Стив Липнер, менеджер отдела корпорации Microsoft, в чьем ведении находятся средства защиты программных продуктов, обсуждает проблемы безопасности с Марсией Сэвидж, руководителем бюро CRN на Западном побережье.
CRN: Компанию Microsoft часто критикуют за недостаточный уровень безопасности ее продуктов. Что вы можете сказать по этому поводу?
С. Л.: При создании Windows NT одна из задач, поставленных перед разработчиками, заключалась как раз в том, чтобы обеспечить требуемый уровень безопасности ПО. И именно тот программный код превратился в Windows 2000. Средства защиты были встроены в ОС с самого начала. Мы видим, как все больше людей покушается на безопасность систем, предпринимая атаки и стараясь найти уязвимые места. Совершая свои сомнительные "подвиги", они публикуют информацию об этом в Web.
За последние 10—12 лет отношение к средствам безопасности кардинально изменилось. Microsoft прилагает усилия для того, чтобы дать клиентам возможность использовать ее продукты в Интернете безопасно и с надлежащей защитой, но вместе с тем мы должны дать клиентам такие продукты, с которыми они смогут работать. Всегда приходится балансировать между этими, подчас взаимоисключающими требованиями. Мы хотим обеспечить своих клиентов удобными в использовании, производительными, защищенными системами, и я считаю, мы добились в этом больших успехов.
CRN: Что предпринимает Microsoft для повышения безопасности?
С. Л.: Мы постоянно уделяем внимание усилению средств защиты своих продуктов. Если говорить о следующей версии Windows 2000, то именно проблемы безопасности стимулируют новые разработки. Детали еще не проработаны, но очередная версия ОС намного лучше. Поэтому мы пересматриваем программный код, и если в системе остались уязвимые места, то исправим их прежде, чем они попадут к пользователям. На конференции разработчиков мы сообщили о некоторых работах по обеспечению безопасности программного кода, который станет частью платформы .Net. Microsoft приобрела лицензии на некоторые биометрические технологии, чтобы ввести их в будущие версии Windows (см. CRN/RE №13/2000).
CRN: Пользователи не всегда устанавливают так называемые "заплаты" безопасности, разработанные поставщиком с целью исправления ошибок исходного кода. Неужели это большая проблема?
С. Л.: Мы получаем много сообщений от лиц, пострадавших от вируса типа "червь". Этот вирус использовал некоторые уязвимые места ПО, для защиты которых около года назад мы выпустили специальную "заплату". Ссылка на нее есть на Web-узле. Когда появляется очередная "заплата", по всем адресам из нашей базы данных рассылаются по электронной почте соответствущие уведомления. Тем не менее прошел год, но все еще есть пользователи, которые страдают от этого компьютерного вируса. Мне очень неприятно, когда они сталкиваются с такими проблемами. Ведь их так просто избежать.
CRN: Кое-кто в отрасли говорит, что борьба за безопасность информации — безнадежное дело. Каково ваше мнение?
С. Л.: Я работаю в этой области уже почти 30 лет. Когда-то мы думали, что достаточно однажды решить проблему безопасности и она больше не возникнет. Но эта проблема будет стоять перед компьютерной индустрией всегда. Поэтому мы продолжаем совершенствовать наши продукты, чтобы обеспечить клиентов средой, в безопасности которой они будут уверены.