Il Cyber Safety Review Board ritiene che la cultura della sicurezza di Microsoft sia "inadeguata" e richiede responsabilità

Microsoft è oggetto di un attento esame e di critiche puntuali in un rapporto di 34 pagine pubblicato martedì dal Cyber Safety Review Board (CSRB), un gruppo creato dal Segretario americano per la sicurezza interna nel 2021 per esaminare i principali incidenti di sicurezza informatica.
Il rapporto si concentra su un incidente di alto profilo avvenuto tra maggio e giugno 2023, quando si ritiene che il gruppo di hacker cinese noto come Storm-0558 abbia compromesso le caselle di posta di Microsoft Exchange Online di oltre 500 persone e 22 organizzazioni in tutto il mondo, inclusi alti funzionari del governo statunitense.
.
Il rapporto CSRB rimprovera Microsoft per la sua cultura della sicurezza, descrivendola come “inadeguata” e affermando che “richiede una revisione, soprattutto alla luce della centralità dell’azienda nell’ecosistema tecnologico e del livello di fiducia che i clienti ripongono nell’azienda per proteggere i propri dati e operazioni”.
Il rapporto critica anche le comunicazioni pubbliche di Microsoft, sottolineando che la società ha aspettato fino al mese scorso per correggere un post sul blog di settembre 2023 sulla causa principale della violazione dopo ripetute domande da parte del consiglio.
Al termine della revisione del CSRB, si legge nel rapporto, Microsoft non sapeva ancora esattamente come Storm-0558 avesse ottenuto la chiave di firma critica del Microsoft Services Account (MSA) del 2016 utilizzata nell'intrusione del 2023.
A un certo punto, il rapporto afferma che i leader di Microsoft devono prendere in considerazione la possibilità di riorientare lo sviluppo dei propri prodotti, dando priorità alle funzionalità di sicurezza rispetto alle nuove funzionalità del prodotto, rilanciando di fatto lo spirito dell’iniziativa “Trustworthy Computing” che il co-fondatore di Microsoft Bill Gates ha notoriamente istituito nel 2002.
Il CSRB Il rapporto recita, in parte: “Il Consiglio conclude che Microsoft si è allontanata da questo ethos e ha bisogno di ripristinarlo immediatamente come massima priorità aziendale.
Il Consiglio è a conoscenza dei recenti cambiamenti apportati da Microsoft alla leadership in materia di sicurezza e della "Secure Future Initiative" annunciata nel novembre 2023.
Il Consiglio ritiene che questi e altri sforzi relativi alla sicurezza dovrebbero essere supervisionati direttamente e da vicino dal CEO di Microsoft e dal suo Consiglio di Amministrazione.
Direttori e che tutti i dirigenti senior dovrebbero essere ritenuti responsabili dell’attuazione di tutti i cambiamenti necessari con la massima urgenza”.
Alla richiesta di un commento sul rapporto, un portavoce di Microsoft ha rilasciato questa dichiarazione: “Apprezziamo il lavoro del CSRB per indagare sull’impatto degli autori di minacce a livello nazionale dotati di risorse adeguate che operano continuamente e senza deterrenza significativa.
Come annunciato nella nostra Secure Future Initiative, gli eventi recenti hanno dimostrato la necessità di adottare una nuova cultura della sicurezza ingegneristica nelle nostre reti.
Sebbene nessuna organizzazione sia immune agli attacchi informatici da parte di avversari dotati di risorse adeguate, abbiamo mobilitato i nostri team di ingegneri per identificare e mitigare le infrastrutture legacy, migliorare i processi e applicare parametri di sicurezza.
I nostri ingegneri della sicurezza continuano a rafforzare tutti i nostri sistemi contro gli attacchi e a implementare sensori e registri ancora più robusti per aiutarci a rilevare e respingere gli eserciti informatici dei nostri avversari”.
La dichiarazione aggiunge che Microsoft “esaminerà anche il rapporto finale per ulteriori raccomandazioni”.
Leggi il rapporto completo qui.