Brad Smith, Vice Chair i President w Microsoft, przyznał przed amerykańską Komisją Bezpieczeństwa Wewnętrznego, że firma nie zawsze była wystarczająco skuteczna w zabezpieczaniu swoich produktów. W zeszłym roku, chińscy hakerzy zdołali włamać się na serwery pocztowe pracowników rządu USA za pośrednictwem Microsoft Exchange Online, co wywołało ostry kryzys bezpieczeństwa.
Mea Culpa przed Kongresem
W odpowiedzi na poważne oskarżenia, Smith wystąpił przed Kongresem, aby wyjaśnić, jak doszło do włamania i co Microsoft zamierza zrobić, aby zapobiec podobnym incydentom w przyszłości. W swoim zeznaniu, Smith jednoznacznie przyznał się do winy firmy. „Microsoft bierze odpowiedzialność za każdy z problemów związanych z włamaniem do Exchange” – stwierdził.
Podczas przesłuchania, Smith przyznał, że Microsoft nie sprostał oczekiwaniom w zakresie ochrony danych użytkowników. Była to nie tylko odpowiedź na konkretne pytania Komisji, ale także szersze przyznanie się do błędów, które od lat podnoszą eksperci ds. bezpieczeństwa.
Krytyka za podejście do bezpieczeństwa
Incydent z Exchange to tylko wierzchołek góry lodowej. Przez lata, polityka bezpieczeństwa Microsoftu była często krytykowana przez specjalistów. Opublikowany niedawno przez ProPublica raport obnażył wątpliwe praktyki firmy w kontekście innego głośnego ataku hakerskiego – włamania do systemów SolarWinds w 2020 roku.
Były pracownik Microsoftu, Andrew Harris, który opuścił firmę w 2020 roku, opowiedział o niepokojącej luce w zabezpieczeniach w Azure AD FS, produkcie Microsoftu do logowania się do chmury Azure. Harris ostrzegał kierownictwo firmy już w 2016 roku, że luka ta może umożliwić intruzom dostęp do środowisk chmurowych klientów. Jednak obawy, że ujawnienie tej wady mogłoby zaszkodzić reputacji Microsoftu w czasie, gdy firma koncentrowała się na rozwoju usług chmurowych, spowodowały, że problem ten został zignorowany.
Zmiana w podejściu
Pod wpływem CEO Satyi Nadelli, Microsoft przechodził wtedy transformację w kierunku strategii „cloud-first” (najpierw chmura). Firma była wówczas zaangażowana w walkę o lukratywne kontrakty z rządem USA, co przedłożono nad bezpieczeństwo danych w produktach Microsoft. Harris, sfrustrowany brakiem działań w sprawie bezpieczeństwa, odszedł z Microsoftu w sierpniu 2020 roku.
Nowe podejście do bezpieczeństwa
Obecnie, Smith wydaje się bardziej skromny w swoich wypowiedziach. Przyznaje, że firma popełniła błędy, ale jednocześnie obiecuje, że Microsoft uczy się na tych doświadczeniach i zamierza wprowadzić politykę „security-first” (najpierw bezpieczeństwo).
Wyciąganie wniosków z przeszłości
Niemniej jednak, ostatnie wydarzenia, takie jak zamieszanie wokół Windows Recall, rodzą pytania, czy Microsoft rzeczywiście nauczył się swojej lekcji. Firma stoi przed wyzwaniem zbalansowania między dynamicznym rozwojem produktów a utrzymaniem najwyższych standardów bezpieczeństwa.
