O presidente da Microsoft, Brad Smith, foi ontem chamado perante o Comitê de Segurança Interna da Câmara para testemunhar que as práticas da empresa expunham seus clientes governamentais a riscos de segurança.
Os parlamentares estavam interessados nos planos da gigante do software para melhorar a segurança dos seus sistemas, uma necessidade que se tornou aparente no ano passado, quando uma série de ataques às contas de e-mail de funcionários federais dos EUA puseram em causa as credenciais da empresa como um importante contratante do governo. O Conselho Federal de Supervisão de Segurança Cibernética concluiu que o incidente foi causado por uma “cascata de erros evitáveis” e por uma cultura de segurança corporativa “que requer revisão”.
Numa série de hacks, indivíduos que se acredita estarem associados ao Ministério de Segurança do Estado da China usaram uma ferramenta para criar chaves digitais que lhes permitiram se passar por qualquer cliente existente da Microsoft. Eles se passaram por funcionários de 22 organizações, incluindo o Departamento de Estado dos EUA e o Departamento de Comércio dos EUA, e leram os e-mails da chefe do Departamento de Comércio, Gina Raimondo, entre outros. O incidente gerou as críticas mais contundentes a um forte empreiteiro do governo em décadas; Empresas rivais e algumas autoridades pediram a redução da dependência do governo da Microsoft.
No mês passado, dois senadores enviaram uma carta ao Pentágono questionando por que razão o departamento pretende melhorar a segurança técnica dos sistemas não confidenciais do Departamento de Defesa através da compra de licenças dispendiosas da Microsoft em vez de soluções mais baratas de outros fornecedores. Na audiência, Brad Smith foi questionado sobre quais poderiam ser os riscos da dependência militar de um único fornecedor. Ele respondeu que um ambiente com vários fornecedores é igualmente arriscado porque é mais fácil para os hackers penetrarem nas costuras onde dois sistemas se conectam. Ele também não deu uma resposta direta quando questionado sobre um especialista em segurança da Microsoft que relatou repetidamente uma vulnerabilidade nos sistemas da empresa que havia sido usada anteriormente em hacks de sistemas de outro fornecedor. Smith respondeu que não tinha lido o artigo sobre o assunto e que a vulnerabilidade estava relacionada a um padrão da indústria, mas não a um produto específico da Microsoft.
Houve dúvidas sobre a China, que, segundo Smith, responde por 1,5% da receita da Microsoft. A gigante do software opera na China principalmente para servir outras empresas americanas e não está sujeita a leis que exijam que todas as organizações ajudem as agências de segurança locais e os militares. Smith falou sobre uma nova iniciativa dedicada a questões de segurança na Microsoft – 1.600 engenheiros especializados foram atraídos para trabalhar nesta área no atual ano fiscal, e outras 800 vagas serão adicionadas no próximo ano. O presidente garantiu que a segurança se tornou uma prioridade na empresa e se comprometeu a implementar as recomendações do conselho fiscalizador criado pela Casa Branca tanto para a Microsoft quanto para a indústria como um todo.
O testemunho de Brad Smith levantou sobrancelhas entre o público, que lembrou que a Microsoft anunciou recentemente um recurso Recall para Windows que tira capturas de tela a cada poucos segundos e as armazena, permitindo aos usuários relembrar suas ações passadas. A empresa garantiu que apenas o próprio usuário terá acesso ao histórico de ações do computador, e os dados serão armazenados localmente. Mas qualquer pessoa com direitos de administrador em um computador poderá espionar todos que trabalham nele, e os hackers, se hackeados, poderão exportar e ler arquivos, credenciais do sistema financeiro e mensagens criptografadas. A Microsoft se recusou a comentar essas afirmações por mais de uma semana, após a qual prometeu adicionar recursos de segurança ao recurso Recall. Após o depoimento de Smith no Congresso, a empresa disse que atrasaria seu lançamento.