След поредица пробиви, Microsoft обвърза заплащането на шефовете си с опазване на киберсигурността

Последната година не е добра за Microsoft що се отнася до защитата на личните данни и корпоративната сигурност на гиганта.

Най-известната от претърпените от компанията атаки е свързана с базирана в Китай хакерска група на име Storm-0558, която в средата на 2023 г. пробива услугата Azure на Microsoft и събира данни в продължение на повече от месец, преди да бъде разкрита и прогонена. След месеци на неяснота Microsoft разкри, че поредица от пропуски в сигурността е дала на Storm-0558 достъп до акаунта на инженер, което е позволило на Storm-0558 да събира данни от 25 от клиентите на Microsoft Azure, включително федерални агенции на САЩ.

През януари Microsoft разкри, че защитата ѝ е била пробита отново, този път от руска държавно-спонсорирана хакерска група Midnight Blizzard. Групата е успяла "да компрометира стар непроизводствен акаунт на тестови наемател", за да получи достъп до системите на Microsoft за цели два месеца.

Кулминацията на всичко това е доклад на американския Съвет за преглед на киберсигурността, който порицава Microsoft за "неадекватната" култура на сигурност, "неточните публични изявления" и реакцията на "предотвратими" пробиви в сигурността.

За да се опита да промени нещата, през ноември 2023 г. Microsoft обяви нещо, което нарече "Инициатива за сигурно бъдеще". Като част от тази инициатива днес Microsoft обяви редица планове и промени в своите практики за сигурност, включително няколко промени, които вече са направени.

"Поставяме сигурността като наш основен приоритет в Майкрософт, над всичко останало - над всички други функции", пише изпълнителният вицепрезидент по сигурността на Майкрософт Чарли Бел. "Разширяваме обхвата на ИСБ като интегрираме неотдавнашните препоръки на регулаторите, както и наученото от атаката на Midnight Blizzard, за да гарантираме, че нашият подход към киберсигурността остава стабилен и адаптивен към променящия се пейзаж от заплахи."

Като част от тези промени Microsoft също така ще направи заплащането на висшия си ръководен екип частично зависимо от това дали компанията "изпълнява нашите планове и основни цели в областта на сигурността", въпреки че Бел не уточни колко от заплащането на ръководителите ще зависи от изпълнението на тези цели в областта на сигурността.

Що се отнася до конкретните корекции, които Microsoft вече е въвела, Бел пише, че Microsoft използва автоматично прилагане на многофакторно удостоверяване по подразбиране в повече от 1 милион ползватели на Microsoft Entra ID в рамките на Microsoft, както и е премахнала 730 000 стари и/или несигурни приложения.