Microsoft-topman moet voor congres VS getuigen over gebrekkige security

Brad Smith, president en vice-voorzitter van Microsoft, zal op 13 juni getuigen tijdens een hoorzitting over "de tekortkomingen van het bedrijf op het gebied van beveiliging, de uitdagingen bij het voorkomen van significante cyberaanvallen en de plannen om de beveiligingsmaatregelen te versterken", aldus de commissie voor nationale veiligheid.

'Meer tijd en informatie nodig'

De commissie heeft Smith eerder al gevraagd om te getuigen in een hoorzitting die gepland stond voor 22 mei, maar Microsoft vroeg om extra tijd en meer informatie. "We zijn altijd toegewijd om het Congres te voorzien van informatie die belangrijk is voor de veiligheid van de natie, en we kijken ernaar uit om de details te bespreken van het beste moment en de beste manier om dit te doen", zei een woordvoerder van het bedrijf toen. Microsoft reageerde later niet op een verzoek om commentaar toen er een datum voor de hoorzitting was bepaald.

Het onderzoek op Capitol Hill is een vergroting van de nasleep van een diepgaande hackaanval op Microsoft, waar klanten van de techreus door zijn geraakt. Na die geruchtmakende cyberaanval is er een vernietigend rapport verschenen van de rapport van de Cyber Safety Review Board over de falende beveiliging van Microsoft. Ook is er een golf van kritiek op het bedrijf vanuit de hele industrie en de overheid.

Tekortschietende securitycultuur

Een tweetal grote inbraken in de kernplatformen van Microsoft door statelijke actoren onderstreept de culturele en technische tekortkomingen van het bedrijf. Het CSRB-rapport stelt dat een "cascade van beveiligingsfouten bij Microsoft" een aan China gelieerde bedreigingsgroep in staat stelde om afgelopen mei Microsoft Exchange-accounts van klanten te compromitteren.

De aanval heeft 22 bedrijfsorganisaties en meer dan 500 personen gecompromitteerd, waaronder belangrijke Amerikaanse overheidsfunctionarissen en minister van Handel Gina Raimondo.

Microsoft heeft in november een revisie van zijn cyberbeveiliging doorgevoerd, het zogeheten Secure Future Initiative. Daarnaast heeft het bedrijf eerder deze maand die inspanning uitgebreid met plannen om het bestuursmodel voor cyberbeveiliging te herstructureren.

Topmanagers belonen voor beveiliging

Tijdens de RSA-conferentie in San Francisco eerder deze maand verklaarden federale cyberfunctionarissen en cyberbeveiligingsdeskundigen dat ze hoopvol zijn dat Microsoft zijn beveiliging zal verbeteren. Ter onderbouwing van die hoop wijzen ze op belangrijke maatregelen die het bedrijf neemt in de herziening van zijn security-aanpak. Die maatregelen omvatten bijvoorbeeld een directe koppeling tussen beveiliging en de beloning van leidinggevenden. Dit is een belangrijke drijfveer voor de inspanning om IT-beveiliging te verbeteren.

Smith getuigde eerder voor het Congres in 2021 namens Microsoft in de nasleep van de Sunburst-aanval. Daarbij zijn achterdeurtjes geplaatst in beheerpakket SolarWinds Orion waarlangs gebruikers van dat kritieke IT-systeem toen zijn gehackt.

Bron: Cybersecurity Dive. Dit artikel is AI-vertaald.