Brad Smith ha risposto alle domande del Congresso sulla presenza di Microsoft in Cina e sulle recenti violazioni della sicurezza.
Il presidente di Microsoft, Brad Smith, ha affrontato domande serrate da parte dei legislatori riguardo alla presenza dell’azienda in Cina, in un momento in cui Microsoft e le infrastrutture statunitensi sono sotto attacco crescente da parte di hacker legati a Pechino. Durante un’udienza dedicata a esaminare una serie di violazioni che hanno sollevato dubbi sulla postura di sicurezza di Microsoft, i membri del Comitato per la Sicurezza Interna della Camera dei Rappresentanti hanno ripetutamente chiesto a Smith riguardo alla conformità con una legge del 2017 che richiede alle aziende operanti in Cina di cooperare con le agenzie di intelligence cinesi.
Smith ha dichiarato che il business del cloud di Microsoft in Cina è rivolto a garantire che una compagnia americana operante lì mantenga i propri segreti commerciali in un data center americano. Ha inoltre assicurato che la Cina non ha accesso a tali centri. “Ogni volta che c’è qualcosa di vagamente vicino a una richiesta, mi accerto sempre che ci opponiamo”, ha testimoniato Smith.
Il deputato Carlos Gimenez, R-Fla., ha criticato la risposta di Smith, sostenendo che operare in Cina richiede necessariamente la conformità con le leggi locali. Smith ha risposto delineando una distinzione tra paesi che applicano rigorosamente tutte le leggi che promulgano e quelli che non sempre le applicano. Ha sostenuto che, in questo contesto, la Cina appartiene alla seconda categoria. Nonostante ciò, Gimenez ha continuato a esprimere scetticismo riguardo alla mancanza di fiducia nelle parole di Smith.
Questa udienza arriva in seguito a un rapporto del Cyber Safety Review Board, che ha esaminato come hacker cinesi siano riusciti a rubare una chiave di firma e usarla per sottrarre e-mail appartenenti a dirigenti statunitensi. Il rapporto ha concluso che la violazione è stata il risultato di un “cascata di fallimenti di sicurezza” in Microsoft, accusando l’azienda di non dare priorità alla sicurezza.
Una delle questioni più enigmatiche relative all’operazione cinese è come gli hacker siano riusciti a rubare una chiave di firma destinata ai consumatori e utilizzarla per validare token in un ambiente aziendale. Il democratico Bennie Thompson ha espresso insoddisfazione per le spiegazioni fornite da Microsoft su come la chiave rubata abbia potuto garantire agli attaccanti un accesso così esteso. Thompson ha criticato l’azienda per la mancanza di trasparenza su diversi problemi di sicurezza.
Molti legislatori hanno interrogato Smith sulla mancata gestione di una vulnerabilità di sicurezza nota come Golden SAML, che hacker russi hanno successivamente sfruttato nella violazione di SolarWinds. Smith ha detto di non aver ancora letto l’articolo che trattava del problema, ma ha promesso di fornire informazioni più dettagliate in un incontro futuro.
Smith ha sostenuto che Microsoft sia stata solo una delle vittime della violazione di SolarWinds, perpetrata da hacker sofisticati supportati dal governo russo, e che il problema di SAML fosse diffuso in tutto il settore.
Durante l’udienza, il presidente del Comitato, Mark Green, ha affermato la necessità di rafforzare la collaborazione tra governo e industria sul piano della cyber security, sottolineando l’importanza di stabilire “linee rosse” nel cyberspazio che hacker sostenuti da nazioni straniere non possano oltrepassare impunemente. Smith ha suggerito che il governo dovrebbe condividere più efficientemente le informazioni sulle minacce.
Nonostante le intrusioni che hanno colpito le agenzie governative, Smith ha affermato che Microsoft dovrebbe continuare a essere un riferimento per i clienti governativi, sottolineando il loro impegno a guadagnare la fiducia dei loro clienti ogni giorno.
Microsoft ha recentemente annunciato diverse modifiche al proprio approccio alla sicurezza, incluso il prioritizzare la sicurezza nello sviluppo dei prodotti e legare la retribuzione dei dipendenti alle metriche di sicurezza.
Il deputato Seth Magaziner ha messo in dubbio l’efficacia di queste modifiche nel garantire significativi miglioramenti della sicurezza, suggerendo l’implementazione di meccanismi retroattivi per recuperare parte delle retribuzioni in caso di errori di sicurezza.
Smith ha ammesso di non poter garantire quanto della retribuzione totale degli alti dirigenti sarebbe legata alle prestazioni individuali in ambito di sicurezza, ma ha assicurato che sarebbe “più che sufficiente per attirare l’attenzione”. Magaziner ha accolto l’idea con favore ma ha sottolineato che l’efficacia di tale politica dipenderebbe dai dettagli specifici.