Ключевой приоритет компании
Руководство корпорации Microsoft в очередной раз объявило безопасность приоритетом, однако в этот раз, по-видимому, намеревается сделать это чем-то существенно большим, чем просто декларациями. Действия, направленные на обеспечение безопасности, теперь станут одним из ключевых критериев оценки работы сотрудников компании.
Заявление об этом приводится во внутреннем циркуляре, разосланном руководителем кадрового департамента корпорации Кэтлин Хоган. В нем прямо предписывается рассматривать безопасность как ключевой приоритет, и если встает выбор «или - или», то безопасность предписывается ставить во главу угла.
А пренебрежение вопросами безопасности будет негативно сказываться на карьерном продвижении, повышении зарплат и выплате бонусов. Согласно циркуляру, «вклад в Ключевой Приоритет Безопасность станет для менеджеров основополагающим фактором, на основе которого будет определяться производительность работника и выноситься рекомендация о поощрениях».
Безопасность, разнообразие, инклюзивность
Речь идет не только о кибербезопасности. В списке топовых приоритетов безопасность (security) теперь перечисляется через запятую с разнообразием (diversity) и инклюзивностью (inclusion). В циркуляре указывается, что запрос на безопасность выходит за рамки соблюдения нормативов, и что от работников ожидают сосредоточения на вопросах безопасности во всех аспектах их профессиональной деятельности. На регулярных отчетных собеседованиях Connect работники должны будут наглядно продемонстрировать, что конкретно они предпринимали для улучшения показателей безопасности. Это будет касаться работников всех уровней, включая топ-менеджеров, к которым будут предъявляться особые требования.
Как пишет The Verge, для технических работников это означает, что безопасность должна закладываться в проектную основу любого проекта, в соответствии со всеми рекомендуемыми практиками безопасной разработки.
Не первая попытка перемен
Microsoft уже предпринимала множество разных мер по изменению подходов к безопасности. За продуктами компании с конца девяностых годов стелется дурная слава среды, наименее защищенной от кибератак и вредоносного ПО и, соответственно, наиболее атакуемой, хотя в значительной степени это связано с распространенностью продуктов. С другой стороны, в последние годы количество масштабных киберинцидентов с продуктами корпорации выросло настолько, что Комиссия по изучению кибербезопасности США прямо назвала культуру безопасности в Microsoft «неадекватной и требующей полной переработки». Критика со стороны комиссии была вызвана инцидентом в 2023 г., когда китайские кибершпионы атаковали почтовые аккаунты правительственных чиновников США, хотя это, по мнению членов комиссии, вполне можно было бы предотвратить.
«Несоблюдение нормативов безопасной разработки может быть связано лишь с двумя вещами: некомпетентностью разработчика или необходимостью «срезать углы», чтобы уложиться в сроки, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – Требовать эффективного отношения к безопасности без предоставления необходимых ресурсов – даже и только временных – идея так себе».
В ноябре 2023 г. корпорация запустила инициативу «Безопасное будущее», в рамках которой пообещала поменять подходы к безопасности. Большинство предпринятых с тех пор мер носили непубличный характер, но были и те, которые очевидны и широкой публике. Например, Microsoft переработала схему авторизации в Outlook. com, Hotmail и Live. com. С середины сентября доступ к ним будет возможен только через специализированные авторизационные приложения, – что может заметно сказаться и на сторонних почтовых клиентах.