美国国会议员周四敦促微软解释“一系列可避免的错误”,这些错误导致中国黑客组织侵入了美国高级官员的电子邮件。
微软总裁布拉德·史密斯花了三个多小时回答华盛顿众议院国土安全委员会成员的问题,向他们保证网络安全正在更深入地融入到这家科技公司的文化中。
史密斯告诉委员会,“微软毫不含糊或犹豫地”对一份严厉的美国政府报告中提到的每一个问题承担责任。
由美国国土安全部领导的网络安全审查委员会(CSRB)对去年涉及中国网络间谍活动 Storm-0558 的事件进行了为期七个月的调查。
“微软在政府和关键基础设施网络中都有着巨大的影响力,”美国国会议员兼委员会成员本尼·汤普森在听证会开始时对史密斯说。
“迅速解决(报告)提出的安全问题是我们的共同利益。”
该行动于 2023 年 6 月首次由美国国务院发现,其中包括对商务部长吉娜·雷蒙多和美国驻华大使尼古拉斯·伯恩斯的官方和个人邮箱进行黑客攻击。
微软的核心业务是提供云计算服务,例如Azure或Office360,托管敏感数据并为主要经济部门的业务和政府运营提供支持。
该报告批评微软的企业文化“与……客户对公司的信任程度不一致”。
审查发现了 Microsoft 的一系列运营和战略决策,这些决策为漏洞打开了大门,包括在 2021 年公司收购后未能识别新员工的受感染笔记本电脑。
调查还发现,微软没有达到谷歌、亚马逊和甲骨文等竞争云公司的安全标准。
审查称:“董事会认为这种入侵是可以预防的,根本不应该发生。”并指出“微软一系列可避免的错误导致了这次入侵的成功”。
“持久的改变”
该报告还建议微软制定并公开发布一项计划,并附有时间表,以在其产品和实践中实施广泛的安全改革。
“真正的挑战是如何实现有效持久的文化变革,”史密斯说,并指出微软拥有近 226,000 名员工。
史密斯表示,微软有相当于 34,000 名工程师全职工作,致力于解决“数字技术史上最大的专注于网络安全的工程项目”的安全缺陷。
史密斯表示,微软董事会周三批准了一项变革,将网络安全成就与高级管理人员的年度奖金挂钩,并将其纳入每位员工年度考核的一部分。
史密斯告诉委员会,微软每天检测到约 3 亿次针对其客户的网络攻击,其中大部分来自中国、伊朗、韩国、俄罗斯或勒索软件操作。
史密斯说:“我们正在应对中国、俄罗斯、朝鲜和伊朗的四个强大敌人,而且他们正在变得更好。”
“我们应该期待他们共同努力;他们正在以惊人的速度发动攻击。”
史密斯补充说,虽然对手不可避免地会使用人工智能进行日益复杂的攻击,但该技术已经被用来加强网络防御。
© 2024 法新社
