Security rules! Neváhejte s registrací do bezpečnostní databáze

Na bezpečnost IT technologií nesmíme zapomínat! Před deseti lety bylo toto téma opravdu palčivé a dle současných českých studií naší firmy (Microsoft) je bezpečnost stále jedním z nejdůležitějších témat, kterému věnujete náležitou pozornost, což je dobře. Dovolte mi v krátkosti nastínit mechanizmus, kterým se řídíme, abychom zajistili maximální bezpečnost našich technologií.

Díky zkušenosti s velkými bezpečnostními útoky na přelomu tisíciletí jsme udělali ohromný kus práce. V první fázi jsme vydali doporučení, jak psát bezpečný software. Tato doporučení se poté stala základem Microsoft Security Development Lifecycle (SDL) a v tomto směru jsme udělali i masivní osvětu. Zavedli jsme pravidla pro pravidelné vydávání aktualizací (kvůli předvídatelnosti a zamezení používání reverse-engineeringu) a k tomu ještě časem přibyla iniciativa Trustworthy Computing, jejíž součástí je i ochrana soukromí a například zavádění standardních obchodních postupů při nakládání s citlivými daty. Úroveň bezpečnosti našich technologií jsme posunuli tam, kam patří, což potvrzuje i naše lokální studie.

Ale zpět k jedné konkrétní části, a to k aktualizacím našeho softwaru. Aktualizace vydáváme pravidelně každé druhé úterý v měsíci, aby si správci systémů mohli nasazení těchto aktualizací plánovat. Čas od času ale přijde aktualizace mimo tento běžný cyklus. Jedná se o případy, kdy je ohrožení natolik vážné a reálné, že je třeba jednat co nejrychleji a nečekat až na další pravidelné vydání aktualizací. Takovýchto případů jsme za poslední rok několik měli. Mechanizmus pro nasazení je stejný, s tím rozdílem, že aktualizace je důležitější a vychází neočekávaně. Pro maximální informovanost vás všech, kteří se bezpečností IT systémů zabýváte, existuje tzv. Bezpečnostní databáze, kterou spravuje i naše česká pobočka společnosti Microsoft. V případě, že se chystá vydání aktualizace mimo běžný cyklus, proaktivně pomocí e-mailu informujeme všechny v této databázi registrované členy a snažíme se jim poskytnout maximum dostupných informací o chystané aktualizaci, tj. čeho se týká, kdy se očekává její předběžné vydání, jaké kroky mohou minimalizovat pravděpodobnost případného napadení do doby vydání aktualizace a kde je možné nalézt další, v té době dostupné informace.

Pokud máte zájem se do Bezpečnostní databáze registrovat, navštivte prosím tuto stránku (podstránka českého TechNet Blogu), kde najdete více informací, jak postupovat.

Pokud vás zajímá detailněji, jak taková záplata vzniká, doporučuji si přečíst zajímavý článek „Jak vzniká záplata“, který napsal Vít Karas, Senior Software Development Engineer společnosti Microsoft.

Další služby pro IT odborníky a vývojáře
V rámci lokální pobočky společnosti Microsoft nabízíme i další služby jak pro „techies“, tak pro vývojáře. Vydáváme lokální elektronický zpravodaj TechNet Flash (potažmo .NET Flash pro vývojáře), který obsahuje české autorské články na aktuální témata, jsou v něm shrnuty všechny semináře, komunitní akce a konference, jeho součástí je i malý komiks!

Další významnou službou společnou jak pro vývojáře, tak pro IT odborníky je MSTV.CZ. Jde o unikátní zdroje videí (od 5min do 1,5h) opět pokrývající téměř všechny technologie společnosti Microsoft, kratičká „how to“ videa i záznamy z velkých konferencí typu TechNet.

Nejlépe hodnocenou službou jsou naše dva blogy: TechNet Blog a MSDN Blog. Rovněž se můžete stát našimi přáteli na Facebooku a aktivně o technických problémech diskutovat na TechNet Fórech (MSDN Fórech).

Mezi zbylé služby patří TechNet Subscription (MSDN Subscription) – jediná placená služba –  TechNet konference, které pořádáme nepřetržitě již více než deset let.

Radim Petratur
Autor je zaměstnanec společnosti Microsoft a kromě péče o IT odborníky v ČR se zabývá i koordinací aktivit při vydávání mimořádných aktualizací softwaru společnosti Microsoft.