I går meldte digi.no om rapporten CyberInsecurity: The Cost of Monopoly, som mener sikkerheten i offentlige og andre samfunnskritiske IT-systemer undergraves av Microsoft-monopolet. Rapporten er forfattet av sju kjente og anerkjente eksperter innen IT-sikkerhet, blant dem Daniel Geer og Bruce Schneier.
- Les:
- Krever offentlige inngrep mot Microsofts "elendige" sikkerhet (25.09 15:03)
Seint i går kveld sendte @Stake, der Geer arbeidet som teknologisjef, ut en melding om at han "per 23. september 2003 ikke har noe forbindelse med vårt selskap." I meldingene heter det videre: "Selv om Dr. Geer kunngjorde at hans CCIA-sponsede rapport… er et stykke uavhengig forskning, var bidraget og publiseringen av rapporten ikke godkjent av @Stake… Verdiene og synspunktene i rapporten samsvarer ikke med @Stakes."
Geer er president i Usenix, har forskererfaring fra MIT og Harvard, og er en kjent forfatter og foredragsholder. CCIA er en bransjeorganisasjon som er kjent for sin motstand mot Microsoft. Den har distribuert rapporten, men ikke finansiert den. Organisasjonen er kjent for å støtte forslaget om tvangsdeling av Microsoft i et selskap for operativsystemer og et annet for applikasjoner, en løsning rapporten tar avstand fra.
Tilbakedateringen av oppsigelsen til 23. september får det til å se ut som om Geer fikk sparken før rapporten ble lagt fram. Geer har nektet å uttale seg til mediene etter at oppsigelsen ble kjent. Hans medforfatter Schneier sier til Cnet at Geer ikke var informert om oppsigelsen da han onsdag deltok i en telefonkonferanse der rapporten ble presentert. Selve nyheten om rapporten ble kjent seint tirsdag kveld, amerikansk tid. Under telefonkonferansen presiserte forfatterne at de ga ut rapporten på egen regning, og at de uttalte seg som enkeltpersoner, ikke på vegne av selskapene de var ansatt i, og heller ikke på vegne av bransjeforeningen CCIA.
En talsperson for Microsoft, Sean Sundwall, bekrefter overfor flere amerikanske medier at selskapet ble kontaktet av @Stake seint tirsdag kveld. I Washington Post siteres Sundwall dit hen at Microsoft ble oppringt av ledere i @Stake som ville forsikre at rapporten ikke gjenspeilte selskapets synspunkter, at de var skuffet over rapporten, og at de ikke hadde til hensikt å endre sitt forhold til Microsoft. @Stake har Microsoft som kunde innen evaluering av programvare.
Washington Post sier at @Stakes talsperson Lona Therrien benekter enhver samtale mellom @Stake og Microsoft vedrørende rapporten.
Cnet siterer Sundwall dit hen at Microsoft "ikke hadde noe å gjøre med @Stakes interne personalsakavgjørelse." Til Washington Post benektet Sundwall at det var Microsoft som hadde tatt kontakt med @Stake.
Schneier presiserte i sin samtale med Cnet at rapporten var et selvstendig initiativ fra Geer og de andre bidragsyterne, uavhengig av CCIA eller andre kritikere eller konkurrenter til Microsoft. Han la til at det var vanskelig å få sikkerhetseksperter og forskere til å være med på å lage rapporten, selv om de var enige i rapportens premisser.
– Et overraskende antall forskere sa "nei" av frykt for Microsoft, sa Schneier til Cnet. – Reed var ikke et talerør for @Stake. Vi uttalte oss som forskere. At @Stake ikke tålte dette, gjenspeiler hvor sterkt Microsoft er i stand til å gjøre sin innflytelse gjeldende.
En annen av rapportens forfattere, Perry Metzger, fortalte CNN at flere som var enige i rapportens konklusjoner likevel ikke ville være med på den, av frykt for hvordan Microsoft ville reagere.
Washington Post skriver at ekspertene bak rapporten tok kontakt med IDG-magasinet CIO (for "chief information officer") for å få hjelp til å distribuere rapporten. CIO har 140.000 abonnenter, hovedsakelig IT-sjefer og leder med innflytelse over IT-investeringer, og har gjort utleie av abonnentlisten til en del av sitt forretningsgrunnlag (se lenken Subscriber Lists for Direct Marketing Programs på CIOs nettsted). Listen leies ut for både elektronisk distribusjon og papirdistribusjon, og kundene kan fritt velge blant en rekke utvalgskriterier dersom de ikke ønsker å nå alle 140.000 abonnenter.
CIO fikk rapporten til utsending på normalt kommersielt grunnlag. Magasinet meldte så tilbake til CCIA at de ikke kunne distribuere den fordi den var "for følsom". En talsperson for CIO sa til Washington Post at magasinet alltid går over materiale som kunder vil ha distribuert, og forbeholder seg retten til å avvise det. Hun begrunnet dette avslaget med at rapporten "virket for ensidig" og at CIO er nøye med å opptre balansert.
Nettutgaven av CIO har derimot omtalt rapporten – uten å oppgi noen lenke for dem som måtte være interessert i å lese den på egen hånd – og oppfordrer sine lesere til å melde tilbake om sine synspunkter. I skrivende stund støttes rapportens synspunkter av alle tilbakemeldingene, og en innsender kritiserer også CIO for å ha nektet å distribuere den.
Microsoft averterer tungt i CIO. Magasinets talsperson sier dette forhold ikke har noe å gjøre med avgjørelsen om ikke å distribuere den Microsoft-kritiske rapporten. Microsofts talsperson sa til Washington Post at han ikke kunne kommentere om hvorvidt selskapet har hatt kontakt med CIO om denne saken.
Microsoft har ellers avvist innholdet i rapporten, og Microsoft-positive bransjeorganisasjoner som Computing Technology Industry Association har uttalt seg sterkt kritisk om den.
