Microsoft enfrenta pressão do Congresso dos EUA sobre segurança cibernética, Membros do Congresso dos EUA pressionaram a Microsoft para explicar uma “cascata de erros evitáveis” que permitiu que um grupo de hackers chinês violasse e-mails de altos funcionários dos EUA.
O presidente da Microsoft, Brad Smith, passou mais de três horas respondendo a perguntas de membros do Comitê de Segurança Interna da Câmara em Washington, garantindo-lhes que a segurança cibernética está mais profundamente integrada na cultura da empresa de tecnologia.
“A Microsoft aceita a responsabilidade por cada uma das questões citadas” num relatório contundente do governo dos EUA sobre a violação “sem equívocos ou hesitações”, disse Smith ao comitê.
O Conselho de Revisão de Segurança Cibernética (CSRB), liderado pelo Departamento de Segurança Interna dos EUA, conduziu uma investigação de sete meses sobre o incidente do ano passado que envolveu o ator de espionagem cibernética Storm-0558, afiliado à China.
“A Microsoft tem uma presença enorme tanto no governo quanto em redes de infraestrutura crítica”, disse o congressista e membro do comitê dos EUA, Bennie Thompson, a Smith, no início da audiência.
“É nosso interesse comum que as questões de segurança levantadas pelo (relatório) sejam abordadas rapidamente.”
A operação, que foi descoberta pela primeira vez pelo Departamento de Estado dos EUA em junho de 2023, incluiu hacks nas caixas de correio oficiais e pessoais da secretária de Comércio, Gina Raimondo, e do embaixador dos EUA na China, Nicholas Burns.
O principal negócio da Microsoft é fornecer serviços de computação em nuvem, como Azure ou Office360, que hospedam dados confidenciais e potencializam operações empresariais e governamentais nos principais setores da economia.
O relatório criticou a cultura corporativa da Microsoft que estava “em desacordo com… o nível de confiança que os clientes depositam na empresa”.
A análise identificou uma série de decisões operacionais e estratégicas da Microsoft que abriram as portas para a violação, incluindo a falha na identificação do laptop comprometido de um novo funcionário após uma aquisição corporativa em 2021.
Também descobriu que a Microsoft ficou aquém dos padrões de segurança observados em empresas concorrentes de nuvem, incluindo Google, Amazon e Oracle.
“O Conselho considera que esta intrusão era evitável e nunca deveria ter ocorrido”, afirmou a revisão, apontando “a cascata de erros evitáveis da Microsoft que permitiram que esta intrusão tivesse sucesso”.