Microsoft: CEO Satya Nadella assicura che la sicurezza è la priorità assoluta

Satya Nadella annuncia un imponente cambio di rotta su Microsoft

Satya Nadella ha abituato il pubblico a enfatizzare la crescita del fatturato nel settore della tecnologia della sicurezza nelle chiamate sugli utili di Microsoft.
Ma questa volta è stato diverso.

Il CEO di Microsoft ha adottato un approccio diverso, parlando invece dell’Iniziativa per un Futuro Sicuro lanciata dall’azienda lo scorso autunno, e quindi facendo una promessa.

“Stiamo raddoppiando su questo lavoro molto importante, mettendo la sicurezza al di sopra di tutto il resto, prima di tutte le altre funzionalità e investimenti,” ha detto Nadella giovedì pomeriggio, dopo il rapporto sugli utili del terzo trimestre fiscale dell’azienda.

Pressione crescente sulla sicurezza di Microsoft

È stata una breve deviazione dal tema principale del giorno.
Nadella e il CFO Amy Hood hanno trascorso gran parte della chiamata a rispondere alle domande sull’aumento della domanda di AI che sta alimentando la crescita dell’azienda e sugli investimenti di capitale necessari per mantenerla.

Ma è stato un cambiamento significativo di tono sulla sicurezza, e un segno della crescente pressione sull’azienda in seguito a una serie di hack di alto profilo e a un crescente coro di preoccupazioni da parte di agenzie governative e grandi clienti.

La promessa di Nadella di mettere la sicurezza “al di sopra di tutto il resto” segue un rapporto della Cyber Safety Review Board (CSRB) che ha descritto la cultura della sicurezza di Microsoft come “inadeguata” e ha esortato l’azienda a fare della sicurezza la sua massima priorità.

Il gruppo, creato dal Segretario per la Sicurezza Interna degli Stati Uniti nel 2021 per esaminare incidenti di sicurezza informatica di rilievo, ha affermato che l’approccio di Microsoft “richiede una ristrutturazione, in particolare alla luce della centralità dell’azienda nell’ecosistema tecnologico e del livello di fiducia che i clienti ripongono nell’azienda per proteggere i loro dati e le loro operazioni.”

La risposta di Microsoft ai recenti incidenti di sicurezza

Il rapporto del CSRB ha fatto riferimento direttamente a Nadella, affermando che la ristrutturazione della sicurezza aziendale dovrebbe “essere supervisionata direttamente e attentamente dal CEO di Microsoft e dal suo Consiglio di Amministrazione, e che tutti i dirigenti senior dovrebbero essere ritenuti responsabili per attuare tutti i cambiamenti necessari con la massima urgenza.”

Il rapporto si è concentrato su un incidente di grande rilievo avvenuto tra maggio e giugno del 2023, quando il gruppo di hacker cinese noto come Storm-0558 avrebbe compromesso le caselle di posta di Microsoft Exchange Online di oltre 500 persone e 22 organizzazioni in tutto il mondo, inclusi alti funzionari governativi degli Stati Uniti.

Oltre a altre violazioni, Microsoft ha rivelato a gennaio di quest’anno che un attore sponsorizzato dallo stato russo noto come Nobelium ha acceduto ai suoi sistemi interni e agli account email dei dirigenti.
Più di recente, l’azienda ha dichiarato che gli stessi aggressori sono riusciti ad accedere ad alcuni dei suoi repository di codice sorgente e sistemi interni.

Le squadre di ingegneria e sicurezza di Microsoft “si stanno dando da fare” per rispondere agli attacchi del gruppo e rafforzare le sue difese, ha riportato Tom Warren di The Verge giovedì, citando fonti anonime.

La nuova strategia di Microsoft per affrontare la sicurezza

L’azienda si è trovata in questa situazione già più di due decenni fa.
Microsoft ha interrotto temporaneamente lo sviluppo interno del software e ha reso la sicurezza la sua massima priorità nell’ambito dell’iniziativa “Trustworthy Computing” istituita da Bill Gates nel 2002.

“In un mondo perfetto, Microsoft prenderebbe di nuovo sul serio la sicurezza,” ha scritto Mary Jo Foley di Directions on Microsoft questa settimana in un articolo sull’argomento.
“Sarebbe trasparente riguardo alle violazioni.
I suoi dirigenti smetterebbero di vantarsi dell’aumento dei ricavi dei servizi di sicurezza in un momento in cui Microsoft non riesce a proteggere neanche i propri dipendenti, figuriamoci i clienti, da incidenti che si verificano con sempre maggiore frequenza.
E Microsoft includerebbe capacità di sicurezza indispensabili come parte delle sottoscrizioni esistenti anziché venderle come extra.”

La nuova strategia di Nadella sembra essere una risposta parziale a queste richieste di cambiamento più ampie.
Ecco il resto di ciò che ha detto sull’argomento durante la chiamata sugli utili, facendo riferimento alla Secure Future Initiative.

“Siamo concentrati nel progredire continuamente attraverso i sei pilastri di questa iniziativa mentre proteggiamo gli inquilini e isoliamo i sistemi di produzione, proteggiamo identità e segreti, proteggiamo reti, proteggiamo sistemi di ingegneria, monitoriamo e rileviamo minacce, e acceleriamo risposta e rimedio.

“Rimaniamo impegnati a condividere i nostri apprendimenti, strumenti e innovazioni con i clienti.
Un grande esempio è Copilot for Security, che abbiamo reso disponibile a inizio di questo mese, unendo LLM con competenze specifiche di dominio informate dalla nostra intelligence sulle minacce e dai 78 trilioni di segnali di sicurezza giornalieri, per fornire ai team di sicurezza approfondimenti utili.”

Nessuno degli analisti di Wall Street partecipanti ha posto domande sulla sicurezza durante la chiamata.