"Veel van onze klanten hebben grote zorgen over overheidssurveillance van het internet. Wij delen die zorgen", blogt Microsofts hoofdjurist Brad Smith. Hij schetst nu een aantal stappen die Microsoft neemt om ervoor te zorgen dat overheden juridische stappen moeten nemen om dataverkeer te onderscheppen. Dit in plaats van het met brute, technologische kracht toegang verschaffen tot gegevens van Microsofts klanten.

Alarm ook binnen Microsoft over crypto-ondermijning

De topman van het Amerikaanse bedrijf verwijst hiermee naar de (succesvolle) inbraakpogingen van de Amerikaanse inlichtingendienst NSA. Die heeft onder meer encryptie ondermijnd en gekraakt (via zijn Bullrun-initiatief) en glasvezelverbindingen afgetapt tussen datacenters van Google en Yahoo. Deze en andere spionagepraktijken zijn aan het licht gekomen door onthullingen van klokkenluider Edward Snowden.

"Net als vele anderen zijn vooral gealarmeerd over recente beschuldigingen in de pers over bredere en gerichtere inspanningen door sommige overheden om online-beveiligingsmaatregelen te omzeilen", stelt Microsoft-jurist Smith. Hij uit daarbij de beschuldiging dat daarmee juridische processen en wettelijke beschermingen moedwillig stiekem zijn omzeild door die niet nader genoemde overheden.

Ondermijning van vertrouwen in de IT-industrie

De beschuldigende vinger wijst echter duidelijk naar (in ieder geval) de NSA. Smith heeft het vervolgens namelijk over het onderscheppen en verzamelen van data die in-transit is tussen klanten en servers, en tussen datacenters van techbedrijven. "Indien dit waar is, dreigen deze pogingen het vertrouwen in de beveiliging en privacy van online-communicatie serieus te ondermijnen." Dat hebben securitydeskundigen eerder al ronduit gezegd.

Een uitgelekte NSA-presentatie over de onderschepping van dataverkeer nadat een front-end cloudserver (van Google in dit geval) encryptie heeft weggehaald:

"Overheidsspionage vormt nu in potentie een 'advanced persistent threat', op gelijke voet met geavanceerde malware en cyberaanvallen", blogt Smith. Hij zet uiteen wat voor maatregelen Microsoft nu gaat nemen om zich te wapenen tegen deze 'overheids-APT'.

End-to-end versleutelen

Ten eerste gaat Microsoft het gebruik van encryptie uitbreiden. Het versleutelen van data en van dataverkeer wordt doorgevoerd in alle diensten die het bedrijf biedt. Vorige maand is gebleken dat Microsoft dat nog niet had gedaan, in tegenstelling tot Google die snel na de NSA-onthullingen stappen heeft gezet.

Ten tweede belooft Smith betere juridische bescherming voor de data van Microsofts klanten. Dat omvat onder meer het inlichten van bedrijfs- en overheidsklanten als Microsoft een juridisch geldig bevel krijgt met betrekking tot data van die gebruikers. "Indien een geheimhoudingsbevel ons daarvan weerhoudt, zullen we dat bevel aanvechten in de rechtbank."

Meer inzage in broncode

Ten derde gaat Microsoft de transparantie van zijn software vergroten. De code moet makkelijker in te zien zijn voor klanten zodat die zichzelf ervan kunnen verzekeren dat die producten geen backdoors bevatten. Dit betreft uitbreiding van het al veel langer bestaande initiatief van Microsoft om overheden wereldwijd inzage te geven in de broncode van zijn software. "We zullen een netwerk van transparantiecentra openen", met meerdere vestigingen in Europa, Noord- en Zuid-Amerika, en Azië.