Президент Microsoft Брэд Смит во время слушаний в Конгрессе в четверг столкнулся с жестким допросом по поводу репутации компании в области безопасности и присутствия в Китае.

Комитет Палаты представителей по внутренней безопасности созвал слушания по рассмотрению произошедшего летом прошлого года взлома Microsoft Exchange Online, приписываемого связанной с правительством Китая группе кибершпионажа Storm-0558.

Крайне критический по настроению мартовский отчет Совета по кибербезопасности Министерства внутренней безопасности обвинил Microsoft в «каскаде сбоев в системе безопасности», который позволил злоумышленникам украсть ключ учетной записи Microsoft Services (MSA), подделать токены аутентификации и получить доступ к целевым учетным записям Microsoft Exchange. Этот скомпрометированный доступ использовался для взлома учетных записей электронной почты Microsoft Exchange чиновников Госдепартамента, а также других (в основном правительственных) целей в США и Великобритании.

В своем вступительном слове председатель комитета член Палаты представителей Марк Грин охарактеризовал атаку как простую и предотвратимую.

Атака не опиралась на «передовые методы или передовые технологии». Вместо этого Storm-0558 использовал хорошо известные уязвимости, которых можно было избежать с помощью общих мер кибергигиены», — сказал Грин.

«Правительство США никогда не ожидает, что частная компания будет работать в одиночку, защищая себя от атак со стороны национальных государств… но мы ожидаем, что государственные поставщики будут внедрять базовые меры кибербезопасности», — заявил Грин, добавив, что нападение 2023 года — не первый случай. Microsoft стала жертвой кибератаки, которую можно было предотвратить».

В ответ Смит из Microsoft заявил, что компания «берет на себя ответственность за каждую проблему, упомянутую в отчете CSRB».

В отчете CSRB содержится 25 рекомендаций, 16 из которых относятся к Microsoft. «Мы принимаем меры по всем 16 рекомендациям», — заявил Смит.

Инициатива «Безопасное будущее»

Уроки, извлеченные из атаки на Microsoft Exchange, были использованы Редмондом для разработки инициативы «Безопасное будущее » — стратегической инициативы «Безопасность по умолчанию», которая была расширена в январе после атак, в которых обвиняют Россию, и получила дальнейшее развитие после публикации отчета CSRB.

В отчете CSRB содержится призыв к пересмотру культуры безопасности Microsoft, которая была признана неадекватной, учитывая ее доминирующую роль в качестве поставщика технологий. В докладе делается вывод, что «корпоративная культура Microsoft деприоритезировала как инвестиций в корпоративную безопасность, так и строгого управления рисками».

Помимо запуска «крупнейшего инженерного проекта по кибербезопасности в истории цифровых технологий», Microsoft стремится обновить свои методы работы и корпоративную культуру в ответ на критику.

Смит сообщил на слушаниях, что совет директоров Microsoft согласился с тем, что треть потенциальных бонусов за производительность для 16 топ-менеджеров компании каждый год будет оцениваться по их успехам в достижении целей и задач, ориентированных на кибербезопасность. По его словам, в будущем основные сотрудники Microsoft будут оцениваться по критериям кибербезопасности в рамках проверок производительности, проводимых два раза в год.

Китайские стены

Представитель Карлос Хименес, республиканец от Флориды, поставил под сомнение деятельность Microsoft в Китае, на который, по свидетельству Смита, приходилось менее 1,5% продаж Microsoft. Закон Китая о национальной разведке 2017 года обязывает все организации, включая иностранные компании, сотрудничать с китайскими спецслужбами в вопросах национальной безопасности.

Смит, адвокат и главный юрисконсульт Microsoft на протяжении более десяти лет, заявил, что компания не соблюдает этот закон. «Есть страны, которые принимают определенные законы, но не применяют их», — сказал Смит, добавив, что то же самое произошло с законом о национальной безопасности Китая.

Ранее он сказал, что операции Microsoft в Китае поддерживают международных клиентов, работающих в стране, и что Microsoft регулярно отклоняет запросы правительства Китая о передаче исходного кода или других конфиденциальных данных.

Президент и вице-председатель Microsoft добавил, что Microsoft планирует переместить от 700 до 800 своих работников в Китай, поскольку она сокращает свое инженерное присутствие внутри страны.

Надежные вычисления

В ходе трехчасового слушания законодатели критиковали Смита за прошлые неудачи Microsoft в установлении приоритета безопасности над новыми функциями продукта, несмотря на предыдущие обещания — в первую очередь, меморандум Билла Гейтса «Надежные вычисления» от 2002 года, в котором обещалось сделать безопасность главным приоритетом.

Конгрессмен Бенни Томпсон процитировал расследование ProPublica, которое показало, что Microsoft проигнорировала предупреждения о критической уязвимости, которая позже была использована в ходе атаки на цепочку поставок SolarWinds в 2020 году.

«Одним из изменений, которые мы только что внесли в рамках инициативы «Безопасное будущее», является новая структура управления», которая позволит сотрудникам лучше предоставлять обратную связь и сообщать о проблемах, — сказал Смит. «Фундаментальное культурное изменение, которое мы стремимся осуществить, — это интеграция безопасности в каждый процесс», — заключил президент Microsoft.

Джон Лейден

Источник: https://www.csoonline.com/article/2147906/microsoft-president-faces-tough-questions-from-congress-on-china-security.html

Ваша реакция?
+1
0
+1
0
+1
2
+1
0
+1
0
+1
0
+1
0
4.3 3 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

2 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Прохожий
Прохожий
4 месяцев назад

Вопросы трудные, а лицо довольное на фотографии, как будто ему награду вручают.

Тестировщик
4 месяцев назад

Припомнили конгрессмены Брэду все недавние критичные уязвимости и связанные с ними инциденты. А он им поклялся, что для Майкрософт безопасность — приоритет номер один, держа руку на библии. На первый раз отпустили.

Последний раз редактировалось 4 месяцев назад Тестировщик ем
2
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x