Smith di Microsoft Si Assume la Responsabilità per i Fallimenti di Sicurezza dell’Azienda in Testimonianza al Congresso

Il Presidente di Microsoft, Brad Smith, ha anticipato il suo approccio tramite una testimonianza scritta preparata per la sua apparizione davanti al Comitato per la Sicurezza Nazionale della Camera degli Stati Uniti, prevista per giovedì.
La sessione avrà come tema principale i fallimenti di sicurezza della compagnia.

Accettazione della Responsabilità

“Prima di dire qualsiasi altra cosa,” ha scritto Smith, “penso sia particolarmente importante per me affermare che Microsoft accetta la responsabilità per ciascuna delle problematiche citate nel rapporto del CSRB.” Il riferimento è ad un rapporto di aprile del Cyber Safety Review Board (CSRB) degli Stati Uniti, che ha criticato Microsoft per la sua cultura di sicurezza “inadeguata”.

Impegni e Iniziative di Microsoft

Smith ha spiegato che l’azienda è decisa a cambiare rotta.
Tra le misure citate, ha menzionato l’introduzione dell’iniziativa Secure Future lo scorso autunno, i recenti impegni del CEO Satya Nadella a mettere la sicurezza al primo posto, e la decisione di legare parte della retribuzione degli esecutivi senior alla sicurezza.

Ha sottolineato l’impegno di Microsoft a implementare ciascuna delle raccomandazioni del CSRB.
Come esempio, ha citato la recente modifica della funzione “Recall” sui PC Copilot+ per affrontare problemi di sicurezza.

Critiche e Domande Persistenti

Tuttavia, se Microsoft sta veramente dando priorità alla sicurezza rispetto alle nuove funzionalità, perché ha proceduto con la funzione Recall inizialmente?

Microsoft ha promesso ripetutamente di mettere la sicurezza al primo posto negli ultimi 25 anni—quindi cosa è cambiato questa volta?

Inoltre, come può Microsoft giustificare il guadagno di 20 miliardi di dollari all’anno in prodotti di sicurezza, data la presenza di questi problemi nei suoi prodotti software e servizi core?

Queste sono le domande che Smith dovrà affrontare durante l’audizione, intitolata “Una Cascade di Fallimenti di Sicurezza: Valutare le Carenze nella Cybersecurity di Microsoft e le Implicazioni per la Sicurezza Nazionale”.

Incidenti di Alta Visibilità

Come il rapporto del CSRB, l’audizione si concentrerà in parte su un incidente di alta visibilità verificatosi nel maggio e giugno 2023, quando il gruppo di hacker cinesi noto come Storm-0558 avrebbe compromesso le mailbox di Microsoft Exchange Online di oltre 500 persone e 22 organizzazioni in tutto il mondo, comprese alte cariche del governo statunitense.

Accettando la responsabilità e riconoscendo le carenze di Microsoft, Smith ha contestualizzato la questione in un contesto geopolitico più ampio, citando il potenziale di Cina, Russia, Iran e Corea del Nord di agire non solo autonomamente, ma di collaborare in futuro con effetti potenzialmente devastanti.

La Lotta Contro il Cyberwarfare

“Non facciamo errori, siamo tutti coinvolti in questo insieme.
Il rapporto del CSRB è stato innescato da un attacco cinese riuscito contro Microsoft, e comprendiamo ogni giorno che abbiamo di gran lunga la prima e maggiore responsabilità di ascoltare le sue parole.
Siamo impegnati a farlo e a giocare un ruolo di leadership indispensabile per difendere non solo i nostri clienti, ma questo paese e i suoi alleati.
Ma nessuna singola azienda può proteggere un paese e altre nazioni da ciò che sta emergendo come una guerra cibernetica condotta da quattro governi aggressivi.”

Impatti sul Mercato del Software

Sia che questa maggiore attenzione porti a un significativo miglioramento nella sicurezza dei prodotti Microsoft, i concorrenti dell’azienda sperano che almeno aumenti la consapevolezza del problema, spingendo i funzionari governativi e i decisori aziendali a rivedere le loro scelte in termini di acquisti di software e servizi cloud.

“Microsoft rappresenta un rischio particolarmente acuto per la sicurezza nazionale, dato che detiene una quota di mercato dominante del 85% nel mercato del software di produttività del governo statunitense, che rende il governo dipendente dai prodotti Microsoft, tra cui le email di Outlook, Word, Excel, Teams e la piattaforma cloud Azure,” ha scritto NetChoice, un’associazione commerciale i cui membri includono Google e Amazon, in una lettera propria al Comitato per la Sicurezza Nazionale della Camera.

L’udienza inizia alle 10:15 a.m.
Pacific.
Può essere visualizzata qui.

Restate sintonizzati per aggiornamenti e leggete la testimonianza completa di Smith qui.