อิสริยะ ไพรีพ่ายฤทธิ์ / Isriya Paireepairit / mk / markpeak
I am a Thai tech geek and ICT policy researcher. Co-founder of Blognone and SIU.
This is my personal blog for almost everything.
จากข่าว Kaspersky - แอปเปิลล้าหลังไมโครซอฟท์ถึง 10 ปีในเรื่องความปลอดภัย ชวนให้ผมคิดถึงสถานการณ์ของไมโครซอฟท์หลังออก Windows XP ใหม่ๆ (นั่นก็คือเมื่อ 10 ปีที่แล้ว)
XP ออกมาแรกๆ ยังไม่มีอะไรน่าตกใจ แต่ผ่านไปสักพักหนึ่งก็โดนไวรัส มัลแวร์ โทรจัน เวิร์ม รุมตีกระหน่ำจนเสียกระบวน (ผมเคยโดนเข้ากับตัวตอนลง XP ให้คอมพิวเตอร์ที่มหาลัยแล้วเผลอเสียบสายแลนทิ้งไว้ ก็เลยเดี้ยงตั้งแต่ยังไม่ทันเริ่มใช้งาน) จนไมโครซอฟท์ต้องกลับไปปรับทัพเสียยกใหญ่ และสุดท้ายกลับมาพร้อมกับ XP SP2 ที่นิ่งขึ้นมาก
กระบวนการในตอนนั้นที่จำได้คือ บิล เกตส์ ออกบันทึกภายในเรื่องความปลอดภัย โดยยกให้เป็นวาระสำคัญของบริษัท และจับนักพัฒนาของไมโครซอฟท์ทุกคนไปหัดวิธีการเขียนโค้ดอย่างปลอดภัยเสียใหม่ (ย้ำว่าทุกคน) ผลออกมาดีมาก และระบบความปลอดภัยของไมโครซอฟท์ดีขึ้นแบบผิดหูผิดตานับตั้งแต่นั้น
มันเป็น learning process ของทุกคนในองค์กรที่ต้องมีร่วมกัน (แต่การผลักดันของผู้นำก็สำคัญ)
เมื่อนึกถึงเรื่องนี้ได้เลยลองค้นข้อมูลดู ก็พบบันทึกของบิล เกตส์ ฉบับนั้น ผมเข้าใจว่าบันทึกนี้ชื่อ Trustworthy Computing แต่ในเว็บของไมโครซอฟท์ไม่ได้ระบุชื่อเอาไว้ เขียนว่าเป็น Memo from Bill Gates เท่านั้น
แต่ระหว่างการค้นหาบันทึกฉบับนี้ ก็เจอของดีกว่านั้นคือบทความ 10 years since the Bill Gates security memo: A personal journey เขียนโดย Michael Howard ตำแหน่ง Microsoft principal cybersecurity architect
คนนี้เป็น "ผู้สอน" คลาสความปลอดภัยให้กับพนักงานทุกคนของไมโครซอฟท์ เขาเล่าความหลังในช่วงปี 1999-2003 ว่าเกิดอะไรขึ้นบ้างกับปัญหาด้านความปลอดภัยของบริษัท เป็นประวัติศาสตร์ของวงการคอมพิวเตอร์ที่น่าสนใจมากทีเดียว
สรุปแบบสั้นๆ คือทีมงานด้านความปลอดภัยของเขา (ซึ่งตอนนั้นยังไม่สำคัญมากนัก) ริเริ่มการแก้บั๊กและช่องโหว่ของซอฟต์แวร์ภายในบริษัท โดยใช้วิธีแบบ sprint คือเซ็ตวาระเฉพาะกิจขึ้นมา แล้วระดมคนมาช่วยกันแก้บั๊กด้านความปลอดภัยของซอฟต์แวร์ตัวใดตัวหนึ่งโดยเฉพาะ
วิธีนี้เวิร์คในแง่ของคุณภาพซอฟต์แวร์ แต่ไม่เวิร์คในระยะยาว เพราะเป็นการแก้ปัญหาปลายเหตุ ตอนหลังทีมของเขาจึงปรับกลยุทธ์มาเป็นการให้ความรู้ด้านการเขียนโค้ดที่ปลอดภัย และกระตุ้นให้พนักงานภายในเห็นความสำคัญของความปลอดภัยมากขึ้นแทน
เผอิญช่วงนั้นไมโครซอฟท์เจอปัญหาความปลอดภัยพอดี คนในเลยรู้สึกว่าจำเป็นจริงๆ แล้ว แถมผู้นำอย่างบิล เกตส์ก็เอาด้วย งานเลยคืบหน้าและสุดท้ายออกผลมาเป็นอย่างที่เห็น
Comments
เอเสาชิงช้า
28 April, 2012 - 09:17
Permalink
ผมยังจำได้ตอนนั้นใช้ Windows
ผมยังจำได้ตอนนั้นใช้ Windows XP เปิดเน็ทปุ๊บ นับถอยหลัง shutdown ปั๊บ มันเป็นอะไรที่สุดยอดมาก ๆ ไม่ก่อนคิดว่า firewall เปิดไปทำไม ไม่เห็นจำเป็น ตอนนี้เลยต้องปิดไว้ตลอดเลย :)
Add new comment