È polemica negli Stati Uniti su Microsoft e il piano di aiuti economici federali per la ripresa dopo il Covid: secondo quanto riportato da Reuters il colosso dell’informatica potrebbe ricevere circa un quarto (150 milioni di dollari) dei fondi destinati alle imprese che si occupano di cybersecurity. Alcuni deputati si sono però detti contrari a finanziare un’azienda il cui software, sottolineano, è stato recentemente al cuore di gravi incidenti di sicurezza che hanno colpito gli uffici federali e statali.
Il Congresso americano ha stanziato questi fondi all’interno del piano anti-Covid da 1.900 miliardi di dollari firmato nei giorni scorsi da Joe Biden e che intende accelerare la ripresa economica.
Cloud sicuro, il budget per rinnovare le licenze Microsoft
L’agenzia americana per la cybersicurezza delle infrastrutture (Cybersecurity Infrastructure security agency) ha stanziato più di 150 milioni dei 650 assegnati dal piano di aiuti di Biden per mettere al sicuro le piattaforme cloud, secondo le fonti di Reuters.
I 150 milioni sarebbero stati inseriti in budget specificamente per Microsoft, in gran parte per aiutare le agenzie federali ad aggiornare i loro accordi di licenza con l’azienda e migliorare la sicurezza dei loro sistemi cloud. In pratica, il governo americano paga le sue agenzie per rinnovare i contratti con Redmond e fare l’upgrade dei software e delle funzionalità di sicurezza.
Governo troppo “dipendente” dai prodotti di Redmond?
Negli scorsi mesi due massicci cyber-attacchi hanno colpito le reti informatiche di una serie di enti governativi federali e locali e di migliaia di aziende sfruttando una vulnerabilità nei prodotti Microsoft. Una di queste violazioni, che si è verificata a dicembre ed è stata attribuita ad hacker russi, è riuscita a sottrarre email da tre dipartimenti: Giustizia, Commercio e Tesoro sfruttando il software di gestione della rete fornito a Microsoft da un’azienda terza e compromettendo la sicurezza del cloud Azure. Un’altra violazione si è verificata questo mese ed è stata fatta risalire a cyber-criminali cinesi che avrebbero sfruttato un bug nel software del server di posta elettronica di Redmond.
“Se l’unica soluzione a un grave incidente di sicurezza in cui gli hacker hanno sfruttato una falla di progettazione a lungo ignorata da Microsoft è dare più soldi a Microsoft, allora il governo dovrebbe riconsiderare la sua dipendenza” dai prodotti di questa azienda, ha affermato il Senatore dell’Oregon Ron Wyden, uno dei leader Democratici nell’Intelligence committee della Camera alta. “Il governo non dovrebbe premiare un’azienda che ci ha venduto software poco sicuro dandole contratti pubblici ancora più grandi”.
La replica di Microsoft sul cloud sicuro
Microsoft ha replicato che, anche se tutti i suoi prodotti cloud hanno funzionalità di sicurezza, “le organizzazioni più grandi potrebbero aver bisogno di funzionalità più avanzate”, come una maggiore accuratezza nel controllo sui log e la capacità di indagare sul logging e agire di conseguenza. Tra i servizi chiave forniti da Microsoft, infatti, c’è la cosiddetta “activity logging”, con cui i clienti possono monitorare il traffico dati nella loro parte del cloud e rilevare le anomalie che potrebbero indicare un’azione in corso da parte di cyber-criminali.
Mentre alcuni funzionari del governo Usa che si occupano di cybersicurezza pensano che non ci sia alternativa al pagare per gli upgrade, Wyden e altri tre parlamentari hanno espresso la loro contrarietà.
La sicurezza nel procurement pubblico
Reuters riporta che l’offerta di prodotti di sicurezza rappresenta nel 2020 un business da 10 miliardi di dollari annui di fatturato per Microsoft, +40% rispetto al 2019. Il deputato Democratico del Maryland Dutch Ruppersberger ha invitato il Congresso a considerare “perché la sicurezza è una considerazione a posteriori nel processo di procurement” e ha chiesto di non fare più del prezzo più basso la caratteristica principale che viene considerata in un’offerta all’inerno di una gara pubblica.