Ежегодные бонусы для самых высокопоставленных сотрудников Microsoft будут зависеть от того, насколько бдительно они будут относиться к кибербезопасности, сказал вице-председатель и президент компании.
В преддверии слушаний в комитете Палаты представителей США на этой неделе, посвященных методам обеспечения безопасности Microsoft, Брэд Смит представил дополнение к своим письменным показаниям с подробным описанием предстоящих изменений.
Годовые бонусы высшего руководства компании, которые регулярно встречаются с генеральным директором, рассчитываются на основе ряда факторов, включая так называемый «индивидуальный результат».
Пониженная корпоративная безопасность
В 2025 финансовом году, который начинается 1 июля, одна треть этой части «индивидуальных результатов» будет напрямую связана с проверкой их работы в области кибербезопасности. Проверка будет проводиться Комитетом Совета директоров по вознаграждениям, но также будет включать мнение неустановленной независимой третьей стороны.
Некоторые изменения в структуру бонусов также могут быть внесены в этом финансовом году, пояснил Смит:
«Совет также решил, что в текущем финансовом году, заканчивающемся 30 июня, Комитет по вознаграждениям будет подробно рассматривать показатели кибербезопасности каждого члена SLT в своих ежегодных обзорах эффективности исполнительной власти», — написал он. «В дополнение к изменениям в нашей программе вознаграждения руководителей, которые включают большую ответственность за кибербезопасность, совет директоров также имеет возможность уменьшать размер вознаграждения по своему усмотрению».
В последнее время Microsoft подверглась серьезной критике за предполагаемое плохое реагирование на серьезные инциденты в области кибербезопасности.
Летом 2023 года Microsoft Exchange Online подвергся серии атак со стороны поддерживаемого Китайской Народной Республикой (КНР) субъекта, известного как Storm-0558, который получил доступ к почтовым ящикам 22 организаций. Почтовыми ящиками воспользовались более 500 человек и скомпрометировали ряд правительственных чиновников США, в том числе министра торговли Джину Раймондо, посла США в КНР Р. Николаса Бернса и конгрессмена Дона Бэкона.
Позже выяснилось, что нападения можно было избежать. Об этом говорится в отчете Министерства внутренней безопасности (DHS) и Совета по обзору кибербезопасности (CSRB). В нем говорится, что были приняты решения, которые указывают на «корпоративную культуру, в которой инвестиции в корпоративную безопасность и строгое управление рисками имеют более низкий приоритет, что несовместимо с центральным положением компании в технологической экосистеме и доверием к ней клиентов». операции».
Проверка показала, что халатность Microsoft при подписании ротации ключей привела к тому, что ключ от 2016 года все еще оставался активным в 2023 году. Кроме того, отсутствовали многочисленные ключевые меры безопасности, которые были стандартными для других CSP на момент атаки и которые могли бы обнаружить и предотвратить нарушение такого масштаба.
Также выяснилось, что во время инцидента Microsoft опубликовала противоречивые сообщения. Например, говорилось, что ключ на 2016 год, вероятно, был украден во время «аварийного дампа». Позже было сказано, что не было никаких доказательств того, что ключ был украден в этом сценарии.
Заместитель председателя CSRB Дмитрий Альперович заявил: «Эта хакерская группа, связанная с Китайской Народной Республикой, имеет возможность и намерение манипулировать системами идентификации для доступа к конфиденциальным данным, включая электронные письма лиц, представляющих интерес для правительства Китая. Поставщики облачных услуг должны срочно реализовать эти рекомендации, чтобы защитить своих клиентов от этой и других постоянных и вредоносных угроз со стороны государственных субъектов».
Над CNBC
Больше от TechRadar Pro
