Microsoft përballet me nxehtësi nga Kongresi amerikan për sigurinë kibernetike
Brad Smith, Vice Chairman and President of Microsoft, is sworn in before testifying about Microsoft's cybersecurity work during a House Committee on Homeland Security hearing on Capitol Hill in Washington, DC, on June 13, 2024. (Photo by SAUL LOEB / AFP) (Photo by SAUL LOEB/AFP via Getty Images)
Microsoft po drejton kulturën e kompanisë së tij për ta bërë sigurinë një përparësi kryesore, dëshmoi Presidenti Brad Smith në Kongres të enjten, duke premtuar se siguria do të jetë “më e rëndësishme edhe se puna e kompanisë në inteligjencën artificiale”.
Satya Nadella, CEO i Microsoft, “ka marrë përgjegjësinë personalisht për të shërbyer si ekzekutiv i lartë me përgjegjësi të përgjithshme për sigurinë e Microsoft,” tha Smith në Kongres.
Dëshmia e tij vjen pasi Microsoft pranoi se mund të kishte ndërmarrë hapa për të parandaluar dy sulme kibernetike agresive të shteteve kombëtare nga Kina dhe Rusia.
Sipas informatorit të Microsoft, Andrew Harris, Microsoft kaloi vite duke injoruar një dobësi ndërsa ai propozoi rregullime për “makthin e sigurisë”. Në vend të kësaj, Microsoft kishte frikë se mund të humbiste kontratën e tij qeveritare duke paralajmëruar për gabimin dhe gjoja e minimizoi problemin, duke zgjedhur fitimet mbi sigurinë, raportoi ProPublica.
Kjo neglizhencë e dukshme çoi në një nga sulmet kibernetike më të mëdha në historinë e SHBA-së dhe të dhënat e ndjeshme të zyrtarëve u rrezikuan për shkak të dështimeve të sigurisë të Microsoft. Hakerët e lidhur me Kinën vodhën 60,000 emaile të Departamentit të Shtetit të SHBA, raportoi Reuters. Dhe disa agjenci federale u goditën, duke u dhënë sulmuesve akses në informacione të ndjeshme të qeverisë, duke përfshirë të dhënat nga Administrata Kombëtare e Sigurisë Bërthamore dhe Instituti Kombëtar i Shëndetësisë, raportoi ProPublica. Edhe vetë Microsoft u shkel, me një grup rus që iu qaset emaileve të stafit të lartë këtë vit, duke përfshirë “korrespondencën e tyre me zyrtarët e qeverisë”, raportoi Reuters.
“Ne e pranojmë se mund dhe duhet të bëjmë më mirë,” i tha Smith Kongresit sot, sipas dëshmisë së tij të përgatitur me shkrim . “Si kompani, ne duhet të përpiqemi për përsosmëri në mbrojtjen e sigurisë kibernetike të këtij kombi. Çdo ditë që na mungojnë është një ditë e keqe për sigurinë kibernetike dhe një moment i tmerrshëm në Microsoft.”
Për të përforcuar ndryshimin në kulturën e kompanisë drejt “fuqizimit dhe shpërblimit të çdo punonjësi për të gjetur çështje sigurie, për t’i raportuar ato” dhe “të ndihmojë në rregullimin e tyre”, Smith tha se Nadella i dërgoi një email të gjithë stafit duke i kërkuar që siguria të mbetet gjithmonë në krye të mendjes. .
“Nëse jeni përballur me një kompromis midis sigurisë dhe një prioriteti tjetër, përgjigja juaj është e qartë: Bëjeni sigurinë,” thuhej në emailin e Nadella. “Në disa raste, kjo do të nënkuptojë prioritizimin e sigurisë mbi gjërat e tjera që bëjmë, të tilla si lëshimi i veçorive të reja ose duke ofruar mbështetje të vazhdueshme për sistemet e trashëgimisë.” Për të siguruar që të gjithë të jenë në bord, Microsoft ka filluar gjithashtu të lidhë pagën e drejtuesve me përmbushjen e qëllimeve të sigurisë.
Smith ishte i vetmi dëshmitar që dëshmoi në një seancë dëgjimore të Komitetit të Dhomës së Përfaqësuesve për Sigurinë Kombëtare, të titulluar, “Një kaskadë e dështimeve të sigurisë: Vlerësimi i mangësive të sigurisë kibernetike të Korporatës Microsoft dhe implikimet për sigurinë kombëtare”.
Ai i tha Kongresit se Microsoft po ndiqte të gjitha 16 rekomandimet që Bordi i Rishikimit të Sigurisë Kibernetike (CSRB) bëri në një raport që “identifikoi një sërë vendimesh operacionale dhe strategjike të Microsoft që së bashku tregojnë për një kulturë të korporatës që zhvlerësonte si investimet në sigurinë e ndërmarrjeve ashtu edhe për investimet e ndërmarrjes dhe ato strategjike”. menaxhim rigoroz i rrezikut”.
Si pjesë e këtyre detyrimeve, Microsoft është zotuar të ndalojë tarifimin për veçoritë kryesore të lidhura me sigurinë si regjistrimi më i hollësishëm që CSRB tha se duhet të jetë një pjesë thelbësore e shërbimit të tyre cloud. (Korrikun e kaluar, Microsoft filloi ta ndryshojë atë kulturë duke zgjeruar aksesin dhe fleksibilitetin e regjistrimit në renë kompjuterike për t’u dhënë klientëve “qasje në regjistrat më të gjerë të sigurisë së cloud” pa kosto shtesë.)
Smith tha gjithashtu se Microsoft “po ndiqte strategji të reja, duke investuar më shumë burime dhe duke nxitur një kulturë më të fortë të sigurisë kibernetike”. Kjo përfshin shtimin e “18 objektivave të tjerë konkretë të sigurisë” përtej rekomandimeve të CSRB dhe “përkushtimin e ekuivalentit të 34,000 inxhinierëve me kohë të plotë për atë që është bërë projekti i vetëm më i madh inxhinierik i sigurisë kibernetike në historinë e teknologjisë dixhitale”, Iniciativa e Secure Future (SFI) e Microsoft-it.
Microsoft gjithashtu forcoi ekipin e tij të sigurisë, tha Smith, duke shtuar “1600 inxhinierë të tjerë të sigurisë këtë vit fiskal” dhe duke planifikuar “të shtojë edhe 800 pozicione të tjera të reja sigurie” në vitin e ardhshëm fiskal. Për më tepër, Zyrtari Kryesor i Sigurisë së Informacionit të kompanisë (CISO) tani do të drejtojë një zyrë me zëvendës të CISO-ve të nivelit të lartë “për të zgjeruar mbikëqyrjen e ekipeve të ndryshme inxhinierike për të vlerësuar dhe siguruar që siguria “të futet” në vendimmarrjen dhe proceset inxhinierike”.
Smith e përshkroi SFI-në si “një përpjekje shumëvjeçare” duke fokusuar të gjitha përpjekjet e Microsoft për zhvillimin e produkteve dhe shërbimeve “në arritjen e standardeve më të larta të mundshme për sigurinë”. Ai paralajmëroi se kërcënimet në internet janë gjithmonë në zhvillim, por tha se Microsoft ishte i përkushtuar për të mbështetur projektet në parimet thelbësore të sigurisë kibernetike që do t’i jepnin përparësi sigurisë në dizajnet e produkteve dhe do të siguronin që mbrojtjet të mos jenë kurrë opsionale dhe gjithmonë të aktivizuara si parazgjedhje.
Kjo iniciativë është pjesë e planit të Microsoft për të rifituar besimin pasi Smith dhe Microsoft më parë dukej se nuk pranonin përgjegjësinë e plotë për sulmin kibernetik rus. Në vitin 2021, Smith i tha Kongresit se “nuk kishte dobësi në asnjë produkt apo shërbim të Microsoft që ishte shfrytëzuar” në atë sulm kibernetik, ndërsa argumentoi se “klientët mund të kishin bërë më shumë për të mbrojtur veten”, raportoi ProPublica.
Në një shkëmbim me Senatorin Marco Rubio (R.-Fla.), Smith specifikoi se klientët mund të kishin paguar për “një produkt antivirus si Microsoft Defender dhe sigurimin e pajisjeve me një produkt tjetër të Microsoft-it të quajtur Intune”, raportoi ProPublica.
Tani, Smith i tha Kongresit të enjten, “Microsoft pranon përgjegjësinë për secilën nga çështjet e cituara në raportin e CSRB-së. Pa ekuivokim apo hezitim. Dhe pa asnjë ndjenjë mbrojtjeje.”
Kompania ka ftuar Agjencinë e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës për të marrë pjesë në një “përmbledhje të detajuar teknike” mbi objektivat e tjera inxhinierike të SFI dhe Microsoft për të shpjeguar “mënyrat specifike që ne po zbatojmë rekomandimet e CSRB”, tha Smith.
Smith i theksoi vazhdimisht Kongresit se Microsoft i vetëm nuk mund të zgjidhë problemet e sigurisë kibernetike të vendit. Edhe pse ai pranoi se Microsoft ka “përgjegjësinë e parë dhe më të madhe” për të dëgjuar raportin e CSRB, “asnjë kompani e vetme nuk mund të mbrojë një vend dhe kombe të tjera nga ajo që po shfaqet si një luftë kibernetike e zhvilluar nga katër qeveri agresive,” tha Smith.
Ndërsa disa mendojnë se mbështetja e tepërt e qeverisë amerikane te Microsoft është në vetvete një problem , Smith sugjeroi që qeveria amerikane të ketë gjithashtu njëfarë përgjegjësie në forcimin e mbrojtjes së sigurisë kibernetike.
“Domeni kibernetik po bëhet më i paligjshëm, i rrezikshëm dhe armiqësor,” dëshmoi Smith.
Smith sugjeroi që anëtarët e komitetit mund të “bënin më shumë në mbështetje të mbrojtjes kibernetike” duke financuar programe kritike të sigurisë kibernetike, duke forcuar kundërmasat dhe “duke vendosur dënime të përshtatshme” dhe gjoba të rënda për të parandaluar aktivitetin keqdashës.
“Mbrojtja e sigurisë kibernetike kërkon një mision të gjithë industrisë dhe shoqërisë në shumë vende,” tha Smith. “Secili prej nesh mund dhe duhet të mësojë nga njëri-tjetri dhe të punojë së bashku për të mbrojtur sigurinë kibernetike për kombin tonë dhe botën.”
Harris, i cili u largua nga Microsoft për shkak të mungesës së kulturës së sigurisë dhe tani punon për një kompani rivale të sigurisë kibernetike të quajtur CrowdStrike, tha për ProPublica se më parë klientëve të Microsoft, duke përfshirë qeverinë amerikane, “nuk iu dha kurrë shansi” për t’u mbrojtur kundër dobësive të njohura.
“Vendimet nuk bazohen në atë që është më e mira për klientët e Microsoft-it, por në atë që është më e mira për Microsoft-in,” tha Harris për ProPublica.
Microsoft nuk e kundërshtoi raportin e ProPublica. Në vend të kësaj, kompania dha një deklaratë që pothuajse duket se kundërshton dëshminë e Smith në Kongres sot duke pretenduar se “mbrojtja e klientëve është gjithmonë përparësia jonë më e lartë”.
“Ekipi ynë i përgjigjes së sigurisë i merr seriozisht të gjitha çështjet e sigurisë dhe i jep kujdesin e duhur çdo rasti me një vlerësim të plotë manual, si dhe duke konfirmuar ndër-konfirmimin me partnerët e inxhinierisë dhe sigurisë,” tha zëdhënësi i Microsoft, duke pretenduar se përgjigja e Microsoft kur Harris tregoi një rrezik të madh sigurie. “mori komente të shumta dhe u përafrua me konsensusin e industrisë.”
Zëdhënësi shpjegoi më tej se Microsoft historikisht i ka dhënë përparësi “punës së përgjigjes së sigurisë duke marrë parasysh ndërprerjen e mundshme të klientit, shfrytëzimin dhe zbutjen e disponueshme”.
“Ne vazhdojmë të dëgjojmë komunitetin e kërkimit të sigurisë dhe të zhvillojmë qasjen tonë për të siguruar që po përmbushim pritshmëritë e klientëve dhe po i mbrojmë ata nga kërcënimet e reja,” tha zëdhënësi i Microsoft.
Të enjten, Smith i kërkoi falje Kongresit për dështimet e sigurisë të Microsoft, duke thënë se “gatishmëria për të pranuar mangësitë tona dhe për të adresuar problemet kokë më kokë na frymëzon të mësojmë nga gabimet tona dhe të zbatojmë mësimet që mësojmë në mënyrë që të përmirësohemi vazhdimisht”.
“Ne pranojmë përgjegjësinë për të kaluarën dhe po zbatojmë atë që kemi mësuar për të ndihmuar në ndërtimin e një të ardhmeje më të sigurt,” tha Smith, duke u zotuar se Microsoft së shpejti do të “krijojë mbrojtje më të forta me shumë shtresa për t’iu kundërvënë kombit më të sofistikuar dhe me burime të mira. aktorët shtetërorë”.
Microsoft ka të ngjarë të mbetet nën mikroskop ndërsa ligjvënësit peshojnë nëse ofruesit të shërbimit cloud mund t’i besohet mbrojtja e sigurisë kombëtare.
Sipas Reuters, Përfaqësuesi i SHBA-së Bennie Thompson (D-Miss.) i tha Smith se “Microsoft është një nga partnerët më të rëndësishëm të teknologjisë dhe sigurisë së qeverisë federale, por ne nuk mund të lejojmë që rëndësia e kësaj marrëdhënieje të mundësojë vetëkënaqësinë ose të ndërhyjë në mbikëqyrje”.