El Comité de Seguridad Nacional de la Cámara de Representantes esta interrogando Brad Smith, presidente de Microsoftel jueves sobre los planes del gigante del software para mejorar su seguridad después de una serie de ataques devastadores que afectaron las cuentas de correo electrónico de funcionarios federales, cuestionar la idoneidad de la empresa como contratista gubernamental dominante.
El interrogatorio siguió a un informe mordaz. sobre una de esas brechas, donde el Junta Federal de Revisión de Ciberseguridad Descubrió que el evento fue posible debido a “una cascada de errores evitables” y una cultura de seguridad “que requiere una revisión completa”.
En ese hackeo, presuntos agentes del Ministerio de Seguridad del Estado de China creado el año pasado claves digitales utilizando una herramienta que les permitió hacerse pasar por cualquier cliente existente de microsoft. Usando la herramienta, se hicieron pasar por 22 organizaciones, incluidos los Departamentos de Estado y Comercio de EE. UU., y revisaron el correo electrónico de la Secretaria de Comercio, Gina Raimondo.entre otros.
El evento desencadenó las críticas más fuertes contra el fuerte proveedor federal en décadas y ha llevado a empresas rivales y a algunos responsables políticos a presionar para que el gobierno dependa menos de su tecnología. Dos senadores escribieron a Pentágono el mes pasado, preguntando por qué la agencia planea mejorar la seguridad de la tecnología no clasificada del Departamento de Defensa con licencias microsoft más caro que con proveedores alternativos.
“La ciberseguridad debería ser una característica esencial del software, no una característica premium que las empresas venden a gobiernos y clientes corporativos con grandes presupuestos”, escribieron los investigadores. Los senadores Eric Schmitt (R-Mo.) y Ron Wyden (D-Ore.). “A través de su poder adquisitivo, las estrategias y estándares de la Departamento de Defensa “Tienen el poder de dar forma a estrategias corporativas que resulten en servicios de ciberseguridad más resilientes”.
Cualquier cambio serio en el gasto del poder ejecutivo llevaría años, pero los líderes del gobierno Departamento de Seguridad Nacional Dicen que hay planes en marcha para agregar garantías y requisitos de seguridad a más compras gubernamentales, una idea promovida en el informe estadounidense. microsoft del Junta de Revisión de Seguridad Cibernética. El informe encontró que los requisitos actuales “no requieren sistemáticamente prácticas sólidas” para autenticar a los usuarios.
El presidente del comité, Mark Green (R-Tennessee)dijo antes de la audiencia que “ahora es responsabilidad del Congreso examinar la respuesta de microsoft a este informe. Debemos restaurar la confianza del pueblo estadounidense, que depende de los productos estadounidenses. microsoft cada día.”
En testimonio escrito presentado el miércoles, Herrero repetidas declaraciones anteriores celebrando las conclusiones del Junta de Revisión y comprometerse a hacerlo mejor. Herrero promovió una iniciativa de seguridad en toda la empresa que ha traído 1.600 ingenieros de seguridad en el año fiscal actual y agregará otros 800 puestos el próximo año.
Herrero dijo que la compañía había hecho de la seguridad su máxima prioridad en toda la empresa y que cumpliría con las recomendaciones de la Junta de Revisión tanto para la empresa como para la industria en general.
“Microsoft acepta la responsabilidad de cada uno de los problemas citados en el informe CSRB”, testificó. Herrero.
El testimonio causó sorpresa entre algunos profesionales de seguridad que marcó el lanzamiento este mes por microsoft de una característica de ventanas llamar Recordarque toma capturas de pantalla de la mayoría de las actividades en una computadora personal cada pocos segundos y los almacena para que sea más fácil buscar acciones pasadas.
A pesar de microsoft dijo que los usuarios solo podrían ver sus propios historiales y que, de lo contrario, permanecerían encriptados y almacenado localmenteLos expertos lo llamaron un tesoro escondido para los intrusos electrónicos. Alegan que cualquier persona con derechos administrativos sobre una máquina podría espiar a otros usuarios, y que un pirata informático podría exportar y leer archivos, incluidos registros de contraseñas financieras y mensajes cifrados, si lograban entrar..
Después de negarse a comentar sobre esos informes durante más de una semana, microsoft Dijo que no enviaría el software con Recordar incluido automáticamente, como estaba previsto, y que requeriría una mayor autenticación por parte del usuario para activarlo.
En su testimonio escrito, Herrero Citó ese cambio como un ejemplo de los esfuerzos revitalizados de la compañía en materia de seguridad.
(c) 2024, El Washington Post
