Un rapporto di 34 pagine pubblicato nei giorni scorsi dal Cyber Safety Review Board (CSRB), un gruppo creato dal DIpartimento per la Sicurezza Interna (US Department of Homeland Security) degli Stati Uniti nel 2021 per esaminare i principali incidenti di cybersecurity, mette sotto accusa Microsoft.

Il rapporto si concentra su un incidente di alto profilo avvenuto tra maggio e giugno 2023, quando si ritiene che il gruppo di hacker cinesi noto come Storm-0558 abbia compromesso le caselle di posta elettronica di Microsoft Exchange Online di oltre 500 persone e 22 organizzazioni in tutto il mondo, tra cui alti funzionari del governo statunitense.

Il rapporto del CSRB critica Microsoft per la sua cultura della sicurezza definita inadeguata, affermando che “questa richiede una revisione, soprattutto alla luce della centralità dell’azienda nell’ecosistema tecnologico e del livello di fiducia che i clienti ripongono nell’azienda per proteggere i loro dati e le loro operazioni”.

Il rapporto critica anche le comunicazioni pubbliche di Microsoft, facendo notare che l’azienda ha aspettato fino al mese scorso per correggere un post sul blog del settembre 2023 sulla causa della violazione dopo le ripetute domande del CSRB. A un certo punto, il rapporto afferma che i leader di Microsoft devono prendere in considerazione la possibilità di riorientare lo sviluppo dei prodotti, dando la priorità alle funzionalità di sicurezza rispetto a quelle dei nuovi prodotti e rivitalizzando di fatto lo spirito dell’iniziativa Trustworthy Computing che il co-fondatore di Microsoft Bill Gates ha istituito nel 2002.

Microsoft sicurezza

Microsoft si è allontanata da questa etica e deve ripristinarla immediatamente come priorità aziendale. Siamo a conoscenza delle recenti modifiche apportate da Microsoft alla sua leadership in materia di sicurezza e della Secure Future Initiative annunciata nel novembre 2023; riteniamo che questi e altri sforzi relativi alla sicurezza debbano essere supervisionati direttamente e da vicino dal CEO di Microsoft e dal suo Consiglio di Amministrazione, e che tutti i leader senior debbano essere ritenuti responsabili dell’implementazione di tutti i cambiamenti necessari con la massima urgenza”, si legge nel rapporto.

Alla richiesta di un commento sul rapporto, un portavoce di Microsoft ha dichiarato: “Apprezziamo il lavoro svolto dal CSRB per indagare sull’impatto delle minacce da parte degli Stati nazionali che operano in modo continuativo e senza una deterrenza significativa. Come abbiamo annunciato nella nostra Secure Future Initiative, gli eventi recenti hanno dimostrato la necessità di adottare una nuova cultura della sicurezza ingegneristica nelle nostre reti. Sebbene nessuna organizzazione sia immune da attacchi informatici, abbiamo mobilitato i nostri team di ingegneri per identificare le infrastrutture esistenti, migliorare i processi e applicare i parametri di sicurezza. I nostri ingegneri della sicurezza continuano a irrobustire tutti i nostri sistemi contro gli attacchi e a implementare sensori e log ancora più robusti per aiutarci a individuare e respingere le cyber-armi dei nostri avversari”.