Si prevede un confronto acceso tra Brad Smith e i membri del Comitato sulla Sicurezza Nazionale della Camera. Quali saranno le implicazioni?
Brad Smith, presidente di Microsoft, è in procinto di affrontare un’audizione davanti al Comitato sulla Sicurezza Nazionale della Camera per rispondere a varie omissioni in ambito di cyber security. La seduta si prospetta intensa, con legislatori infuriati pronti a sottoporre Smith a un vero e proprio “rituale di punizione”. Tuttavia, gli esperti di sicurezza cibernetica dubitano che questo incontro porterà a cambiamenti significativi.
Il titolo dell’audizione, “Cascade of Security Failures”, è ispirato da un rapporto del Cyber Safety Review Board del Dipartimento per la Sicurezza Interna. Secondo questo rapporto, un’operazione cinese che ha violato le e-mail di alti funzionari del governo statunitense è stata il risultato di una serie di errori di sicurezza da parte di Microsoft. Oltre a questo, la società è stata criticata per altre falle di sicurezza, inclusa l’esposizione del codice sorgente da parte di hacker russi.
In una testimonianza scritta presentata in anticipo, Brad Smith ha chiesto scusa agli interessati, incluso il governo federale, riconoscendo che Microsoft deve migliorare. Ha dichiarato: “Accettiamo la responsabilità per il passato e stiamo applicando ciò che abbiamo imparato per costruire un futuro più sicuro”.
Nonostante queste scuse, molti critici ritengono che l’azienda sia abilissima nell’evitare la piena responsabilità, spesso annunciando nuove iniziative sulla sicurezza subito dopo essere state coinvolte in scandali di cyber security. Ad esempio, l’iniziativa recente per dare priorità massima alla sicurezza cibernetica è stata accolta con scetticismo.
Microsoft detiene una posizione dominante come fornitore di software per il governo federale, tanto che alcuni critici parlano di una “monocultura della sicurezza”. Concorrenti come Google hanno cercato di capitalizzare sulle debolezze di Microsoft, presentandosi come alternative più sicure. Anche rappresentanti come Karan Sondhi di Trellix hanno espresso dubbi sull’efficacia delle azioni derivanti da questa audizione, suggerendo che sarebbe necessario incentivare l’acquisto di prodotti da diversi fornitori.
Oltre alla sicurezza cibernetica, il comitato si concentrerà sull’operato di Microsoft in Cina e sull’approccio dell’azienda verso l’intelligenza artificiale. La volontà del comitato è di comprendere meglio le minacce cibernetiche e migliorare la postura di sicurezza nazionale. Idealmente, si spera che Microsoft ammetta gli errori fatti e delinei piani concreti per miglioramenti futuri.
Jim Lewis, del Center for Strategic and International Studies, ha sottolineato che una lezione positiva potrebbe essere l’implementazione di misure più severe da parte del Cyber Safety Review Board contro le aziende, con l’obiettivo di migliorare la partecipazione e la responsabilità verso le indagini cibernetiche.
Smith, nel frattempo, ha sottolineato che gli attacchi statali spesso avvengono senza significative conseguenze. Ha esortato il governo degli Stati Uniti a imporre sanzioni più dure per scoraggiare tali azioni: “Gli attori statali troppo spesso attaccano senza ripercussioni significative”.
Con la prospettiva di una collaborazione sempre più stretta tra Russia e Cina in attacchi cibernetici, Smith ha avvertito che uno scenario del genere sarebbe estremamente grave. La difesa di Microsoft richiede, secondo Smith, anche il sostegno del governo federale per affrontare tali minacce in modo efficace.
Gli occhi sono puntati su questa audizione, che potrebbe rappresentare un momento di svolta per la sicurezza informatica non solo all’interno di Microsoft ma anche a livello nazionale.