PCWK: Polski oddział koncernu Microsoft zainicjował jakiś czas temu nowe, ciekawe działania - Dzień Bezpiecznego Komputera i Centrum Bezpieczeństwa Microsoft. Czy dziś można już mówić o jakichkolwiek efektach tych inicjatyw?

Andrzej Zaremba: Dla nas najlepszym efektem jest np. liczba ściągniętych i zainstalowanych innymi drogami dodatków SP do Windows XP - to po prostu oznacza, że tyle osób w Polsce ma lepiej zabezpieczone komputery, że wiedzą o konieczności i sposobach ich zabezpieczenia. Dzięki Gazecie Wyborczej pół miliona osób zakupiło wydanie z płytą CD, na którym były informacje, jakie kroki należy podjąć, aby zabezpieczyć komputer. Również dzięki akcji telewizji i radia udało nam się dotrzeć z informacją o potrzebie i sposobach zabezpieczania komputera do tych, których ani nie ma w naszych bazach danych ani potencjalnie nie docieraliśmy wcześniej innymi drogami (np. poprzez nasza stronę WWW). Podstawowym efektem tej inicjatywy jest fakt pokazania i wyjaśnienia problemu. W ciągu najbliższych 6 miesięcy będziemy się skupiać na pokazaniu dróg i sposobów na uzyskanie informacji, jak należy zabezpieczać komputery.

Zobacz również:

• System MS-DOS wrócił po latach w postaci open source

Jednym z elementów CBM miały być, o ile pamiętam, seminaria oraz szkolne lekcje poświęcone bezpieczeństwu? Jeśli tak, to ile osób wzięło udział w seminariach i w ilu szkołach odbywają się takie lekcje?

Zgadza się - przeprowadziliśmy wiele seminariów razem z naszymi partnerami - było na nich ponad 3000 specjalistów IT! Oprócz tego emitowaliśmy 'webcasty' poświęcone zagadnieniom bezpieczeństwa, które obejrzało ponad 2000 osób. W dniu 12 października przeprowadzono lekcje dotyczące bezpieczeństwa na 17 wyższych uczelniach i w ponad 150 szkołach podstawowych w całej Polsce. Wiele szkół aktywnie zachęcało i uczestniczyło w konkursie, jaki przygotowaliśmy dla uczniów szkół podstawowych i średnich - uczniowie musieli wykazać się tu własną inicjatywą i pomysłami, jak można propagować ten temat. Szkoły zareagowały również od strony swojej infrastruktury - nie tylko 'nauczały' młodzież, ale także przy okazji same zabezpieczały swoje sieci korzystając z promocji TP na podłączenie się do sieci Internet za złotówkę.

Czy inicjatywy, o których wspomniałem, to działania lokalne? Czy jest to może element jakiejś szerszej, międzynarodowej akcji?

Dzień Bezpiecznego Komputera to nasz polski odpowiednik paneuropejskiej akcji Microsoft pod nazwą "National Security Day". Każdy oddział ma prawo przygotować lokalne działania na swój sposób - jednak cel jest zawsze taki sam - poinformować i pomóc zabezpieczyć jak największą liczbę komputerów u naszych klientów. Polska jest 3 krajem w Europie - po Finlandii i Włoszech - w którym udało się zrealizować tę ideę. I bez skromności powiem, że na razie w Polsce udało nam się to zrobić na największą skalę i w najbardziej przemyślany sposób.

W jaki sposób DBK i CBM wpisują się w politykę "Trustworthy Computing"? Z tego, co pamiętam, przy 'odpalaniu' TWC mowa była o tym, że Microsoft skupia się teraz na sprawdzaniu pod kątem bezpieczeństwa istniejących produktów, a nie na tworzeniu nowych rozwiązań... A to nie jest do końca zgodne z tym, co Microsoft PL mówi o DBK i CBM...

Nie, nie. To nie do końca jest tak. TWC to inicjatywa obejmująca juz istniejące produkty ale to także kompletnie nowe podejście do projektowania i tworzenia nowych. Kiedyś zastanawialiśmy się tylko nad tym, jaki nowy klawisz czy funkcja byłaby przydatna w nowej wersji. Teraz do tego doszło myślenie o bezpieczeństwie produktu juz od momentu projektu. To po to właśnie wysłaliśmy 16000 programistów na specjalnie dla nas stworzone szkolenia z zakresu tworzenia bezpiecznego oprogramowania. Mówię tu 'stworzone specjalnie dla nas' bo w czasach kiedy to zrobiliśmy (rok 2001) takie szkolenia po prostu jeszcze nie istniały! Przecież do dziś trudno znaleźć uczelnię na świecie, na której uczy się nie tylko podstaw programowania, ale także programowania z myślą o bezpieczeństwie produktu.

Czy wiadomo już, jakie innowacje dotyczące bezpieczeństwa zaimplementowane zostaną do tworzonego właśnie Longhorna?

Przepraszam, ale wole nie wchodzić dokładnie w temat Longhorna. Jest to produkt, który planujemy wypuścić dopiero za dwa lata (rok 2006) i jego specyfikacja ciągle się zmienia. Wiadomo oczywiście że pracujemy nad nowym systemem plików i na współpracy systemu operacyjnego z funkcjami bezpieczeństwa, zaszytymi już w rdzeniu procesorów. Wolałbym nic więcej nie mówić, abym później - gdy będzie znana pełna specyfikacja - nie musiał czegoś odwoływać.

Jak zdefiniowałby Pan 'bezpieczny system operacyjny'?

No cóż - takie 'proste' pytania są zawsze najtrudniejsze w odpowiedzi. Można tu napisać cały elaborat, co takie określenie oznacza. Myślę jednak, ze mówiąc najprościej - to taki system, który w co najmniej 95% zastosowań zapewnia dopuszczalny stopień bezpieczeństwa. Nie da się napisać systemu bezpiecznego w 100%, tak jak nie da się zbudować sejfu, do którego nikt się nie włamie, czy szyfru, którego nikt nie złamie - zawsze jest to tylko kwestia dostępności środków i czasu. Jednak, tak jak przecież nie każdy ma w domu sejf, tak również nie każdy potrzebuje (choć na pewno by chciał!) w komputerze systemu, który będzie do złamania tylko przy wykorzystaniu olbrzymich nakładów środków i czasu. Taki system musiałby kosztować właśnie tyle samo: olbrzymie pieniądze. Jednak nasza firma jak i każdy inny producent systemów operacyjnych robi i będzie robiła wszystko, co w jej mocy aby system był maksymalnie odporny na te 95% ewentualnych ataków.

W jakim sensie Windows XP spełnia tę definicję?

Myślę, że Windows XP spełnia w sposób idealny tę definicje. Dzisiejsze ataki nie mają szans nastąpić, jeżeli system jest należycie skonfigurowany i uaktualniony. Jeżeli do tego dołoży się zabezpieczenia typu ściana ogniowa, czy system antywirusowy i oczywiście zabezpieczenie typu 'zdrowy rozsądek' (przez który rozumiem np. nie uruchamianie plików niepewnego pochodzenia), to myślę, że jesteśmy w stanie osiągnąć rzeczony poziom 95%. Trzeba tu jeszcze pamiętać o jednym - ze to właśnie nasze systemy są pod ciągłym obstrzałem - nikt nam nie ułatwia życia - w tym miejscu nasza konkurencja ma łatwiej.

Czas na trudne pytanie ;) Amerykańskie organizacje reprezentujące konsumentów od czasu do czasu zgłaszają pomysł, by producentów oprogramowania zobowiązać do pokrywania strat wynikających z błędów w ich oprogramowaniu (np. przestojów w pracy firm, spowodowanych atakami wirusów, wykorzystujących błędy w systemach). Jaka jest Pańska opinia o takim rozwiązaniu?

Według mnie to trochę szaleństwo. To tak, jakby producenta opon powoływać do odpowiedzialności za złapaną 'gumę' np. w drodze do pracy. Na jej wymianie tracimy czas pracy, a wiec narażamy się w ten sposób na dodatkowe koszty. Ale przecież wiadomo, że to nie producent opony jest winny temu wypadkowi, tylko ktoś kto nierozważnie lub wręcz specjalnie rozsypał gwoździe na szosie. Tak samo jest w wypadku wirusów - niebezpieczeństwo ma miejsce dlatego, ze ktoś SPECJALNIE nas atakuje. I oczywiście, że zawsze wykorzysta do tego najsłabszy punkt - jakim np. w samochodzie są opony. Dla mnie byłby to absurd, gdyby doszło do tego typu rozwiązań prawnych. Żadna firma na świecie nie jest w stanie zagwarantować, ze ich produkt jest całkowicie pozbawiony błędów. To - na poziomie dzisiejszej inżynierii oprogramowania - jest po prostu niewykonalne.