Il Congresso degli Stati Uniti ha letteralmente tenuto Microsoft sulla graticola perché spiegasse la “cascata di errori evitabili” che ha consentito a un gruppo di hacker cinese di violare le e-mail di alti funzionari statunitensi.
Il presidente di Microsoft Brad Smith ha trascorso più di tre ore a rispondere alle domande dei membri della commissione della Camera per la sicurezza nazionale a Washington, assicurando loro che la cybersecurity si sta intrecciando più profondamente nella cultura dell’azienda.
L’ammissione di responsabilità
“Microsoft si assume la responsabilità per ognuno dei problemi citati” in un severo rapporto del governo americano sulla violazione “senza equivoci o esitazioni”, ha detto Smith al comitato. Il Cyber Safety Review Board (Csrb), guidato dal Dipartimento per la sicurezza interna degli Stati Uniti, ha condotto un’indagine di sette mesi sull’incidente dello scorso anno che ha coinvolto il collettivo di hacker affiliati alla Cina Storm-0558. “Microsoft ha una presenza enorme sia nel governo che nelle reti di infrastrutture critiche – ha detto a Smith deputato Bennie Thompson all’apertura dell’udienza -: è nostro comune interesse che le questioni di sicurezza sollevate dal rapporto siano affrontate rapidamente”.
L’operazione, scoperta per la prima volta dal Dipartimento di Stato americano nel giugno 2023, includeva attacchi alle caselle di posta ufficiali e personali del segretario al Commercio Gina Raimondo e dell’ambasciatore americano in Cina Nicholas Burns. Il rapporto critica una cultura aziendale di Microsoft “in contrasto con il livello di fiducia che i clienti ripongono nell’azienda” e identifica una serie di decisioni operative e strategiche di Microsoft che hanno aperto la porta alla violazione, inclusa la mancata identificazione del laptop compromesso di un nuovo dipendente a seguito di un’acquisizione aziendale nel 2021.
Richiesto un piano di riforme di sicurezza
L’indagine ha inoltre scoperto che Microsoft non era all’altezza degli standard di sicurezza osservati nelle società cloud concorrenti, tra cui Google, Amazon e Oracle. “Il Consiglio ritiene che questa intrusione fosse prevenibile e non avrebbe mai dovuto verificarsi”, si legge nel rapporto che individua “la cascata di errori evitabili di Microsoft“. Il rapporto raccomanda a Microsoft di sviluppare e pubblicare pubblicamente un piano con scadenze per attuare riforme di sicurezza ad ampio raggio su tutti i suoi prodotti e pratiche.
“La vera sfida è come ottenere un cambiamento culturale efficace e duraturo”, ha affermato Smith, sottolineando che Microsoft ha quasi 226.000 dipendenti e 34.000 ingegneri che lavorano a tempo pieno per rispondere alle carenze di sicurezza nel “piu’ grande progetto ingegneristico incentrato sulla sicurezza informatica nella storia della tecnologia digitale”.
Bonus ai dirigenti collegati ai risultati sulla sicurezza
Intanto il consiglio di amministrazione di Microsoft ha approvato un cambiamento che collegherà i risultati ottenuti in materia di sicurezza informatica con i bonus annuali per i dirigenti senior e lo renderà parte della revisione annuale di ogni dipendente. Microsoft rileva ogni giorno circa 300 milioni di attacchi informatici contro i propri clienti, la maggior parte dei quali provenienti da Cina, Iran, Corea, Russia o operazioni di ransomware, ha detto Smith al comitato: “Abbiamo a che fare con quattro nemici formidabili: Cina, Russia, Corea del Nord e Iran, e stanno migliorando. Dovremmo aspettarci che lavorino insieme; stanno conducendo attacchi a un ritmo straordinario”. “Sebbene sia inevitabile che gli avversari utilizzino l’intelligenza artificiale per attacchi sempre più sofisticati, la tecnologia viene gia’ utilizzata per rafforzare le difese informatiche, ha aggiunto.
Bloccato il lancio di Recall sui pc: focus su privacy e sicurezza
Microsoft, nel frattempo, ha deciso di bloccare il lancio della nuova funzionalità “Recall” basata sull’intelligenza artificiale, che avrebbe dovuto equipaggiare i nuovi personal computer dell’azienda dalla prossima settimana. La nuova funzionalità verrà invece introdotta provvisoriamente e solo su alcuni computer in un secondo momento, a causa di timori legati alla privacy e alla sicurezza dei dati.
La funzione Recall monitora una vasta serie di attività dell’utente, dalle ricerche sul web sino alle chat vocali, e le archivia creando una mole di dati su cui basare funzioni di assistenza, agendo in particolare come una sorta di vasta cronologia interattiva delle attività. Inizialmente Recall doveva essere introdotta per tutti gli utenti del chat bot Copilot+ sui Pc Microsoft. L’azienda ha deciso pero’ di introdurre la nuova funzionalita’ solo per gli iscritti al Windows Insider Program
Meta sospende i test nell’Ue
Dopo le preoccupazioni espresse dalla commissione Ue, intanto, Meta ha annunciato di aver momentaneamente sospeso i propri programmi per l’addestramento dei modelli linguistici di grandi dimensioni utilizzando contenuti pubblici condivisi da utenti adulti su Facebook e Instagram. Al centro della contestazione di sarebbe il fatto che meta utilizzarebbe le informazioni prese dai social che controlla senza chiedere il consenso esplicito dei titolari dei dati, come già accade ad esempio nel mercato statunitense.
