Microsoft mobilizira 34.000 inženjera u opsežnoj sigurnosnoj reformi
Kao odgovor na kritike američke vlade i nedavne ponižavajuće sigurnosne proboje, Microsoft poduzima opsežnu sigurnosnu reformu. Hoce li 34.000 inženjera izgraditi neprobojan sigurnosni zid?
PozadinaMicrosoftovog buđenja seže u 2023. godinu kada je Odbor za pregled kibernetičke sigurnosti SAD-a (CSRB) objavio izvješće koje je oštro kritiziralo Microsoftove sigurnosne prakse nakon hakiranja koje su izvršili kineski i ruski hakeri. Kritike su bile brutalne, a posljedice po poslovanje značajne. Izvješće je ukazalo na ozbiljne nedostatke u sigurnosnoj kulturi tvrtke i istaknulo "izbježive pogreške" koje su ugrozile korisnike. Vladine su agencije počele polako migrirati prema Googleovim i Amazonovim podatkovnim centrima.
Inicijativa za sigurnu budućnost
Kao odgovor na ove kritike, Microsoft je pokrenuo Inicijativu za sigurnu budućnost (SFI), kako bi prema principu "root cause" prvo uklonio uzroke sigurnosnih propusta. Da bi se to učinilo kako treba, uključeno je 34.000 inženjera s punim radnim vremenom, što ilustrira razmjere i ozbiljnost Microsoftovog pristupa ovom izazovu.
U sklopu SFI-ja, unaprijeđena je zaštita identiteta u autentifikacijskim procedurama, uklonjeni su milijuni neaktivnih korisničkih računa radi smanjenja mogućnosti potencijalnih napada te su uvedeni novi sustavi testiranja. Poboljšana je revizijska praksa zadržavanja podataka, otkrivanje tzv. ROT (Redundant, Obsolete, Trivial) podataka, ograničena je upotreba osobnih pristupnih tokena i smanjen pristup kritičnim sustavima.
Novo vijece, stari zaposlenici
Veći problem koji trebaju riješiti su organizacijske promjene, a to je proces koji u svakoj tvrtki ide najteže jer se radi o razmještanju i otpuštanju zaposlenih. Možda su samo preimenovali opise radnih mjesta, ali javnost je obaviještena da je formirano novo Vijeće za kibernetičko upravljanje, imenovano je 13 zamjenika glavnog službenika za informacijsku sigurnost (CISO), od kojih su samo četiri novozaposlena, a uspostavljen je i Ured za upravljanje sigurnošću kupaca kako bi se poboljšala komunikacija tijekom sigurnosnih incidenata.
Sve su to standardni procesi u IT industriji
Sve te akcije su najnormalniji procesi i postupci koji se provode redovito u svakoj velikoj korporaciji i Microsoft se ne bi trebao hvaliti da radi nešto što su standardi i praksa u IT industriji. Ono što im se može uzeti kao olakotna okolnost jest činjenica da se radi o gigantu koji pomalo sliči na tromog dinosaura: tvrtka ima 100.000 inženjera od ukupno 228.000 zaposlenih koji, kako navodi TheVerge, svakodnevno rade na više od 500.000 radnih zadataka i mjesečno obavljaju 5 milijuna pretvaranja izvornih kodnih datoteka u samostalne softverske artefakte.