Microsoft Başkanı Brad Smith, şirket olarak teknoloji devinde önemli kültür değişiklikleriyle ilerleme sözü verdi tüm sorumluluğu kabul etti Perşembe günü Temsilciler Meclisi İç Güvenlik Komitesi huzurunda verdiği ifadede güvenlik başarısızlıkları nedeniyle bunu söyledi.
Aynı zamanda başkan yardımcısı olarak da görev yapan Smith, Perşembe günü milletvekilleri huzurunda ifade verdi gelen sert bir rapora yanıt olarak ABD Siber Güvenlik İnceleme Kurulu Microsoft Exchange Online’ın 2023 yazında devlete bağlı bir tehdit grubu tarafından hacklenmesinin ardından Microsoft’un güvenlik kültürünü analiz eden bir rapor.
Duruşma sırasında Smith’e, Microsoft’un işçilerini güvenlik endişeleri hakkında konuşmaya teşvik etmek için kültürünü değiştirip değiştirmediği soruldu.
Smith sorgulama sırasında şunları söyledi: “Her çalışanı sorunları aramaya, sorunları bulmaya, sorunları bildirmeye, sorunların çözülmesine yardımcı olmaya ve ardından sorunlardan ders almaya teşvik eden bir kültür istiyoruz.”
Smith, Microsoft’un dijital teknoloji tarihinde güvenliğe odaklanan en büyük mühendislik projesinde yer aldığını ve projede çalışan 34.000’den fazla tam zamanlı mühendise eşdeğer olduğunu söyledi.
Bir onayladı üst düzey yöneticilere yıllık ikramiye bağlamayı planlıyorkısmen siber güvenliğe. Microsoft’un yeni mali yılı 1 Temmuz’da başladığında, kıdemli liderin ikramiyesine ilişkin bireysel performansın üçte biri siber güvenlikle ilgili performansa bağlı olacak.
Güvenlik aynı zamanda tüm çalışanlar için iki yılda bir yapılan incelemenin bir parçası haline gelecektir.
Proofpoint’in baş strateji sorumlusu Ryan Kalember, duruşmanın Microsoft’un Apple, Amazon veya Google gibi rakipleriyle karşılaştırıldığında ürün güvenliğini dikiz aynasında bırakmasıyla ilgili uzun süredir devam eden endişeleri ortaya çıkardığını söyledi.
“Kalember, yaptığı açıklamada, tasarım gereği güvenli ürünler oluşturmak yerine ürün bağlantılılığını önceliklendirerek, kendilerinin yarattıkları güvenlik risklerini bölümlere ayırmak yerine sürekli olarak artırıyorlar” dedi.
Smith, Perşembe günü ProPublica’nın, Microsoft’un kendi mühendislerinden birinin Sunburst saldırılarına yol açtığı iddia edilen bir güvenlik açığıyla ilgili yıllardır yaptığı uyarıları görmezden geldiğini iddia eden bir ihbarcı hakkında bir rapor yayınlamasıyla ek eleştirilere maruz kaldı. Bu mühendis Andrew Harris, 2020’de Microsoft’tan ayrıldı ve daha sonra rakip CrowdStrike’a katıldı.
Duruşma sırasında Smith, duruşma öncesinde Beyaz Saray’da olduğundan ProPublica raporunu inceleme şansının olmadığını söyledi.
Smith’e ürün güvenliğini etkileyebilecek benzer güvenlik açıklarından haberdar olup olmadığı soruldu. Smith öyle olmadığını söyledi ancak “yaptığımız her şey bulabileceğimiz her güvenlik açığını bulmaya odaklanıyor.”
Smith ayrıca Microsoft’un çalışanların bu tür endişeleri dile getirmeye teşvik edildiği bir ortam yaratmak için çalıştığını da belirtti.