Felkérdezik a Microsoft elnökét a biztonsági incidensek miatt
A képviselőház bizottsága meghallgatást tűzött ki a Microsoftot ért közelmúltbeli kibertámadásokkal kapcsolatban, ahol Brad Smith elnöknek kell vallania a redmondiak biztonsági gyakorlatairól és mulasztásairól.
Az amerikai képviselőház belbiztonsági bizottsága beidézte Brad Smith-t, a Microsoft elnökét és jogi igazgatóját, hogy feltehesse kérdéseit a redmondi szoftvercég közelmúltbeli biztonsági incidenseivel kapcsolatban, melyek során amerikai kormányzati szereplők érzékeny levelei kerülhettek illetéktelenek kezébe. A szoftveróriás kiberbiztonsági hiányosságainak és belbiztonságra gyakorolt hatásainak értékelését célzó meghallgatás dátumát május 22-re tűzték ki.
A redmondiak tavaly novemberben jelentették be a Secure Future Initiative (SFI) kezdeményezést, miután kínai állami kiberbűnözők amerikai kormányzati szereplők e-mail fiókjaihoz szereztek hozzáférést a Microsoft felhőszolgáltatásának hibáját kihasználva. Néhány nappal a kezdeményezés bejelentése után pedig orosz hackereknek sikerült áttörniük a védelmet, és hozzáférni a Microsoft felsővezetői csapatának e-mail fiókjaihoz. A támadást közel két hónappal később, januárban sikerült felfedni, ugyanez a csoport még forráskódot is lopott.
Az Egyesült Államok Kiberbiztonsági Felülvizsgáló Testülete (Cyber Safety Review Board, CSRB) márciusban közzétett jelentésében úgy találta a jogsértések után, hogy a Microsoft biztonsági kultúrája inadekvát és finomításra szorul, a cég egy sor új előírással és alapelvvel állt elő. A CSRB szerint a vállalat megakadályozhatta volna a kormányzati fiókokat érintő tavalyi támadást, és a nem kellően erős intézkedések miatt a Microsoft felelőssége is a támadás sikeressége, amihez „biztonsági hibák sorozata” vezetett.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A belbiztonsági bizottság szerint a támadások nem csak aláássák a bizalmat az operációs rendszert, felhőplatformot és produktivitási eszközöket fejlesztő cég védelmi intézkedéseiben, de egyben kérdéseket vet fel az elszámoltathatóság és a felügyelet hiányábal kapcsolatban.
Charlie Bell, a Microsoft biztonságért felelős ügyvezető alelnöke blogbejegyzésében május elején részletezte, hogy a CSRB ajánlásai alapján kibővítik a kezdeményezést, az intézkedések érintik a felsővezetői csapat juttatási csomagjait is. A Microsoft mérnöki vezetői heti és havi operatív értekezleteket vezette be, egyes termékcsoportok információbiztonsági igazgató-helyetteseket (CISO-helyetteseket) kapnak. A fenyegetések felderítésével foglalkozó csapatot áthelyezték, hogy közvetlenül a CISO-nak tegyen jelentést, így a mérnöki csapatok biztonságáért felelősségre vonhatók.
A cég három biztonsági alapelvet alkalmaz a jövőben, melyek már a termékek és szolgáltatások tervezési szakaszában előtérbe helyezik a biztonságot, emellett fókuszt kap az alapértelmezés szerint engedélyezett védelem, illetve a hatékonyság növelése a jelenlegi és jövőbeli fenyegetések monitorozásakor. A hosszútávú célok a Microsoft által megfogalmazott hat biztonsági pilléren alapulnak, a munkákat hullámokban végzik a mérnöki csapatok az Azure Cloud, a Windows, a Microsoft 365 és a Security csapatokon belül, hetente pedig további termékcsapatok integrálódnak a folyamatba.