Microsoft 宣布新內部安全計劃,回應揭露問題
Microsoft 總裁 Brad Smith 週四向國會議員表示,將通過新內部安全計劃來解決由吹哨者揭露的問題,這是對 ProPublica 新調查的回應。
調查背景
此次調查顯示,Microsoft 無視了一個被俄羅斯駭客利用的關鍵安全漏洞的證據,該漏洞在後來的 SolarWinds 事件中被利用。一名前 Microsoft 員工 Andrew Harris 稱,他在 2020 年離職前多年就已發現該漏洞並警告公司,但多個團隊忽視了他的發現。
新計劃內容
Smith 在國會聽證會上介紹了公司針對去年夏天中國駭客攻擊事件的應對措施。Microsoft 於去年 11 月開始實施 Secure Future Initiative 計劃,包括增加副首席資訊安全官(CISO)職位、重組網路安全團隊報告結構及在所有產品中內建基本安全功能。
此外,所有 Microsoft 員工的年度評估和獎金將考慮其在網路安全方面的表現。Smith 表示,這一計劃旨在讓員工更容易反映他們發現的網路安全問題。
回應 ProPublica 報導
在聽證會上,Smith 承認他尚未閱讀 ProPublica 的報導,因為當天早上在白宮開會。他表示:「這是一篇典型的在聽證會當天上午發表的文章,然後我們會在聽證會上討論它,但到下週我才有機會回去詳細了解內容。」
展望未來
Smith 表示,Secure Future Initiative 將確保安全問題在產品開發的每個階段都被重視,並讓每位員工都有權發聲,確保公司網路安全不斷改進。
