За последние пару лет Microsoft не раз попадала в заголовки из-за факапов по части безопасности: это и утечки пользовательских данных с неправильно настроенных серверов, и проблемы с сертификатами, и хранящиеся в свободном доступе пароли сотрудников, и кибератаки китайских хакеров на облачную платформу Azure, а на внутреннюю инфраструктуру — российских.
За последние пару лет Microsoft не раз попадала в заголовки из-за факапов по части безопасности: это и утечки пользовательских данных с неправильно настроенных серверов, и проблемы с сертификатами, и хранящиеся в свободном доступе пароли сотрудников, и кибератаки китайских хакеров на облачную платформу Azure, а на внутреннюю инфраструктуру — российских.
За ошибки и слишком медленную реакцию на них техногиганта отчитывали не только ИБ-исследователи, но также политики и регуляторы. Совет по оценке кибербезопасности (Cyber Safety Review Board) США в своём апрельском докладе назвал неудовлетворительной культуру обеспечения безопасности в Microsoft и раскритиковал за то, как о проколах, которые вполне можно было предотвратить, сообщается общественности.
Чтобы исправить ситуацию, Microsoft ещё в прошлом ноябре анонсировала проект Secure Future Initiative. На днях вице-президент Microsoft по безопасности Чарли Белл объявил, что в рамках него компания ужесточит свои ИБ-подходы. Microsoft провозгласила приоритетность безопасности над всеми остальными функциями и пообещала реализовать рекомендации CSRB. Она планирует устранить слабые места в своих системах и процессах разработки, а в командах разработчиков появятся новые директора по ИБ, которые будут отслеживать их успехи в данной сфере и докладывать высшему руководству.
Помимо этого, зарплата всех менеджеров старшего звена (Senior Leadership Team) в Microsoft теперь будет отчасти зависеть от того, выполняет ли компания свои планы и цели по безопасности. Но в какой степени, Белл не уточнил.
Также гендиректор Microsoft Сатья Наделла разослал сотрудникам компании письмо, в котором ещё раз подчеркнул её публичные обещания. Он сказал, что сотрудники должны ставить улучшение безопасности выше релиза новых функций или текущей поддержки устаревших систем. Полный текст его письма приводит The Verge.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.