处于损害控制模式的微软表示，它将优先考虑安全性，而不是人工智能

微软总裁布拉德·史密斯(Brad Smith)周四在国会作证时表示，微软正在调整公司文化，将安全作为头等大事，并承诺安全将“比公司在人工智能方面的工作更重要”。

史密斯对国会表示，微软首席执行官萨蒂亚·纳德拉(Satya Nadella)“已亲自承担起高级主管的责任，对微软的安全全面负责。”

在他作证之前，微软承认，它本可以采取措施，阻止来自中国和俄罗斯的两起侵略性的民族国家网络攻击。

据微软的举报人安德鲁·哈里斯(Andrew Harris)称，在他提出修复“安全噩梦”的建议时，微软多年来一直忽视一个漏洞。ProPublica报道称，相反，微软担心它可能会因为警告这个漏洞而失去与政府的合同，并据称淡化了这个问题，选择利润而不是安全。

这种明显的疏忽导致了美国历史上规模最大的网络攻击之一，由于微软的安全漏洞，官员的敏感数据遭到泄露。据路透社报道，与中国有关的黑客窃取了6万封美国国务院电子邮件。据ProPublica报道，几家联邦机构遭到攻击，攻击者可以访问敏感的政府信息，包括国家核安全管理局和美国国立卫生研究院的数据。据路透社报道，甚至微软本身也遭到了攻击，今年一个俄罗斯组织访问了微软高级员工的电子邮件，包括他们“与政府官员的通信”。

根据史密斯准备好的书面证词，他今天对国会说:“我们承认我们能够而且必须做得更好。”“作为一家公司，我们需要在保护国家网络安全方面追求完美。我们做不到的任何一天，对网络安全来说都是糟糕的一天，对微软来说都是糟糕的时刻。”

史密斯说，为了加强公司文化的转变，“授权和奖励每一位员工，让他们发现安全问题，报告问题”，并“帮助解决问题”，纳德拉向所有员工发了一封电子邮件，敦促他们始终把安全放在首位。

纳德拉在邮件中写道:“如果你面临着安全与其他优先事项之间的权衡，你的答案很明确:做安全。”“在某些情况下，这意味着安全优先于我们所做的其他事情，比如发布新功能或为遗留系统提供持续支持。”为了确保每个人都能参与进来，微软还开始将高管的薪酬与安全目标的实现挂钩。

微软必须采纳政府的所有建议

史密斯是在众议院国土安全委员会听证会上作证的唯一证人，听证会的标题是“一连串的安全故障:评估微软公司的网络安全缺陷及其对国土安全的影响”。

他告诉国会，微软正在贯彻网络安全审查委员会(CSRB)在一份报告中提出的所有16项建议，该报告“确定了微软的一系列运营和战略决策，这些决策共同指向了一种不重视企业安全投资和严格风险管理的企业文化。”

作为这些义务的一部分，微软已经承诺停止对关键的安全相关功能收费，比如CSRB认为应该成为其云服务核心部分的更细粒度的日志记录。(去年7月，微软开始改变这种文化，扩大了云日志的可访问性和灵活性，让客户无需额外费用就能“访问更广泛的云安全日志”。)

史密斯还表示，微软正在“追求新的战略，投入更多资源，培养更强大的网络安全文化。”这包括在CSRB建议的基础上增加“另外18个具体的安全目标”，并“为数字技术史上最大的网络安全工程项目——微软安全未来计划(SFI)——投入相当于3.4万名全职工程师。”

史密斯表示，微软还加强了安全团队，“本财年增加了1600多名安全工程师”，并计划在下一财年“再增加800个新的安全职位”。此外，该公司的首席信息安全官(CISO)现在将与高级副首席信息安全官一起管理一个办公室，“以扩大对各个工程团队的监督，以评估并确保安全‘融入’工程决策和流程。”

史密斯将SFI描述为“一项多年的努力”，将微软开发产品和服务的所有努力集中在“实现最高安全标准”上。他警告说，在线威胁总是在不断发展，但他表示，微软致力于将项目建立在核心网络安全原则的基础上，这些原则将优先考虑产品设计的安全性，并确保保护永远不是可选的，总是默认启用。

这一举措是微软赢回信任计划的一部分，此前史密斯和微软似乎不愿为俄罗斯的网络攻击承担全部责任。据ProPublica报道，史密斯在2021年告诉国会，在那次网络攻击中，“微软的任何产品或服务都没有漏洞被利用”，同时他认为“客户本可以采取更多措施来保护自己”。

据ProPublica报道，在与佛罗里达州共和党参议员马可·卢比奥(Marco Rubio)的交流中，史密斯指出，客户本可以付费购买“像微软Defender这样的防病毒产品，并使用另一款名为Intune的微软产品来保护设备”。

现在，史密斯周四告诉国会，“微软对CSRB报告中提到的每一个问题都承担责任。毫不含糊，毫不犹豫。而且没有任何防御意识。”

微软向监管机构提出了建议

史密斯表示，微软已邀请美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)参加关于SFI和微软其他工程目标的“详细技术简报”，以解释“我们实施CSRB建议的具体方式”。

史密斯反复向国会强调，仅靠微软无法解决美国的网络安全问题。尽管他承认微软“到目前为止负有首要和最大的责任”来听取CSRB的报告，“没有一家公司可以保护一个国家和其他国家免受四个侵略性政府发动的网络战争的影响，”史密斯说。

虽然有人认为美国政府对微软的过度依赖本身就是一个问题，但史密斯认为，美国政府在加强网络安全保护方面也负有一定责任。

“网络领域正变得越来越无法无天、危险和充满敌意，”史密斯作证说。

史密斯建议，委员会成员可以通过资助关键的网络安全项目、加强对策、“施加适当的惩罚”和高额罚款来“更多地支持网络防御”，以阻止恶意活动。

史密斯说:“网络安全保护需要多个国家的全行业和全社会的共同努力。”“我们每个人都可以而且必须相互学习，共同努力保护我们国家和世界的网络安全。”

微软对举报人报告的回应

哈里斯因缺乏安全文化而离开微软，目前在一家名为CrowdStrike的竞争对手网络安全公司工作。他告诉ProPublica，以前微软的客户，包括美国政府，“从来没有机会”防御已知的漏洞。

哈里斯对ProPublica表示:“这些决定不是基于对微软客户最好的考虑，而是基于对微软最好的考虑。”

微软没有对ProPublica的报道提出异议。相反，该公司提供了一份声明，声称“保护客户始终是我们的首要任务”，这似乎与史密斯今天在国会的证词相矛盾。

微软发言人表示:“我们的安全响应团队认真对待所有安全问题，并对每个案例进行尽职调查，进行彻底的人工评估，并与工程和安全合作伙伴进行交叉确认。”他声称，当哈里斯指出一个重大安全风险时，微软的回应“得到了多次审查，符合行业共识。”

这位发言人进一步解释说，微软历来优先考虑其“安全响应工作，考虑潜在的客户中断、可利用性和可用的缓解措施”。

微软发言人表示:“我们将继续听取安全研究界的意见，并改进我们的方法，以确保我们满足客户的期望，并保护他们免受新出现的威胁。”

周四，史密斯就微软的安全问题向国会道歉，他说:“愿意承认我们的缺点并正面解决问题，激励我们从错误中吸取教训，并应用我们学到的教训，这样我们就能不断地变得更好。”

史密斯说:“我们承担过去的责任，并正在运用我们所学到的知识来帮助建立一个更安全的未来。”他发誓微软将很快“建立更强大的多层防御，以对抗最复杂、资源最丰富的民族国家行为体。”

在立法者权衡这家云服务提供商是否可以被信任来维护国家安全的同时，微软可能会继续被置于显微镜下。