Президент Microsoft Брэд Смит во время слушаний в Конгрессе в четверг столкнулся с жестким допросом по поводу репутации компании в области безопасности и присутствия в Китае.
Комитет Палаты представителей по внутренней безопасности созвал слушания по рассмотрению произошедшего летом прошлого года взлома Microsoft Exchange Online, приписываемого связанной с правительством Китая группе кибершпионажа Storm-0558.
Крайне критический по настроению мартовский отчет Совета по кибербезопасности Министерства внутренней безопасности обвинил Microsoft в «каскаде сбоев в системе безопасности», который позволил злоумышленникам украсть ключ учетной записи Microsoft Services (MSA), подделать токены аутентификации и получить доступ к целевым учетным записям Microsoft Exchange. Этот скомпрометированный доступ использовался для взлома учетных записей электронной почты Microsoft Exchange чиновников Госдепартамента, а также других (в основном правительственных) целей в США и Великобритании.
В своем вступительном слове председатель комитета член Палаты представителей Марк Грин охарактеризовал атаку как простую и предотвратимую.
Атака не опиралась на «передовые методы или передовые технологии». Вместо этого Storm-0558 использовал хорошо известные уязвимости, которых можно было избежать с помощью общих мер кибергигиены», — сказал Грин.
«Правительство США никогда не ожидает, что частная компания будет работать в одиночку, защищая себя от атак со стороны национальных государств… но мы ожидаем, что государственные поставщики будут внедрять базовые меры кибербезопасности», — заявил Грин, добавив, что нападение 2023 года — не первый случай. Microsoft стала жертвой кибератаки, которую можно было предотвратить».
В ответ Смит из Microsoft заявил, что компания «берет на себя ответственность за каждую проблему, упомянутую в отчете CSRB».
В отчете CSRB содержится 25 рекомендаций, 16 из которых относятся к Microsoft. «Мы принимаем меры по всем 16 рекомендациям», — заявил Смит.
Оглавление
Инициатива «Безопасное будущее»
Уроки, извлеченные из атаки на Microsoft Exchange, были использованы Редмондом для разработки инициативы «Безопасное будущее » — стратегической инициативы «Безопасность по умолчанию», которая была расширена в январе после атак, в которых обвиняют Россию, и получила дальнейшее развитие после публикации отчета CSRB.
В отчете CSRB содержится призыв к пересмотру культуры безопасности Microsoft, которая была признана неадекватной, учитывая ее доминирующую роль в качестве поставщика технологий. В докладе делается вывод, что «корпоративная культура Microsoft деприоритезировала как инвестиций в корпоративную безопасность, так и строгого управления рисками».
Помимо запуска «крупнейшего инженерного проекта по кибербезопасности в истории цифровых технологий», Microsoft стремится обновить свои методы работы и корпоративную культуру в ответ на критику.
Смит сообщил на слушаниях, что совет директоров Microsoft согласился с тем, что треть потенциальных бонусов за производительность для 16 топ-менеджеров компании каждый год будет оцениваться по их успехам в достижении целей и задач, ориентированных на кибербезопасность. По его словам, в будущем основные сотрудники Microsoft будут оцениваться по критериям кибербезопасности в рамках проверок производительности, проводимых два раза в год.
Китайские стены
Представитель Карлос Хименес, республиканец от Флориды, поставил под сомнение деятельность Microsoft в Китае, на который, по свидетельству Смита, приходилось менее 1,5% продаж Microsoft. Закон Китая о национальной разведке 2017 года обязывает все организации, включая иностранные компании, сотрудничать с китайскими спецслужбами в вопросах национальной безопасности.
Смит, адвокат и главный юрисконсульт Microsoft на протяжении более десяти лет, заявил, что компания не соблюдает этот закон. «Есть страны, которые принимают определенные законы, но не применяют их», — сказал Смит, добавив, что то же самое произошло с законом о национальной безопасности Китая.
Ранее он сказал, что операции Microsoft в Китае поддерживают международных клиентов, работающих в стране, и что Microsoft регулярно отклоняет запросы правительства Китая о передаче исходного кода или других конфиденциальных данных.
Президент и вице-председатель Microsoft добавил, что Microsoft планирует переместить от 700 до 800 своих работников в Китай, поскольку она сокращает свое инженерное присутствие внутри страны.
Надежные вычисления
В ходе трехчасового слушания законодатели критиковали Смита за прошлые неудачи Microsoft в установлении приоритета безопасности над новыми функциями продукта, несмотря на предыдущие обещания — в первую очередь, меморандум Билла Гейтса «Надежные вычисления» от 2002 года, в котором обещалось сделать безопасность главным приоритетом.
Конгрессмен Бенни Томпсон процитировал расследование ProPublica, которое показало, что Microsoft проигнорировала предупреждения о критической уязвимости, которая позже была использована в ходе атаки на цепочку поставок SolarWinds в 2020 году.
«Одним из изменений, которые мы только что внесли в рамках инициативы «Безопасное будущее», является новая структура управления», которая позволит сотрудникам лучше предоставлять обратную связь и сообщать о проблемах, — сказал Смит. «Фундаментальное культурное изменение, которое мы стремимся осуществить, — это интеграция безопасности в каждый процесс», — заключил президент Microsoft.
Джон Лейден
Вопросы трудные, а лицо довольное на фотографии, как будто ему награду вручают.