Microsoft će podići sigurnost na status “osnovnog prioriteta” za sve zaposlene kao dio procesa fokusiranja njihovog rada i procjene performansi, prema internom e-mailu u ponedjeljak ujutro. Ovo je najnoviji korak kompanije u implementaciji onoga što naziva mentalitetom sigurnosti na prvom mjestu. Slijedi niz visokoprofilnih proboja koji su izazvali zabrinutost regulatora i zakonodavaca, te ponovno pokrenuli dugotrajna pitanja o širokoj ovisnosti glavnih korisnika o Microsoftovoj tehnologiji.
Promjena će biti implementirana za sve zaposlene prilikom postavljanja prioriteta i procjene performansi, poznatih unutar kompanije kao “Connect”, prema e-mailu u ponedjeljak od Kathleen Hogan, glavne osobe za ljudske resurse u Microsoftu.
“Osnovni prioritet sigurnosti nije samo formalnost; to je način na koji se svaki zaposlenik i menadžer može obvezati — i biti odgovoran — za prioritet sigurnosti, i način na koji možemo kodificirati vaše doprinose i priznati vaš utjecaj,” napisala je Hogan. “Svi moramo djelovati s mentalitetom sigurnosti na prvom mjestu, izražavati se i proaktivno tražiti prilike za osiguranje sigurnosti u svemu što radimo.”
S ovim potezom, sigurnost se pridružuje dvama postojećim osnovnim prioritetima kao dio procesa Connect, usmjerenih na raznolikost i uključivost, te očekivanja i principe Microsofta za menadžere.
Prioriteti i procjene performansi su faktori u bonusima zaposlenih, ali kompanija nije dala specifikacije o stupnju do kojeg bi promjena mogla utjecati na kompenzaciju zaposlenih.
Vremenski okvir za proces Connect varira, obično se događa dva do tri puta godišnje. Microsoft poziva zaposlene da implementiraju novi osnovni prioritet počevši od prvog “Connecta” fiskalne godine, koji je započeo 1. srpnja.
Odvojeno, Microsoft je prošlog tjedna rekao da će zaposlenima pružiti posebnu jednokratnu novčanu nagradu koja iznosi dodatnih 10% do 25% vrijednosti njihovih godišnjih bonusa za nedavno završenu fiskalnu godinu kompanije.
Promjene u sigurnosti nadovezuju se na Microsoftovu inicijativu Sigurna budućnost (SFI), predstavljenu prošle jeseni. To je Microsoftov najnoviji pokušaj da sigurnost postavi kao prioritet, koji datira još od inicijative “Pouzdano računarstvo” koju je Bill Gates uveo 2002. godine.
Microsoft je u svibnju rekao da će dio kompenzacije viših izvršnih direktora temeljiti na napretku prema sigurnosnim prioritetima, postaviti zamjenike glavnih službenika za informacijsku sigurnost (CISO) u svaku grupu proizvoda i okupiti timove iz svojih glavnih platformi i timova proizvoda u “inženjerskim valovima” za preuređenje sigurnosti.
U internoj noti tada, izvršni direktor Microsofta Satya Nadella pozvao je zaposlene da sigurnost postave kao svoj glavni prioritet, čak i ako to znači donošenje teških odluka u interesu veće sigurnosti.
“Ako ste suočeni s izborom između sigurnosti i drugog prioriteta, vaš odgovor je jasan: dajte prednost sigurnosti,” rekao je zaposlenima izvršni direktor Microsofta. “U nekim slučajevima to će značiti davanje prednosti sigurnosti nad ostalim stvarima koje radimo, kao što su izdavanje novih funkcija ili pružanje stalne podrške za zastarjele sustave.”
Izvještaj Odbora za pregled sigurnosti sajbera (CSRB) u travnju opisao je Microsoftovu kulturu sigurnosti kao “nedovoljnu”. Izvještaj je pozvao na inicijative za sigurnost koje treba “izravno i pažljivo” nadgledati izvršni direktor Microsofta i odbor, te rekao da “svi viši lideri trebaju biti odgovorni za implementaciju svih potrebnih promjena s najvećom hitnošću.”
Izvještaj CSRB-a usredotočio se na visokoprofilni incident u svibnju i lipnju 2023. godine, u kojem se vjeruje da je kineska hakerska grupa poznata kao Storm-0558 kompromitirala Microsoftove online poštanske sandučiće Exchange više od 500 osoba i 22 organizacije širom svijeta, uključujući visoke američke vladine dužnosnike.
Microsoft je u siječnju otkrio da je ruski državni akter poznat kao Nobelium ili Midnight Blizzard pristupio njegovim internim sustavima i izvršnim e-mail računima. Naknadno, kompanija je rekla da su isti napadači bili u mogućnosti pristupiti nekim od svojih izvornih kodova repozitorija i internim sustavima.
Svjedočeći pred Odborom za domovinsku sigurnost Zastupničkog doma SAD-a u lipnju, predsjednik Microsofta Brad Smith rekao je da kompanija preuzima odgovornost za probleme navedene u izvještaju CSRB-a, i ponovio posvećenost prioritetu sigurnosti.