Microsoft ammette le falle nella cultura aziendale per la sicurezza cyber.
Ieri si è svolta al Congresso degli Stati Uniti l’audizione del presidente di Microsoft, Brad Smith: il gigante della tecnologia americano è accusato di una “cascata di errori evitabili” che ha consentito a un gruppo di hacker cinese di violare le e-mail di alti funzionari statunitensi.
Come segnala Axios, i legislatori, i funzionari dell’amministrazione e gli enti regolatori hanno iniziato a perdere fiducia nella capacità di Microsoft di proteggere i propri prodotti dopo una serie di attacchi informatici. Nel maggio 2023, infatti, alcuni hacker sostenuti dalla Cina sono entrati nelle e-mail dei clienti, tra cui dipendenti degli uffici federali. Poi, nell’estate del 2023, il gruppo legato alla Russia Anonymous Sudan ha rubato i dati di 30 milioni di clienti. Senza dimenticare che sempre Microsoft era anche al centro di uno dei più grandi attacchi informatici nella storia degli Usa: SolarWinds, condotto tra il 2019 e il 2020.
Rispondendo alle domande dei membri della commissione della Camera per la sicurezza nazionale a Washington, il presidente Smith ha assicurato che la cybersecurity si sta intrecciando più profondamente nella cultura dell’azienda.
Un esempio: d’ora in avanti il ceo di Microsoft Satya Nadella sarà personalmente responsabile delle falle di sicurezza. Appena ieri il consiglio di amministrazione di Microsoft ha approvato un cambiamento che collegherà i risultati ottenuti in materia di sicurezza informatica con i bonus annuali per i dirigenti senior e lo renderà parte della revisione annuale di ogni dipendente.
Tutti i dettagli.
ASSUNZIONE DI RESPONSABILITÀ DA PARTE DI MICROSOFT
“Microsoft si assume la responsabilità per ognuno dei problemi citati” in un severo rapporto del governo americano sulla violazione “senza equivoci o esitazioni”, ha detto Smith al comitato.
Il Cyber Safety Review Board (Csrb), guidato dal Dipartimento per la sicurezza interna degli Stati Uniti, ha condotto un’indagine di sette mesi sull’incidente dello scorso anno che ha coinvolto il collettivo di hacker affiliati alla Cina Storm-0558. “Microsoft ha una presenza enorme sia nel governo che nelle reti di infrastrutture critiche”, ha detto a Smith deputato Bennie Thompson all’apertura dell’udienza, “È nostro comune interesse che le questioni di sicurezza sollevate dal rapporto siano affrontate rapidamente”.
L’operazione, scoperta per la prima volta dal Dipartimento di Stato americano nel giugno 2023, includeva attacchi alle caselle di posta ufficiali e personali del segretario al Commercio Gina Raimondo e dell’ambasciatore americano in Cina Nicholas Burns. Il rapporto critica una cultura aziendale di Microsoft “in contrasto con il livello di fiducia che i clienti ripongono nell’azienda” e identifica una serie di decisioni operative e strategiche di Microsoft che hanno aperto la porta alla violazione, inclusa la mancata identificazione del laptop compromesso di un nuovo dipendente a seguito di un’acquisizione aziendale nel 2021.
STANDARD DI SICUREZZA INFERIORI A QUELLI DEI COMPETITOR
Il rapporto ha inoltre scoperto che Microsoft non era all’altezza degli standard di sicurezza osservati nelle società cloud concorrenti, tra cui Google, Amazon e Oracle. “Il Consiglio ritiene che questa intrusione fosse prevenibile e non avrebbe mai dovuto verificarsi”, si legge nel rapporto che individua “la cascata di errori evitabili di Microsoft”. Dopodiché, raccomanda a Microsoft di sviluppare e pubblicare pubblicamente un piano con scadenze per attuare riforme di sicurezza ad ampio raggio su tutti i suoi prodotti e pratiche.
LA PRESENZA DEL COLOSSO TECH AMERICANO IN CINA
I membri della Commissione hanno anche sondato Smith per avere dettagli sulle attività di Microsoft in Cina, notando che aveva investito molto nell’istituzione di incentivi per la ricerca nel paese, segnala Reuters. “La presenza di Microsoft in Cina crea un mix di sfide e rischi complessi”, ha affermato il deputato Mark Green del Mississippi, che ha presieduto il panel.
Microsoft genera circa l’1,5% dei suoi ricavi dalla Cina e sta lavorando per ridurre la sua presenza ingegneristica nel paese, ha assicurato Smith.
LE SFIDE
“La vera sfida è come ottenere un cambiamento culturale efficace e duraturo”, ha affermato Smith, sottolineando che Microsoft ha quasi 226.000 dipendenti e 34.000 ingegneri che lavorano a tempo pieno per rispondere alle carenze di sicurezza nel “più grande progetto ingegneristico incentrato sulla sicurezza informatica nella storia della tecnologia digitale”.
Microsoft rileva ogni giorno circa 300 milioni di attacchi informatici contro i propri clienti, la maggior parte dei quali provenienti da Cina, Iran, Corea, Russia o operazioni di ransomware, ha detto Smith al comitato: “Abbiamo a che fare con quattro nemici formidabili: Cina, Russia, Corea del Nord e Iran, e stanno migliorando. Dovremmo aspettarci che lavorino insieme; stanno conducendo attacchi a un ritmo straordinario.” Sebbene sia inevitabile che gli avversari utilizzino l’intelligenza artificiale per attacchi sempre più sofisticati, la tecnologia è già utilizzata per rafforzare le difese informatiche, ha aggiunto.
Dopodiché Smith ha spiegato in che modo la nuova Secure Future Initiative lanciata lo scorso novembre aiuterà ad affrontare ogni problema nel rapporto del comitato consultivo.
“Riconosciamo che possiamo e dobbiamo fare meglio, e ci scusiamo ed esprimiamo il nostro più profondo rammarico a coloro che sono stati colpiti”, dirà Smith. Il presidente di Microsoft ha affermato di aver reso la sicurezza la massima priorità dell’azienda “sopra ogni altra cosa, sopra tutte le altre funzionalità”.