Los legisladores interrogan a Brad Smith sobre los negocios de Microsoft en China

Los legisladores republicanos interrogaron el jueves a un alto ejecutivo de Microsoft sobre la presencia de la compañía en China, aproximadamente un año después de que piratas informáticos chinos utilizaran los sistemas del gigante tecnológico para lanzar un devastador ataque a las redes del gobierno federal.

Varios miembros del Comité de Seguridad Nacional de la Cámara de Representantes preguntaron a Brad Smith, presidente de Microsoft, durante una audiencia de una hora de duración, cómo un contratista crítico para el gobierno estadounidense como Microsoft podía mantener un negocio comercial en China, que según Smith representaba alrededor del 1,4 o 1,5 por ciento. de las ventas de la empresa.

«¿Realmente vale la pena?» preguntó el representante Carlos Giménez, un republicano de Florida.

Smith argumentó que el negocio de Microsoft en China servía a los intereses estadounidenses al proteger los secretos comerciales de los clientes estadounidenses de Microsoft que operan allí y aprenden de lo que sucede en el resto del mundo.

Añadió que Microsoft había rechazado las solicitudes del gobierno chino para entregar información confidencial. “Les diré que hay días en que le hacen preguntas a Microsoft, llegan a mi escritorio y les digo: ‘No’”, dijo.

La audiencia fue una respuesta a una mordaz informe de marzo por la Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional. El informe detalla cómo “una cascada de fallos de seguridad en Microsoft” permitió a un equipo de hackers llamado Storm-0558, que según el informe era un grupo de espionaje afiliado al gobierno chino, infiltrarse en los sistemas de correo electrónico de Microsoft en mayo y junio del año pasado.

El informe criticaba a Microsoft por tener «una cultura corporativa que restaba prioridad tanto a las inversiones en seguridad empresarial como a la gestión rigurosa de riesgos» y decía que las prácticas de ciberseguridad de la empresa eran críticas para la seguridad nacional porque «los productos y servicios de Microsoft son omnipresentes».

Los piratas informáticos de alguna manera obtuvieron una clave digital (lo que el informe llamó “joyas de la corona criptográfica”) para los mecanismos de seguridad de Microsoft que les permitían falsificar las credenciales de otros usuarios. Comprometieron las cuentas de 22 organizaciones y más de 500 personas en todo el mundo, incluida la secretaria de Comercio, Gina M. Raimondo, y el embajador de Estados Unidos en China, Nicholas Burns. Más que Se descargaron 60.000 correos electrónicos sólo de la red informática del Departamento de Estado, que descubrió la infracción.

La intrusión “nunca debería haber ocurrido”, según el informe. Dijo que Microsoft aún no sabía cómo los piratas informáticos habían obtenido la clave digital. También reprendió a Microsoft por hacer declaraciones públicas inexactas sobre el hackeo en el otoño.

Microsoft ha caminado por una línea delicada en China. Ha cerrado algunos negocios, como la red social profesional LinkedInpero ofrece servicios de computación en la nube en China y también alberga equipos de ingeniería y un valioso laboratorio de investigación allí.

Smith dijo en la audiencia que Microsoft había estado reduciendo su presencia de ingeniería en China y el mes pasado ofreció reubicar a 700 u 800 empleados que «tendrían que mudarse fuera de China para mantener su trabajo».

Los altos ejecutivos de la compañía, incluidos Smith y el director ejecutivo, Satya Nadella, han debatido el futuro del laboratorio de investigación e instituido barreras que restringen a los investigadores realizar trabajos políticamente sensibles, The New York Times. reportado en Enero.

Smith prometió un esfuerzo urgente de seguridad dentro de Microsoft a través de lo que llamó “el proyecto de ingeniería de ciberseguridad más grande en la historia de la tecnología digital”.

A pesar del duro informe sobre las fallas de seguridad de Microsoft, los legisladores en la audiencia no cuestionaron agresivamente al Sr. Smith y en cambio se centraron en las formas en que el gobierno y el sector privado podrían trabajar juntos.

“Esta no es una audiencia para atraparnos”, dijo en sus comentarios de apertura el representante Bennie Thompson de Mississippi, el demócrata de mayor rango en el comité.

Smith sorprendió a los legisladores cuando describió la magnitud del desafío. Dijo que Microsoft detectó más de 300 millones de ataques diarios a sus clientes.

microsoft en enero reveló un truco separadopor un grupo patrocinado por la inteligencia rusa, que el informe no cubrió.

En noviembre, Microsoft Anunciado una revisión de arriba a abajo de sus prácticas de seguridad, su mayor iniciativa de seguridad en dos décadas, y en mayo dicho vincularía la remuneración de sus altos ejecutivos al progreso de la reforma.

Smith dijo que el directorio de la compañía había aprobado un plan para vincular un tercio de las bonificaciones por desempeño individual para los altos ejecutivos a la ciberseguridad. También dijo que todos los empleados de Microsoft serían evaluados en materia de ciberseguridad en sus revisiones de desempeño dos veces al año.

Los competidores de Microsoft se han aprovechado de su vulnerabilidad. NetChoice, un grupo comercial cuyos patrocinadores incluyen a Google, Amazon y Meta, publicó una encuesta de votantes que critica la dependencia del gobierno de Microsoft. NetChoice y varios otros grupos comerciales respaldados por competidores enviado cartas a funcionarios de la administración de Biden pidiendo al gobierno que utilice una variedad más amplia de proveedores de tecnología.

Una firma de relaciones públicas que incluye a Google como cliente envía correos electrónicos regularmente a los periodistas cuando aparecen historias negativas sobre los ataques de Microsoft, y en ocasiones ofrece expertos con quienes hablar. Esta semana, la empresa de software empresarial Salesforce envió un comentario a los periodistas promocionando su cultura de seguridad.

Andy Jassy, ​​director ejecutivo de Amazon, dijo a los inversores a finales de abril que la seguridad sería fundamental para los clientes que eligen qué servicios de IA utilizar.

«Si sólo se presta atención a lo que ha estado sucediendo durante los últimos dos años», dijo, «no todos los proveedores tienen el mismo historial».