Microsoft, uno dei colossi tecnologici più importanti al mondo, ha recentemente ammesso una serie di fallimenti nella sicurezza che hanno contribuito a diversi attacchi informatici ad alto profilo, tra cui il famigerato attacco SolarWinds. Il presidente di Microsoft, Brad Smith, ha riconosciuto la responsabilità dell’azienda durante un’audizione al Congresso, affermando che Microsoft “accetta la responsabilità per ogni questione sollevata nel rapporto del Cyber Safety Review Board”.
Le vulnerabilità critiche e la mancata gestione delle segnalazioni dei whistleblower
I legislatori hanno interrogato Smith riguardo alla mancata risoluzione di vulnerabilità critiche e alla gestione impropria delle segnalazioni dei whistleblower, che hanno portato agli attacchi SolarWinds e ad altre importanti violazioni che, secondo le autorità federali, avrebbero potuto essere evitate. Il presidente del Comitato per la sicurezza interna della Camera, Mark Green, R-Tenn., ha descritto le recenti scoperte sulle mancanze di sicurezza di Microsoft come “molto preoccupanti” e ha affermato che l’azienda ha “sottoinvestito in misure di sicurezza essenziali, esponendo vulnerabilità critiche”.
Il ruolo di Microsoft nella digital infrastructure nazionale
Green ha sottolineato l’importanza di Microsoft per la digital infrastructure nazionale, affermando che l’azienda ha una “responsabilità maggiore” nel garantire la protezione dei sistemi federali dalle intrusioni. Questa responsabilità è particolarmente significativa considerando che Microsoft è profondamente integrato nella digital infrastructure nazionale e che le sue vulnerabilità possono avere conseguenze rilevanti per la sicurezza nazionale.
La risposta di Microsoft: Secure Future Initiative
In risposta a queste critiche, Microsoft ha annunciato di aver apportato modifiche alla sua struttura di governance aziendale per migliorare gli sforzi di sicurezza a livello aziendale e “integrare la sicurezza in ogni processo”. L’azienda ha inoltre aggiunto deputy CISOs a ciascuna delle sue componenti come parte della sua Secure Future Initiative, lanciata nel novembre 2023.
Le raccomandazioni del Cyber Safety Review Board
Smith ha dichiarato che Microsoft ha implementato 16 delle raccomandazioni del Cyber Safety Review Board che si applicano direttamente all’azienda e ha aggiunto ulteriori 18 misure di sicurezza per migliorare la sua postura di cybersecurity complessiva.
Suggerimenti, soluzioni e best practice
Per evitare simili fallimenti nella sicurezza in futuro, Microsoft e altre aziende tecnologiche dovrebbero adottare le seguenti misure:
- Investire in misure di sicurezza essenziali: Microsoft e altre aziende tecnologiche dovrebbero investire adeguatamente in misure di sicurezza essenziali per prevenire vulnerabilità critiche che possono essere sfruttate dagli hacker.
- Dare priorità alla gestione delle segnalazioni dei whistleblower: Le aziende dovrebbero dare la priorità alla gestione delle segnalazioni dei whistleblower e prendere sul serio le loro preoccupazioni riguardo alle vulnerabilità e alle minacce alla sicurezza.
- Integrare la sicurezza in ogni processo: Microsoft e altre aziende dovrebbero integrare la sicurezza in ogni processo aziendale, dalle fasi iniziali di progettazione e sviluppo all’implementazione e alla gestione.
- Collaborare con le autorità federali: Le aziende dovrebbero collaborare con le autorità federali per condividere informazioni sulle minacce e le vulnerabilità e lavorare insieme per mitigare i rischi.
- Essere trasparenti con i clienti e il pubblico: Le aziende dovrebbero essere trasparenti con i clienti e il pubblico riguardo alle vulnerabilità e alle minacce alla sicurezza e adottare misure proattive per mitigare i rischi.
Il recente riconoscimento da parte di Microsoft dei suoi fallimenti nella sicurezza è un passo importante verso l’accettazione della responsabilità e l’impegno a migliorare la sicurezza dei propri prodotti e servizi. Tuttavia, è fondamentale che l’azienda e altre aziende tecnologiche adottino misure concrete per prevenire simili fallimenti in futuro. Implementando le best practice di sicurezza e collaborando con le autorità federali, le aziende possono contribuire a proteggere la digital infrastructure nazionale e garantire la sicurezza dei propri clienti e partner.
Fonte: https://www.databreachtoday.com/microsoft-president-admits-to-major-security-failures-a-25515
