周四,在联邦政府遭受一系列网络攻击后,国会议员敦促微软加强其处理普遍存在的产品安全漏洞的方式。

众议院国土安全委员会成员的批评是为了回应ProPublica的新调查微软公司的一位工程师从2017年开始警告称,产品缺陷使包括联邦雇员在内的数百万用户容易受到攻击,并一再回绝了该工程师的建议。俄罗斯黑客随后在美国历史上最大的网络攻击之一,即广为人知的SolarWinds中利用了这一弱点。

密西西比州众议员本尼·汤普森该委员会的首席民主党人将该新闻组织的报道写入国会记录。然后,他问微软总裁布拉德·史密斯,公司是否已经建立了一个流程,“以确保员工对微软或其产品安全的担忧得到优先考虑和解决。”

史密斯独自坐在拥挤的听证会室的证人席上,告诉立法者,该公司正在改变其安全措施。他说,微软正在努力“让每一位员工都能专注于持续改进并大胆发言……并确保这些声音得到倾听和重视”。

史密斯补充道:“我们希望有一种鼓励每位员工寻找问题、发现问题、报告问题、帮助解决问题,然后从问题中学习的文化。”

据ProPublica报道,这不是前微软工程师安德鲁·哈里斯(Andrew Harris)在SolarWinds诞生前几年遇到的企业文化。哈里斯表示,专注于微软主导云计算市场的产品领导者告诉他,解决他所发现的弱点将破坏该公司获取联邦政府合同和边缘化竞争对手的业务目标。

联邦网络安全审查委员会在审查微软在去年中国攻击者实施的另一起黑客攻击中的作用时,也发现该公司的安全文化“不足”,需要“彻底改革”董事会发现,这导致了“一连串……可以避免的错误”

周四,史密斯表示,微软接受了董事会调查结果的责任,并已将高管奖金与网络安全挂钩。他说,安全性也将是每个微软员工绩效评估的一部分,因此将间接影响整个公司的薪酬。

微软改变其安全文化的承诺与20多年前创始人比尔·盖茨的类似承诺相呼应。盖茨当时写道:“当我们面临添加功能和解决安全问题之间的选择时,我们需要选择安全。”。

自那以后的几十年里,前员工告诉ProPublica,开发新产品和功能往往优先于修复现有产品中的安全漏洞。

虽然周四听证会的官方主题是网络安全委员会关于中国黑客事件的报告,但委员会成员就ProPublica的SolarWinds调查向史密斯提出了一个又一个问题代表Delia Ramirez,D-Ill。被称为“爆炸性报告”

她说,听证会是该公司的“决算时刻”,该公司一再淡化其在SolarWinds中的作用。俄罗斯人利用的漏洞之一涉及微软应用程序,该应用程序旨在确保用户有权登录基于云的程序。该漏洞允许入侵者伪装成合法员工,并在云中搜索敏感数据,包括电子邮件。

塞思杂志众议员,D-R.I。问史密斯关于他之前的国会证词,他在证词中说,微软是在2017年11月首次了解到这一弱点的,当时一家外部网络安全公司发布了一份报告。《杂志》指出,ProPublica的调查发现哈里斯甚至更早提出了这一弱点,但却被忽视了。立法者问史密斯先前的证词是否有误。

史密斯表示反对,说他没有读过这个故事。“我今天早上在白宫,”他告诉小组。

后来,史密斯抱怨说,ProPublica的调查是在听证会当天公布的,并表示“一周后”他会对此事有更多了解。ProPublica在周四报道发布前近两周向微软发送了详细问题,并要求与史密斯面谈。该公司拒绝向他提供服务。

周四,史密斯指出,微软产品的弱点也可能出现在其他公司的软件中。然而,网络安全专家指出,微软的版本是使用最广泛的版本之一,包括联邦政府。

当拉米雷斯(Ramirez)问哈里斯(Harris)的发现在今天会如何得到不同的处理时,史密斯(Smith)说:“我认为今天最重要的是注意到我们正在发生的变化……我们如何提升这些问题,并奖励发现、报告和帮助解决问题的人。”