europa har myndigheter overvåket venner i det skjulte.

Dette har nå programvaregiganten Microsoft sett seg lei på.

I et innlegg på den offisielle Microsoft-bloggen langer direktøren for selskapets juridiske avdeling, Brad Smith, ut mot myndighetenes snoking i kommunikasjon på nett.

– Mange av våre kunder er alvorlig bekymret for myndighetenes overvåkning av Internett. Vi deler deres bekymringer. Derfor tar vi nå affære for å sikre at myndigheter bruker rettslige prosesser, og ikke rå teknologisk makt, for å få tilgang til kundedata, skriver han.

Uten å peke direkte direkte på noen konkrete syndere forteller Smith at Microsoft er særlig bekymret for at enkelte land hevdes å gjøre brede, samordnede forsøk på å omgå sikkerhetstiltak på Internett. Etter deres syn er dette også forsøk på å omgå rettssystemet for å kunne samle inn opplysninger i skjul.

Som eksempler på slike forsøk på å omgå sikkerhetstiltak husker vi avsløringen om at GCHQ, den britiske versjonen av NSA, visstnok skal ha koblet seg til de store transatlantiske fiberkablene som knytter Europa og USA sammen – og avsløringen om at NSA skal ha brutt seg inn på 50 000 nettverk ved hjelp av ondsinnet programvare.

– Dersom påstandene om at dette skjer stemmer, vil det innebære at disse landene holder på å undergrave sikkerheten og personvernet ved nettbasert kommunikasjon alvorlig. Faktisk utgjør regjeringenes snoking nå potensielt en «vedvarende, avansert trussel» på lik linje med sofistikert ondsinnet programvare og cyberangrep, mener juss-direktøren.

På bakgrunn av dette synspunktet skal Microsoft derfor nå innføre tre separate tiltak for å sikre at heller ikke myndighetene skal få gjøre hva de vil på nett: De skal utvide bruken av kryptering på sine produkter og tjenester – både det som er lagret og det som sendes over nett – men også forsterke kundenes juridiske vern, og øke sin egen transparens, ifølge Smith.

Hva gjelder de konkrete tiltakene som skal iverksettes, forteller Smith at kryptering medfører en stor teknologisk utfordring på grunn av skalaene Microsoft opererer på. Han påpeker dog også at flere av tjenestene de tilbyr allerede benytter kryptering både mellom brukeren og selskapet, og mellom selskapets egne datasentre.

– Selv om vi ikke har noen bevis for at kundedata har falt i myndighetenes hender uten tillatelse, ønsker vi ikke å ta noen sjanser. Vi vil derfor gå i gang med å styrke krypteringen over alle våre tjenester, forteller han.

Smith legger til at de vil benytte seg av industriens fremste kryptografiske metoder som 2048-bits kryptering for å nå målet om sterkere sikkerhet. I tillegg vil de både kryptere lagrede kundeopplysninger og informasjon som sendes over nettet, i tilfeller hvor det ikke gjøres allerede – og det hele skal være på plass innen slutten av 2014.

Som et globalt selskap vil denne nye strategien også gjøre seg gjeldende her til lands, noe direktør Bjørn Erik Thon i Datatilsynet er glad for. Han er imidlertid ikke sikker på at det bare er rent uselviske motiver som ligger bak.

– Vi opplever dette som positive tiltak, og forstår jo at disse sakene som verserer må ha blitt oppfattet som problematiske for selskapet. Både Microsoft og andre teknologikjemper lever jo av tilliten til sine kunder, sier han til Hardware.no, og fortsetter:

– Vi har jo også sett at det som har skjedd i USA har vært bra for forretningene hos nettskybedrifter i Europa. De amerikanske har nok mistet mye, så jeg skjønner godt at Microsoft kommer med dette, og at de vil beskytte dataene til både bedriftskunder og enkeltpersoner.

Thon peker dessuten på at data i dag flyter langt mer fritt enn tidligere. Derfor er det etter hans syn særlig viktig at Microsoft nå vil sette inn ekstra sikkerhetstiltak rundt informasjon som overføres over nettet, og ikke bare data som ligger lagret.

Kryptering er likevel ikke enden på visa for Microsoft, og i sin blogg skriver Smith at selskapet også er opptatt av å fortelle sine kunder om det dersom en domstol pålegger dem å utlevere data.

Han sier også at de vil utfordre pålegg om å holde tyst om dette i retten; og at dersom pålegg fra domstoler skulle komme fra et annet land enn USA, vil selskapet bruke de juridiske muligheter de har under gjeldende lovverk for å protestere.

Også dette setter Thon pris på, og han mener det er viktig at selskaper i størst mulig grad informerer forbrukerne om hva som skjer dersom de får innsynsbegjæringer fra myndighetene – selv om det kanskje ikke går ut beskjed med én gang.

– Det vil nok være en forsinkelsesperiode før de får mulighet til å si fra i Norge, på grunn av faren for bevisforspilling. Man må kunne akseptere at i en politietterforskning vil det være en del ting som må holdes litt hemmelig, men det skal ikke være hemmelig til evig tid, slår han fast.

Det siste virkemiddelet Microsoft vil ta i bruk er ifølge Smith å gjøre seg selv mer gjennomsiktig. Dette skal skje ved at når myndigheter i et land er kunder, kan de selv få undersøke at det ikke finnes noen hemmelige bakdører i Microsoft-programmer, slik det ble hevdet i kjølvannet av PRISM-skandalen.

Dette skal blant annet gjøres ved å åpne egne «transparens-sentre» i Europa, Asia og Amerika, og kan nok berolige europeiske land som er bekymret for amerikansk statsspionasje. Hvorvidt slik transparens vil komme kunder i det private til gode er imidlertid usikkert, og Christine Korme i Microsoft Norge sier at de ikke har ytterligere informasjon å dele om dette enn hva Smith allerede har formidlet.

– Vi vil forsikre at viktige spørsmål om myndighetenes tilgang til data besvares av domstolene, og ikke bare dikteres av teknologisk makt. Og vi er fokusert på å legge inn nye sikringer over hele verden, siden vi anerkjenner disse utfordringenes globale vesen. Vi tror at disse nye stegene treffer den riktige balansen mellom sikkerheten vi trenger og personvernet vi fortjener, avslutter Smith.

Både Yahoo og Google, to andre giganter som ble berørt av PRISM-skandalen og de øvrige avsløringene, er også godt i gang med liknende tiltak. Yahoo forventer å bli ferdige med kryptering av all trafikk mellom sine datasentre allerede i januar, mens Google startet først – men har ikke gitt noen indikasjon på når de skal være ferdige.

Mer sikkerhet ute hjelper likevel lite om porten står åpen hjemme:
Det er skremmende lett å cracke nettverket ditt – slik får du det sikkert »

Les også

Lavabit-grunnlegger vil gjøre alle e-poster sikre

31. okt. 2013

CIA mistenkte Snowden allerede i 2009 - advarte ikke NSA

15. okt. 2013

Slik kan du låse snokere ute fra dokumentene dine

19. sep. 2013

Derfor åpner Dropbox noen av filene dine

16. sep. 2013

Slik holder du deg helt skjult fra NSA-overvåkningen

9. sep. 2013

Bruken av anonyme Tor eksploderer

30. aug. 2013

Kraftig økning i antallet som bruker VPN

27. aug. 2013

Stort diskusjonsnettsted stenger brått - frykter NSA

21. aug. 2013

Det er skremmende lett å cracke trådløse nett

16. aug. 2013

Hevder Google jobber med anonymiserings-teknologi

19. juli 2013

Microsoft blånekter for NSA-samarbeid

17. juli 2013

Mega får spionsikker kommunikasjon

15. juli 2013

Apple har levert ut informasjon om 10 000 brukere

18. juni 2013

IT-selskapene ber om å få fjernet munnkurven

13. juni 2013

Microsoft og FBI til storaksjon mot massivt svindel-nettverk

7. juni 2013