Microsoft voegt de rol van Deputy CISO toe. Hiermee wil het bedrijf beter communiceren met klanten over de eigen security. Ook andere bewindslieden zijn aangesteld, hoewel Microsoft niet prijsgeeft om welke functies het gaat.
De kersverse Deputy CISO is Ann Johnson, die al ruim 8 jaar voor de securitytak van Microsoft werkt. Zij richt zich in deze rol op klantcontact en gereguleerde sectoren. Haar meerdere, Microsoft-CISO Igor Tsyganskiy, vervult sinds december 2023 die rol. Ook de andere niet nader genoemde security-execs zullen aan hem rapporteren, meldt Bloomberg.
Twee keer geïnfiltreerd
Microsoft, de grootste securityleverancier ter wereld, ging het afgelopen jaar gebukt onder twee grote hacks. Aanvallers met staatssteun van zowel China als Rusland wisten na elkaar en op verschillende wijzen gevoelige Microsoft-systemen binnen te treden. De Chinese groep Storm-0558 infiltreerde Microsoft via een oude key, die allang niet meer geldig had moeten zijn. Volgens de Amerikaanse Cyber Safety Review Board (CSRB) was dit één van een ‘opeenstapeling van fouten‘ die de hack mogelijk had gemaakt.
De Russen van Midnight Blizzard stalen zelfs e-mailberichten tussen Microsoft en de Amerikaanse overheid. De opperste bestuurslaag van Microsoft bleek zich meermaals niet aan bekende security best practices te houden. Pijnlijk, aangezien het bedrijf zelf net als andere securityvendoren hamert op zaken als MFA en zero-trust.
In beide gevallen bleek de communicatie met de buitenwereld problematisch. Het CSRB uitte felle kritiek op de serie aan blogposts die Microsoft wijdde aan de Chinese hack. Hoewel het bedrijf transparantie trachtte te bevorderen, was de informatie herhaaldelijk onjuist. Ook kwamen correcties voor deze blogs veel te laat en pas op aandringen van het CSRB. Het is aan de vernieuwde C-suite om op dat front dus aanzienlijke verbetering te tonen.
Grote veranderingen
Nieuw elan lijkt broodnodig. Het CSRB rondde haar rapport af met de conclusie dat Microsoft security lang heeft verslonsd. De onderzoekers wezen naar een uitspraak van oprichter en toenmalig CEO Bill Gates uit 2002: “Als we moeten kiezen tussen het toevoegen van nieuwe features en het oplossen van securityproblemen, moeten we security kiezen.”
De nieuwe bestuurslaag zal dit oude advies ter harte nemen. Bloomberg bericht dan ook dat de veranderingen bedoeld zijn om de focus voortaan weer op security ligt bij elke productgroep. Ook CEO Satya Nadella vertelde investeerders vorige week dat Microsoft nu security boven alle andere zaken prioriteert.
Beluister ook onze podcast over het securityfalen bij Microsoft: