Доверительные вычисления

До 1995 года существовали ограничения на коммерческое использование Интернета.

26 мая 1995 года Билл Гейтс разослал топ-менеджерам Microsoft меморандум «Интернет — приливная волна» (англ. Internet Tidal Wave), в котором подчёркивалось, что Интернет приобретает наивысшую степень важности^[2]. Тем не менее, операционная система Windows 95 вышла без веб-браузера, поскольку на тот момент у Microsoft ещё не было собственного решения. Успех Всемирной паутины стал для компании неожиданностью, но к середине 1995 года велись внутренние испытания собственного веб-сервера, а 24 августа 1995 года Microsoft запустила важный онлайновый сервис — The Microsoft Network (MSN).

Национальный исследовательский совет США (англ. National Research Council) отметил, что быстрое распространение Интернета одновременно увеличивает и зависимость общества от компьютерных систем, и их уязвимость к сбоям. В 1999 году он подготовил отчёт «Доверие в киберпространстве» (англ. Trust in Cyberspace)^[3]. В докладе рассмотрены издержки недоверительных систем и определены шаги по их совершенствованию. Этот отчёт послужил концептуальной основой для последующей инициативы Microsoft Trustworthy Computing. Председатель комитета и редактор отчёта Фред Б. Шнайдер впоследствии возглавил Академический консультативный совет Microsoft по доверительным вычислениям^[4].

Билл Гейтс официально объявил о запуске инициативы Microsoft «Доверительные вычисления» 15 января 2002 года, разослав соответствующее обращение сотрудникам. В письме он ссылался на внутренний доклад технического директора Microsoft и старшего вице-президента Крэга Манди (англ. Craig Mundie)^[5]. Инициатива, по сообщениям прессы, стала реакцией на критику со стороны крупных клиентов Microsoft — государственных органов, финансовых компаний и других, недовольных регулярными проблемами безопасности в Windows, которые хорошо иллюстрировались чередой массовых вирусных атак, например Code Red, Nimda, Klez и Slammer^[6].

В рамках инициативы были определены четыре ключевых направления: безопасность, приватность, надёжность и деловая добропорядочность^[5]. Несмотря на некоторый скепсис в начале, спустя 10 лет крупные СМИ и эксперты признавали, что программа Microsoft оказала положительное влияние на всю отрасль. Программа «Доверительные вычисления» стала также причиной исчезновения пасхальных яиц из Windows, Office и других продуктов компании^[7].

В процессе развития инициативы был пройден ряд ключевых вех. В 2004 году состоялось официальное внедрение Security Development Lifecycle (SDL) — набора обязательных процессов и практик, интегрирующих безопасность на всех этапах разработки программного обеспечения^[8]. В 2012 году был осуществлён переход к этапу «TwC Next», в рамках которого фокус сместился на обеспечение безопасности облачных технологий^[9]. В 2014 году централизованная группа Trustworthy Computing была расформирована, а её функции распределены по инженерным командам компании, что сделало безопасность встроенной ответственностью каждого подразделения разработчиков^[10].

Летом 2023 года хакерская группа Storm-0558 взломала облачные сервисы Microsoft Exchange Online. В апреле 2024 года Совет по обзору кибербезопасности (CSRB) при Министерстве внутренней безопасности США опубликовал отчёт, посвящённый расследованию этого инцидента. В документе культура безопасности Microsoft была названа неадекватной, а компанию подвергли критике за отход от принципов (этоса) инициативы Trustworthy Computing^[11][12]. В ответ на публикацию отчёта президент Microsoft Брэд Смит публично признал ответственность компании за выявленные проблемы.

В ноябре 2023 года была запущена инициатива Secure Future Initiative (SFI)^[13][14]. В мае 2024 года генеральный директор Сатья Наделла объявил безопасность главным приоритетом компании.

В рамках SFI четыре концептуальных направления предыдущей программы Trustworthy Computing были трансформированы в три новых принципа: безопасность на этапе проектирования (Secure by Design), безопасность по умолчанию (Secure by Default) и безопасные операции (Secure Operations)^[14][15]. Эти принципы реализуются через шесть инженерных направлений: защита удостоверений и секретов, защита и изоляция клиентских систем, защита сетей, защита инженерных систем, мониторинг и обнаружение угроз, а также ускорение реагирования и исправления уязвимостей^[16].

Ключевыми руководителями инициативы являются исполнительный вице-президент Microsoft Security Чарли Белл, отвечающий за общую стратегию, и директор по информационной безопасности (CISO) Игорь Цыганский^[17].

Важную роль в новой стратегии играет использование искусственного интеллекта для киберзащиты. Для автоматизации реагирования на угрозы применяется ИИ-ассистент Microsoft Security Copilot, который позволяет сократить время реакции на инциденты с нескольких часов до секунд^[18][19].

Концепция доверительных вычислений напрямую зависит от надёжности криптографических алгоритмов, для которых появление квантовых компьютеров представляет экзистенциальную угрозу. Главную опасность для асимметричных систем шифрования представляет квантовый алгоритм Шора, способный взломать их за короткое время^[20]. Актуальность проблемы усиливается из-за стратегии злоумышленников «Собирай сейчас, расшифровывай потом» (англ. Harvest Now, Decrypt Later, HNDL), при которой зашифрованный трафик перехватывается и сохраняется для расшифровки в будущем, когда появятся достаточно мощные квантовые компьютеры^[21].

В ответ на эти вызовы в 2025—2026 годах компания Microsoft в рамках инициативы Quantum Safe Program начала интеграцию стандартизированных NIST алгоритмов постквантовой криптографии в свои ключевые продукты. В частности, алгоритмы ML-KEM (для инкапсуляции ключей) и ML-DSA (для цифровых подписей) были внедрены в Windows 11, Windows Server 2025 и платформу .NET 10 для обеспечения долгосрочной защиты данных от квантовых угроз^[22].