Brad Smith van Microsoft geeft toe dat het bedrijf in het verleden niet altijd even doortastend is geweest in het beveiligen van zijn producten en belooft verandering.
Smith, topman van Microsoft, werd op het matje geroepen door de Amerikaanse Commissie Binnenlandse Veiligheid. Vorig jaar wisten Chinese hackers via Microsoft Exchange Online binnen te breken op mailservers van Amerikaanse overheidsmedewerkers. De overheid tilde zwaar aan het incident en gaf Microsoft een vernietigend rapport. Smith moest namens Microsoft komen uitleggen hoe dat kon gebeuren.
In een schriftelijke getuigenis had Smith voor de hoorzitting begon al mea culpa geslagen. “Microsoft aanvaardt de verantwoordelijkheid voor elk van de problemen die worden genoemd over de Exchange-hack, zonder enige twijfel of aarzeling”, schrijft Smith. Ook tijdens de hoorzitting erkende Smith dat zijn bedrijf tekort was geschoten bij dit incident.
Business boven beveiliging
De recente hack op Exchange is lang niet het enige wat Microsoft op zijn kerfstok heeft. Experten uit de beveiligingsindustrie hekelen al jarenlang het bij momenten lakse beveiligingsbeleid van de softwarereus aan. Niet toevallig publiceerde ProPublica op donderdag een uitgebreide getuigenis van een ex-medewerker over de bedenkelijke rol die Microsoft speelde in de beruchte SolwarWinds-hack uit 2020.
lees ook
Microsoft liet server met wachtwoorden wagenwijd openstaan
Andrew Harris werkte tot enkele maanden voor de hack in het beveiligingsteam van Microsoft. Een weinig dankbare job destijds, blijkt uit de getuigenis van Harris. Hij zou in 2016 al een potentiële ernstige kwetsbaarheid in Azure AD FS, een Microsoft-product om in te loggen in de Azure-cloud. Harris waarschuwde de bedrijfsleiding dat de kwetsbaarheid indringers de sleutel zou geven om via een on-premserver binnen te breken in de cloudomgeving van klanten.
De waarschuwing moest er echter niets van weten. Microsoft was op dat moment, onder impuls van CEO Satya Nadella, zich volop aan het omvormen tot een ‘cloud-first’-bedrijf en wilde meedingen naar een lucratief contract met de Amerikaanse overheid. Uit vrees dat het erkennen van de kwetsbaarheid de reputatie van de toen nog jonge cloudafdeling zou ondermijnen, werd de kwetsbaarheid in de doofpot gestoken.
Na vier jaar tevergeefs proberen, gaf Harris er in augustus 2020 de brui aan en stapte hij over naar CrowdStrike, gefrustreerd omdat Microsoft zijn zakelijke belangen boven beveiliging plaatste. Niet veel later zou de SolarWinds-bom ontploffen. Smith moest zich in 2021 al vertegenwoordigen voor het Amerikaanse Congres, maar wist dat om te buigen naar een positief verhaal over hoe snel Microsoft wis te reageren op de hack.
Security first
Deze keer toonde Smith zich nederiger en erkent hij dat Microsoft fouten heeft gemaakt. Microsoft zou ook geleerd hebben uit die fouten en heeft de omslag naar een ‘security-first’ bedrijf gemaakt. “We zijn volledig toegewijd om elke aanbeveling op te volgen en dit rapport te gebruiken als een kans en basis om onze cyberbeveiliging over de hele linie te versterken”, aldus Smith.
lees ook
Microsoft-topman neemt Apple en Google op de korrel: “Wij bieden ontwikkelaars wél keuze”
Dit lijken geen loze woorden te zijn. CEO Satya Nadella stuurde al een memo uit naar werknemers met de volgende boodschap: “Als je geconfronteerd wordt met een afweging tussen beveiliging en een andere prioriteit, is het antwoord duidelijk: doe beveiliging”. De recente heisa rond Windows Recall doet dan weer twijfelen of Microsoft zijn les heeft geleerd.