Oggi, Brad Smith, presidente di Microsoft, dichiarerà davanti ai legislatori di Capitol Hill che la sua azienda è responsabile di “ognuno dei problemi” evidenziati da un comitato consultivo governativo a seguito dell’indagine su un recente attacco informatico da parte della Cina.
Questo è quanto è emerso dalle dichiarazioni preparate anticipatamente che saranno presentate durante l’udienza.
La fiducia dei legislatori, dei funzionari dell’amministrazione e dei regolatori nella capacità di Microsoft di garantire la sicurezza dei propri prodotti, è in calo dopo una serie di attacchi informatici da parte di Stati nazionali. Negli ultimi dodici mesi, infatti, Microsoft ha affrontato due attacchi significativi che hanno messo in pericolo le comunicazioni delle agenzie federali.
Lo scorso luglio, Microsoft ha rivelato che un gruppo di hacker sostenuti dalla Cina ha violato gli account email di diverse organizzazioni, inclusi uffici federali. Tra le vittime figurano il Segretario al Commercio, Gina Raimondo, e diversi funzionari del Dipartimento di Stato.
All’inizio di quest’anno, invece, l’Agenzia per la Sicurezza Informatica e delle Infrastrutture (CISA) ha affermato che hacker dell’intelligence russa hanno rubato le email di diverse agenzie federali dopo aver violato i sistemi Microsoft.
A seguito di questi incidenti, Microsoft è stata soggetta a pesanti critiche a Washington. Un rapporto del Cyber Safety Review Board (CSRB) pubblicato in aprile ha definito la campagna di spionaggio cinese “prevedibile ed evitabile“. Inoltre, alcuni senatori si sono opposti ai piani del Pentagono di aggiornare la suite di prodotti Microsoft nell’ambito della transizione verso un modello di sicurezza zero-trust.
Nel frattempo, i concorrenti di Microsoft hanno colto la palla al balzo per avviare campagne volte a conquistare i clienti governativi della compagnia.
In risposta alle critiche, Microsoft ha informato i leader della sicurezza federale riguardo a un nuovo insieme di principi di sicurezza interni, denominati Secure Future Initiative. Questo piano prevede di legare la retribuzione dei dirigenti al miglioramento della sicurezza informatica e invita i team a dare priorità agli investimenti in sicurezza rispetto allo sviluppo rapido dei prodotti.
Durante il suo intervento al Comitato per la Sicurezza Interna della Camera, Smith dichiarerà che le raccomandazioni del comitato consultivo sono buoni consigli per tutte le aziende, soprattutto in un contesto di attacchi informatici sempre più sofisticati e ben finanziati.
Inoltre, Smith illustrerà come la nuova Secure Future Initiative contribuirà a risolvere i problemi evidenziati nel rapporto del comitato. “Riconosciamo che possiamo e dobbiamo fare meglio, e ci scusiamo e esprimiamo i nostri più profondi rimpianti a coloro che sono stati colpiti,” affermerà Smith. Microsoft ha inoltre invitato la Cybersecurity and Infrastructure Security Agency (CISA) presso la sua sede centrale per un “briefing tecnico dettagliato” sull’iniziativa.
L’udienza congressuale di oggi sarà particolarmente rilevante, considerando l’elevata dipendenza del governo federale dai prodotti di Microsoft, che fornisce a molte agenzie il sistema operativo, il servizio di posta elettronica, i prodotti per la cybersecurity e il software per ufficio.
La Software & Information Industry Association ha inviato una lettera ai capi delle varie agenzie, esortandoli a diversificare e ad andare oltre Microsoft. Smith dovrà dunque essere trasparente e fornire rassicurazioni adeguate ai legislatori e ai regolatori per riconquistare la loro fiducia a Washington.
