Bill Gates kirjoitti 18.7.2002 katsauksen syistä Palladiumin takana. Alkuperäinen viesti löytyy täältä. Alkuperäisestä viestistä suoraan suomennetut lauseet on erotettu lainausmerkeillä.

Gates kertoo keskustelleensa sekä yritys- että yksityisasiakkaiden kanssa ja saaneensa sen kuvan, että tietojenkäsittely on jokapäiväisessä elämässämme yhä keskeisemmällä sijalla. Samoin hän kertoo keskustelukumppaniensa huolenaiheen olevan teknologian turvallisuus, yksityisyyden suojaus ja se, etteivät järjestelmät aina toimi halutulla tavalla.

Niinpä v. 2002 alussa hän lähetti Microsoftin 50 000 työntekijälle toimintakutsun, jossa antoi suuntaviivat sille, minkä uskoo olevan korkein prioriteetti IT-businekselle tulevan vuosikymmenen aikana: "Luotettavan tietojenkäsittely-ympäristön rakentaminen, joka on asiakkaalle yhtä käyttökelpoinen kuin sähkö joka kodeissamme ja liike-elämässä käytetään on tänään*1."

Hän näkee tämän tärkeänä osana Internetin evoluutiota, koska ilman Luotettavaa Tietojenkäsittely-ympäristöä*2 nykyisen teknologian potentiaalia ei voida käyttää eikä toteuttaa. Hän näkee syynä järjestelmien nykyiselle haavoittuvuudelle sen, että nykyiset tietojenkäsittelyjärjestelmät muodostuvat "löyhästi yhteenkytketyistä palveluista, koneista, tietoliikenneverkoista ja sovellusohjelmista"*3.

Gates myöntää, että on jo olemassa erilaisia ratkaisuja, joilla eliminoidaan salasanojen ja väärennetyn sähköpostin tapaisia heikkoja lenkkejä tietojenkäsittelyssä. Esimerkiksi Microsoft käyttää Smartcardeja yhdessä salasanojen kanssa käyttäjätunnistukseen. Hän kertoo myös Microsoftin työskentelevän koko kentän laajuudella muiden IT-tuottajien kanssa Internet-protokollien parantamiseksi jotta esim. virheellistä informaatiota tai viruksia levittävät sähköpostit saadaan kuriin. Hänen mukaansa Microsoft on "perustavalla tavalla muuttamassa ohjelmistokehitystapaamme, (liike)toimintamallejamme ja asiakastukeamme nostaaksemme tarjoamiemme tietojenkäsittelykokemusten luotettavuutta".

Osoituksena tästää muutoksesta Gates mainitsee, että Microsoft antaa nykyään enemmän painoarvoa ja prioriteettia ohjelmistojen turvallisuusparannuksille uusien ominaisuuksien lisäksi. Toisena esimerkkinä hän mainitsee Outlookiin tehdyt muutokset, jotka estävät mahdollisesti turvattomien liitetiedostojen vastaanottamisen ja niiltä pääsyn Outlookin osoitekirjaan. Samoin järjestelmävalvojilla on mahdollisuus hallita sähköpostin turvallisuusasetuksia organisaatiossaan. Hänen mukaansa "näiden muutosten seurauksena sähköpostivirusten lukumäärä on pudonnut dramaattisesti. Esimerkiksi sähköpostivirukset kuten "Frethen" pääsevät leviämään ainoastaan päivittämättömiin järjestelmiin - mikä osoittaa palvelimen jatkuvan päivittämisen tärkeyden*5".

Microsoft on myös käymässä perusteellisesti läpi monia Mircosoftin tuotteita haavoittuvuuksien arvioimiseksi. Aiemmin 2002 yli 8500 Microsoftin kehittäjän työ pysäytettiin, kun miljoonille riveille Windows-koodia tehtiin pikkutarkka turvallisuusanalyysi. Sen lisäksi jokaiselle Windows-kehittäjälle sekä tuhansille muille Microsoftin ohjelmistokehittäjille annettiin erityiskoulutus turvallisen koodin kirjoittamisessa. Keskeytyksen arvioitiin alunperin kestävän 30 päivää, mutta se vei lähes kaksi kertaa niin kauan ja maksoi Microsoftille yli $100 miljoonaa. Samanlainen tarkistus ja koulutus on suoritettu Microsoft Officen ja Visual Studio .NETin yhteydessä ja se tullaan tekemään myös muille tuotteille*6.

Gates näkee, että luotettava tietojenkäsittely rakentuu neljälle pilarille: käytettävyys, turvallisuus, yksityisyys ja liiketoiminnan loukkaamattomuus. Hän selittää*7 termit näin:

• Käytettävyys: tietokone on luotettava, käytössä silloin kun sitä tarvitaan ja toimii odotetulla tavalla ja teholla.
• Turvallisuus: järjestelmä kykenee torjumaan hyökkäykset ja sekä sen että sen sisältämän datan luottamuksellisuus, eheys ja käytettävyys on turvattu.
• Yksityisyys: yksilöllä on mahdollisuus kontrolloida henkilökohtaista informaatiotaan ja tällaista informaatiota käyttävät tahot uskollisesti noudattavat luottamuksellisen informaation periaatteita.
• Liiketoiminnan loukkaamattomuus: yritykset ovat vastuussa asiakkailleen ja auttavat heitä löytämään heidän tarpeisiinsa soveltuvat ratkaisut, kiinnittävät huomiota tuotteiden ja palveluiden ongelmiin ja ovat avoimia asiakkaitaan kohden.

Hän näkee luotettavan tietojenkäsittely-ympäristön luomisen portaittaisena prosessina, jonka osat ovat:

• Ohjelmistokoodin tekeminen turvallisemmaksi ja luotettavammaksi. Microsoftin kehittäjillä on Gatesin mukaan käytössä työkalut ja metodit jotka parantavat heidän työnsä laatua huomattavasti turvallisuusnäkökulmasta*8.
• Turvallisuusriskien edellä pysytteleminen*9. Tähän päästän jakelemalla päivitykset Internetin kautta niin, että kaikki järjestelmät ovat ajantasaisia ja infrastruktuurin tälle tarjoavat Windows Update- ja Software Update -palvelut.
• Aikainen Palautus (Early Recovery). Ongelmatilanteessa mahdollisuus palauttaa järjestelmä toimintaan tismalleen samassa tilassa kuin se oli ennen ongelman ilmenemistä niin, että asiaan tarvitsee puuttua mahdollisimman vähän.*10

Osasta Microsoftilla kirjettä edeltävän kuuden kuukauden aikana tapahtunutta kehitystä Gates esittää seuraavanlaisen yhteenvedon:

• Ohjelmistosuunnittelu- sekä -kehitystapoja on muutettu kehitystyön jokaisessa vaiheessa. Uusien prosessien "pitäisi vähentää suuresti ohjelmiston virheitä ja nopeuttaa uusien tuotteiden ja palvelujen kehitystyötä*11".
• Microsoft on aloittanut yritysasiakkaille suunnatun ohjelmistopäivityspalvelun (Software Update Services, SUS). Sen avulla IT-ylläpitäjät voivat jakaa kriittiset päivitykset Windows 2000 Professional- ja XP-työasemille sekä W2K-palvelimille oman palomuurinsa sisäpuolelta.
• IT-ylläpitäjille on tarjolla myös uusi työkalu, Microsoft Baseline Security Analyzer. Sen avulla voidaan W2K- ja XP-järjestelmistä paikantaa yleisimmät turvallisuutta vaarantavat konfiguraatiovirheet. Samoin eri tuotteet kuten IIS:n uusimmat version, SQL server ja Office voidaan sen avulla tarkastaa.
• Microsoft on sitoutunut julkaisemaan .NET-palvelimen 2003 "oletusarvoisesti turvallisena". Gates uskoo olevan kriittistä, että asiakkaille tarjotaan alusta, joka on "konfiguroitu maksimiturvallisuuteen suoraan laatikosta purettuna samalla kun edelleen tarjoamme asiakkaille suuren määrän käyttöjärjestelmään sisällytettyjä ominaisuuksia ja kykyjä.*12".
• Office XP:n ja Windows XP:n virheraportointiominaisuudet ovat antaneet Microsoftillle "valtavan määrän palautetta ja paljon selkeämmän kuvan asiakkaiden kohtaamista ongelmista" joiden avulla niiden sekä myös muiden valmistajien ohjelmistojen luotettavuutta voidaan parantaa. Tämän projektin osana Microsoft on avannut suojatun verkkosivun, jossa muut valmistajat voivat käydä tarkistamassa Microsoftin järjestelmien kautta luotuja virheraportteja omien rauta- tai ohjelmistotuotteidensa osalta ja niin ollen voivat tunnistaa toistuvia ongelmia ja vastata niihin entistä nopeammin. Gatesin mukaan kaikki Microsoftin tulevat palvelinohjelmistot on varustettu näillä ominaisuuksilla.
• Microsoft täydentää Windows Update-sivuston avulla yllämainittuihin virheraportointiominaisuuksiin perustuvan asiakaspalautekierron. Gates kertoo sivuston jakavan yli 300 miljoonaa downloadia kuukaudessa kaiken kaikkiaan.
• Gates mainitsee Palladium-hankkeen. Tässä hän myös kertoo sen tulevan "huomattavasti vähentämään virusten tai muiden hyökkäysten riskiä ja hankaloittamaan henkilökohtaisen informaation tai digitaalisen omaisuuden saatavuutta uhkaavassa tai laittomassa tarkoituksessa". Se tulee kuulumaan Windowsin kaikkiin tuleviin versioihin*13. Microsoftin tavoitteena on saada Palladiumista yhteistoiminnallinen, alan kattava hanke.
• Gates kertoo, että XP:n Internet Exploreriin on sisällytetty uusi tekniikka, P3P (Platform for Privacy Preferences, Alusta Yksityisyysasetuksille). Tämä antaa käyttäjän itse määritellä tarkoituksiinsa sopivat yksityisyysasetukset. Gatesin mukaan "P3P-standardi*14 antaa käyttäjän selaimelle mahdollisuuden verrata minkä tahansa P3P-yhteensopivan web-sivun yksityisyysmallia käyttäjän yksityisyysasetuksiin ja tämän perusteella päättää, hyväksytäänkö sivun evästeet".

Gatesin mukaan "kriittisten Luotettavan Tietojenkäsittelyn aspektien tunnistaminen ja niihin huomion kiinnittäminen vaatii merkittävää, alanlaajuista yhteistyötä". Esimerkkinä tällaisesta yhteistyöstä hän mainitsee Web Services Interoperability Organizationin (WS-I, http://www.ws-i.org). Sen perustajiin kuuluvat IBM, Microsoft, Intel, Oracle, SAP, HP, BEA Systems ja Accenture yhdessä muiden alan johtajien kanssa ja sen päämääränä on "mahdollistaa XML-perustaisten web-palvelujen yhteensopivuus ja luotettavuus eri alustojen, sovellusten ja ohjelmointikielten välillä". WS-I tulee mm. kehittämään testaustyökalut, jolla etsitään vikoja ja epäsovinnaisia käyttötapoja web-palvelujen spesifikaatioiden soveltamisessa, minkä hän näkee parantavan yhteistoimintaa eri ohjelmistojen ja alustojen välillä.

Tietojenkäsittelyn monimutkaisuudesta ja alan dynaamisesta luonteesta johtuen Luotettava Tietojenkäsittely on Gatesin näkemyksen mukaan ennemmin matka kuin päämäärä. Hän sanoo Microsoftin täysin sitoutuneen tälle polulle, mutta "me emme voi tehdä sitä yksin*16". Se vaatii hänen mukaansa alan yritysten toimimista tien viitoittajina ja myös asiakkaiden sitoutumista. Hän esittää muutamia ehdotuksia mitä yksityis- ja yritysasiakkaat voivat tehdä asian hyväksi:

• Palautteen antaminen Office XP:n ja Windows XP:n virheraportointiominaisuuksien avulla.
• Microsoft Windows Updatea (http://windowsupdate.com/) käyttö varmistamaan että käytössä on tuotepäivitysten, -laajennusten ja -korjausten ajantasaisimmat ja tarkimmat versiot.
• Yritysasiakkaat voivat hyödyntää Ohjelmistopäivityspalvelua (SUS) saadakseen kriittiset päivitykset Windows Updatelta. (http://www.microsoft.com/windows2000/windowsupdate/sus/
)
• Microsoft Baseline Security Analyzerin käyttö paikantamaan yleiset turvallisuuskonfigurointivirheet Windows XP- ja Windows 2000-järjestelmistä. (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/MBSAhome.asp)
• Enterprise-järjestelmäsuunnittelijat voivat hyödyntää Systems Integrator Source Lisencing -ohjelmaa. (http://www.microsoft.com/lisencing/sharedsource/)
• Rauta-, ohjelmisto- tai järjestelmävalmistajat voivat liittyä Microsoftin Windows Logo -ohjelmaan, http://www.microsoft.com/winlogo/, varmistaakseen korkealuokkaisen käyttäjäkokemuksen.
• Lisää tietoa tietojärjestelmien turvallisuudesta: http://www.microsoft.com/security/.
• Microsoftin Luotettavan Tietojenkäsittelyn White Paper on osoitteessa http://www.microsoft.com/PressPass/exec/craig/05-01trustworthywp.asp.
• Internet Explorer 6:n käyttö

Gates lopettaa kirjeensä sanoihin:

"Microsoftilla teemme kaiken mahdollisen saadaksemme ohjelmistot niin luotettaviksi kuin mahdollista. Nostamalla tietoisuutta, työskentelemällä yhdessä ja pitkäaikaisella sitoutumisella olen varma, että voimme luoda todella Luotettavan Tietojenkäsittely-ympäristön"*17.

Kiitän mielenkiinnosta.

StopTCPA Admin
Life is free or not life

1. Tämähän alkaa lupaavasti. Jotain sähkönjakelun luotettavuudesta tällä hetkellä kertoo se, että UPS:n (Uninterruptable Power Supply, akkulaite joka sähkökatkoksen tapahtuessa tarjoaa virtaa laitteelle niin kauan että se ehditään ajaa alas "nätisti"), line conditionerien ja joissain tapauksissa (esim. sairaalat) jopa varageneraattorien tarve katsotaan yhdeksi tärkeimmistä huomioonotettavista asioista ATK-keskuksen suunnittelussa ja toteutuksessa. Takaisin

2. Mahtaako BG yrittää lanseerata uutta termiä vai onko biologia hiukan heikoissa kantimissa... hän on tähän kohtaan itse asiassa valinnut sanan Tietojenkäsittelyekosysteemi Takaisin

3. Kuinka paljon turvallisempi Internet ja tietojenkäsittely-ympäristö sitten olisi, jos joka paikassa olisi käytössä sama helppokäyttöinen ja luotettava IBM/Windows/Office/Exchange/IIS/SQL-ympäristö? Takaisin

5. Kumpi tosiasiallisesti on helpompaa ja tehokkaampaa virustaistelussa: antaa FSAV:n tai McAfeen postiskannereiden päivittää virustietokantansa päivittäin vai päivittää Outlook tai Exchange-palvelin neljästi vuodessa? Onko todellinen vaikutus ollut niin "dramaattinen" kuin BG esittää? Takaisin

6. Pankaapa merkille, mitkä tuotteet BG mainitsee. Oletettavaa on, että tämä koodianalyysi on tehty näiden lisäksi lähinnä .NET-palvelimen ja mahdollisesti XP:n koodille - mutta viimeistäkin hiukan epäilen. Kuinka paljon tästä hyötyvät olemassa olevat NT-ympäristöä käyttävät asiakkaat? Miten tämä näkyy W2K/Office2K-ympäristöissä? Vaikka Hänen Billiytensä yllä esittää yhtiön toimintatavan olevan muuttumassa, rohkenen silti väittää asiakkaan hyötyvän näistä parannuksista Microsoftin tähänastisen strategian mukaan... toisaalta, onhan Microsoftin päivityspaketti toki uutta Microsoft-ohjelmistoa halvempi ... Takaisin

7. Tämä on itsestäänselvää. Lausunnolle antaa huomattavissa määrin lisäpainoa Microsoftin kunnostautuminen tällä saralla. Takaisin

8. Tämä ei liene nielaissut leijonanosaa aiemmin mainitusta $100 miljoonasta... Takaisin

9. Esimerkki tällaisesta on vaikkapa virustorjuntaohjelma tai palomuuri, joka tunnistaa ja torjuu viruksen tai uuden hyökkäystavan ennen kuin sitä on kehitetty. Olisi kiinnostavaa kurkistaa Microsoftin kristallipalloon. Takaisin

10. Joka alkaa olla jo standardioptio kaikissa vakavastiotettavissa varmistusjärjestelmissä, esim Veritas Backup Exec, Tapeware, HP:n OBDR... Takaisin

11. Ks. 8. Takaisin

12. Uskon pääosan asiakkaista olevan itse ajatuksesta samaa mieltä. .NET-palvelimen julkaisu kuitenkin saattaa tarjota aivan uudenlaisia yllätyksiä nimenomaan turvallisuuden ja luotettavuuden suhteen... kuinka moni Microsoftin ohjelma on a.) julkaistu ajallaan b.) antanut sen kuvan, että beetatestaus on tehty loppuun asti ennen julkaisua? Takaisin

13. "Microsoftin maine markkinoilla luotettavana tuotevalmistajana" (lainaus Microsoftin Palladium-FAQ:sta) herättää välittömästi luottamuksen yrityksen kykyyn kehittää järjestelmä, jossa käyttöjärjestelmän rinnalla ajetaan samanaikaisesti toista täysin erillistä suoritusympäristöä. Takaisin

14. Kenen standardi? HTML-standardeja säätelevän WWW-consortiumin? Internetstandardeja säätelevän IEEE:n? Vai vaihteeksi Microsoftin? Takaisin

16. Äkkinäisempi voisi luulla, että BillyBoy on vihdoinkin oppinut jotain. Takaisin

17. "Asiakkaiden suhteen ensimmäinen askel on se, että he ymmärtävät mitä vaaditaan..." ainakaan BG ei vaadi asiakkailtaan kohtuutonta älyllistä panostusta tämän suhteen. Näyttää siltä, että ainoa vaatimus Luotettavan Tietojenkäsittely-ympäristön luomiselle on se, että käytetään Microsoftin käyttöjärjestelmiä ja kaikkinainen rauta- ja ohjelmistokehitys tehdään yhteistyössä Microsoftin kanssa Microsoftin kehitysvälineillä... länsirintamalta ei vieläkään mitään uutta. Takaisin

Created on ... December 04, 2002