SAN FRANCISCO — Microsoft, siber güvenlik revizyonlarına ve kurumsal devi, iç operasyonlarında ve müşterilere sattığı sistemlerde güvenliği artırmaya iten dış baskılara yabancı değil.
Şirket faaliyete başladı güvenli gelecek girişimi kasım ayında ve geçen hafta siber güvenlik yönetişim modelini yeniden yapılandırma planlarıyla bu çabayı genişletti.
plan Microsoft’un 22 yıl önceki ve benzer şekilde açıklanan güvenlik çabalarını yansıtıyor. Microsoft’un kurucu ortağı ve eski CEO’su Bill Gates, güvenilir bir bilgi işlem girişimi kuran 2002 tarihli bir bildiride çalışanların yeni özelliklere göre güvenliğe öncelik vermelerini zorunlu kıldı.
Microsoft yöneticileri, şirket çapındaki bu güvenlik yenilemesinin önceki çabalardan farklı olduğu konusunda ısrar ediyor. Federal siber yetkililer ve siber güvenlik uzmanları umutlu ve güvenlik ile yönetici maaşları arasında doğrudan bir bağlantı da dahil olmak üzere revizyonun temel önlemlerinin bu sefer potansiyel bir fark yaratacağına işaret ediyor.
“Son zamanlarda gördüğüm en önemli kaldıraçlardan biri hükümetten değil kurumsal sektörden geliyor… [Microsoft CEO] Satya Nadella, güvenliği üst düzey yönetici düzeyinde ücretlendirmeye bağladı.” Jen Easterly, Siber Güvenlik ve Altyapı Güvenliği Ajansı DirektörüRSA Konferansında Salı günü yapılan açılış konuşmasında şunları söyledi.
Easterly, “Bu işe gelmeden önce özel sektörde zaman geçirmiş olmam, gerçekten neye öncelik verdiğinizin bir sembolü, maaşınızı ve tazminatınızı buraya yatırdığınız yer” dedi. “Bu gerçekten çok önemli; yönetim kurulu kararları, işe alım kararları ve özel kılavuz, eğer güvenlik ile başka bir öncelik arasında bir seçim yapılıyorsa, güvenliği yapın.”
Easterly, bunların hepsinin ekosistemdeki ilerlemeler olduğunu söyledi.
Eski CISA direktörü ve şu anda SentinelOne’un istihbarat ve kamu politikası sorumlusu Chris Krebs, Microsoft’un güvenli gelecek girişiminin şirket içinde önemli bir gerçekleşmeye işaret ettiğini söyledi.
Krebs sahnede Easterly ile yaptığı bir tartışmada şunları söyledi: “‘Bir dakika bekleyin, bu gerçekten müşterileri ürünlerimize güvenmedikleri için uzaklaştırmaya başlayacak’ şeklinde bir uyanış var” dedi.
Yöneticilerin hesap verebilirliği ve tazminatla bağlantılı baskılar Microsoft’un planının merkezinde yer alıyor.
“Her takımda, her şeyi doğru yaptığınızdan emin olmak için sorumlu tutulacak bir kişi vardır.” Kurumsal Başkan Yardımcısı ve baş siber güvenlik danışmanı Bret Arsenault, Salı günü RSA Konferansında Siber Güvenlik Dive’a şunları söyledi:. “İnsanları bir şeyler yapmaya teşvik etme şekliniz önemlidir.”
Uzun süredir devam eden CISO görevinden siber güvenlik baş danışmanı pozisyonuna geçmeden önce güvenli gelecek girişimine liderlik eden Arsenault, Microsoft’un şirket genelinde önce güvenlik yaklaşımını benimsediğini söyledi.
Arsenault, “Bu güvenlik ekibi değil – sadece tüm geliştiricilerin bir şeyler inşa etmeye gittiklerinde gerçekten başarı çukuruna düşmelerine ihtiyacım var” dedi. “Yazılımı farklı şekilde geliştirmemiz gerekiyor.”
Şirket, bir dizi yüksek profilli ve bazı durumlarda Microsoft’a ve müşterilerine yönelik artan saldırıların ardından güvenlik sıfırlamasında hedefine ulaşma konusunda ciddi bir baskı altında.
Siber Güvenlik İnceleme Kurulu lanetleyici bir rapor yayınladı Geçen ay, Çin’e bağlı bir tehdit grubunun Mayıs 2023’te Microsoft Exchange hesaplarını tehlikeye atmasına olanak tanıyan “Microsoft’taki bir dizi güvenlik hatası” hakkında bilgi verilmişti.
Microsoft’un Storm-0558 olarak tanımladığı bir ulus devlet grubunun saldırısı 22 kuruluş ve 500’den fazla kişinin e-postaları ele geçirildiÜst düzey ABD’li yetkililer de dahil. Raporda CSRB, Microsoft’un bu izinsiz girişin temel nedenini henüz belirlemediğini belirtti.