Microsoft ha invitado a la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) a una «reunión técnica detallada» sobre el Sistema de Protección de la Infraestructura (SFI) y otros objetivos de ingeniería para explicar «las formas específicas en que estamos implementando las recomendaciones del CSRB», según Brad Smith, presidente de la compañía.
Smith destacó repetidamente ante el Congreso que Microsoft, a pesar de tener «la primera y mayor responsabilidad» en atender el informe del CSRB, no puede resolver los problemas de ciberseguridad del país por sí sola. «Ninguna empresa puede proteger a un país y a otras naciones de lo que está surgiendo como una ciberguerra librada por cuatro gobiernos agresivos», afirmó Smith.
Algunos consideran que la excesiva dependencia del gobierno de EE. UU. en Microsoft es en sí misma un problema. Sin embargo, Smith sugirió que el gobierno también tiene responsabilidad en fortalecer la protección cibernética.
Smith indicó que los miembros del comité podrían «hacer más en apoyo de la defensa cibernética» financiando programas críticos de ciberseguridad, fortaleciendo las contramedidas y «imponiendo castigos apropiados» y multas severas para disuadir la actividad maliciosa.
«La protección de la ciberseguridad requiere una misión conjunta de toda la industria y toda la sociedad en múltiples países», dijo Smith. «Cada uno de nosotros puede y debe aprender unos de otros y trabajar juntos para proteger la ciberseguridad de nuestra nación y del mundo».
Lisa Harris, quien dejó Microsoft por la falta de una cultura de seguridad y ahora trabaja para CrowdStrike, una empresa rival de ciberseguridad, comentó a ProPublica que anteriormente los clientes de Microsoft, incluido el gobierno de EE. UU., «nunca tuvieron la oportunidad» de defenderse contra vulnerabilidades conocidas.
«Las decisiones no se basan en lo que es mejor para los clientes de Microsoft, sino en lo que es mejor para Microsoft», dijo Harris a ProPublica.
Microsoft no disputó el informe de ProPublica. En cambio, la compañía proporcionó una declaración que casi parece contradecir el testimonio de Smith al Congreso al afirmar que «proteger a los clientes es siempre nuestra máxima prioridad».
«Nuestro equipo de respuesta de seguridad toma en serio todos los problemas de seguridad y da a cada caso la diligencia debida con una evaluación manual exhaustiva, además de confirmar con socios de ingeniería y seguridad», dijo un portavoz de Microsoft, afirmando que la respuesta de Microsoft cuando Harris señaló un riesgo de seguridad importante «recibió múltiples revisiones y estaba alineada con el consenso de la industria».
El portavoz explicó además que históricamente Microsoft ha priorizado su «trabajo de respuesta de seguridad considerando la posible interrupción para los clientes, la explotabilidad y las mitigaciones disponibles».
«Seguimos escuchando a la comunidad de investigación de seguridad y evolucionando nuestro enfoque para asegurarnos de cumplir con las expectativas de los clientes y protegerlos de amenazas emergentes», dijo el portavoz de Microsoft.
El jueves, Smith se disculpó ante el Congreso por los fallos de seguridad de Microsoft, diciendo que «la disposición a reconocer nuestras deficiencias y abordar los problemas de frente nos inspira a aprender de nuestros errores y aplicar las lecciones aprendidas para mejorar constantemente».
«Aceptamos la responsabilidad por el pasado y estamos aplicando lo que hemos aprendido para ayudar a construir un futuro más seguro», dijo Smith, prometiendo que Microsoft pronto «establecerá defensas multinivel más fuertes para contrarrestar a los actores estatales más sofisticados y con mayores recursos».
Microsoft probablemente seguirá bajo el escrutinio mientras los legisladores consideran si el proveedor de servicios en la nube puede ser confiable para salvaguardar la seguridad nacional.
Según Reuters, el representante estadounidense Bennie Thompson (D-Miss.) dijo a Smith que «Microsoft es uno de los socios tecnológicos y de seguridad más importantes del gobierno federal, pero no podemos permitir que la importancia de esa relación genere complacencia o interfiera con nuestra supervisión».