Microsoft bị chính phủ và các đối thủ công nghệ tấn công sau vụ hack “có thể ngăn ngừa được”, liên kết lương của giám đốc điều hành với các mối đe dọa trên mạng

Thay đổi tại Microsoft sau vụ tấn công mạng từ Trung Quốc

Sau vụ tấn công mạng từ Trung Quốc vào mùa hè năm ngoái, Microsoft đã phải chịu chỉ trích từ cả chính phủ Hoa Kỳ lẫn các đối thủ cạnh tranh vì không ngăn chặn được cuộc tấn công này. Một thay đổi mà gã khổng lồ công nghệ này đang thực hiện để đối phó là liên kết chặt chẽ hơn việc trả lương cho giám đốc điều hành với an ninh mạng. Vào tháng 4, chính quyền Biden đã mô tả vụ tấn công Microsoft vào mùa hè năm ngoái do Trung Quốc gây ra là “có thể ngăn chặn được”. Hội đồng Đánh giá An toàn Mạng thuộc Bộ An ninh Nội địa Hoa Kỳ đã chỉ ra “một loạt các lỗi” và văn hóa doanh nghiệp tại Microsoft “ưu tiên thấp cho các khoản đầu tư vào bảo mật doanh nghiệp và quản lý rủi ro nghiêm ngặt”. Các đối thủ cạnh tranh đã tận dụng lợi thế từ lỗ hổng về an ninh mạng, trong đó tuần này đã nêu bật các phát hiện của chính phủ và lưu ý, “Báo cáo của CSRB cũng nêu bật cách nhiều nhà cung cấp, bao gồm Google, đã và đang làm đúng bằng cách thiết kế các phương pháp bảo vệ chống lại các chiến thuật được minh họa trong báo cáo”. CrowdStrike đã đăng bài về điều này trên trang web của mình. Các cuộc tấn công của quốc gia từ Trung Quốc và Nga đang gia tăng và nhắm vào các tập đoàn trên toàn bộ nền kinh tế, cũng như chính phủ Hoa Kỳ và cơ sở hạ tầng xã hội. Microsoft đã trở thành một mục tiêu rất lớn, bao gồm các vụ tấn công của Nga và Trung Quốc. Có áp lực ngày càng tăng từ chính phủ Hoa Kỳ đối với công ty nhằm cải thiện các giao thức an ninh mạng của mình, với luật sư doanh nghiệp hàng đầu của công ty, Brad Smith, đã được triệu tập để làm chứng tại Đồi Capitol. Microsoft đang ở chế độ kiểm soát thiệt hại. Sau một vụ tấn công vào các tài khoản email của giám đốc điều hành vào tháng 1 được cho là do tin tặc Nga thực hiện, công ty đã tuân thủ các quy tắc tiết lộ an ninh mạng liên bang mới, mặc dù về mặt kỹ thuật, đây không phải là một vụ tấn công “quan trọng” mà công ty được yêu cầu theo luật chia sẻ, dẫn đến các cuộc thảo luận tại các công ty khác về việc vạch ra ranh giới ở đâu đối với các tiết lộ mới. Quyết định của Microsoft liên kết việc trả lương cho giám đốc điều hành với hiệu quả an ninh mạng đang thúc đẩy các cuộc thảo luận tại các công ty khác. Microsoft đã ra mắt Sáng kiến An ninh của mình vào tháng 11 và đầu tháng này, công ty đã công bố trong một bài đăng trên blog của Charlie Bell, phó chủ tịch điều hành của Microsoft Security, rằng với tư cách là một phần trong các mục tiêu SFI của mình, công ty sẽ “truyền đạt trách nhiệm giải trình bằng cách dựa một phần tiền lương của Đội ngũ lãnh đạo cấp cao của công ty vào tiến độ đạt được các kế hoạch và mục tiêu bảo mật của chúng tôi”. Một phát ngôn viên của Microsoft đã từ chối cung cấp thông tin chi tiết về khoản bồi thường, nhưng cho biết với tư cách là một công ty đóng vai trò trung tâm trong hệ sinh thái kỹ thuật số của thế giới, công ty có “trách nhiệm quan trọng” trong việc coi an ninh mạng là ưu tiên hàng đầu. Phát ngôn viên cho biết đây là một phần trong “những thay đổi quản trị quan trọng [được thực hiện] của công ty để hỗ trợ hơn nữa cho văn hóa bảo mật là ưu tiên hàng đầu”. Các công ty thường cung cấp thêm thông tin chi tiết, mặc dù thường chỉ giới hạn ở một số chi tiết, về các mục tiêu hiệu suất trả lương cho giám đốc điều hành trong các bản ủy quyền họp thường niên, trong trường hợp của Microsoft, gần đây nhất là vào tháng 12 năm 2023. Việc các tập đoàn liên kết một phần trăm tiền thưởng hàng năm cho giám đốc điều hành với các mục tiêu khác nhau, không chỉ để đáp ứng các mục tiêu về doanh số và lợi nhuận, đã trở nên phổ biến hơn. Trong những năm gần đây, nhiều công ty Fortune 500, bao gồm cả Apple, đã thêm tiền thưởng được liên kết với các chỉ số ESG. Các mục tiêu về quản lý rủi ro và an toàn từ lâu đã trở thành một phần trong việc trả lương cho giám đốc điều hành, có từ thời kỳ trước khi ESG ra đời – chẳng hạn như các công ty khai thác và năng lượng, cũng như các nhà sản xuất và công nghiệp, liên kết tiền thưởng với các mục tiêu về môi trường và an toàn của người lao động. Theo Aalap Shah, giám đốc điều hành tại công ty tư vấn về trả lương cho giám đốc điều hành Pearl Meyer, các cuộc thảo luận về tiền lương của giám đốc điều hành liên quan đến an ninh mạng đã bắt đầu diễn ra tại các công ty khác kể từ khi Microsoft thực hiện động thái này. Ông cho biết đây không phải là một thông lệ phổ biến về tiền lương hiện nay, nhưng ông nói thêm, “sau thông báo của Microsoft, tôi đã nhận được các cuộc gọi hỏi, ‘Chúng ta có nên làm điều đó không? Liệu nó có hiệu quả không?’ … Những cuộc trò chuyện này rất giống với những cuộc trò chuyện mà chúng tôi đã có cách đây vài năm với các chỉ số ESG và một tỷ lệ đáng kể các công ty đã áp dụng chúng”. Shah cho biết có thể lập luận rằng an ninh mạng là một vấn đề cốt lõi có thể sánh ngang với an toàn trong khai thác mỏ hoặc công nghiệp. Nhưng có một sự khác biệt lớn giữa doanh nghiệp trong lĩnh vực an ninh mạng và, ví dụ, nhà bán lẻ, khi đưa ra lập luận này. Và ngay cả trong các ngành công nghiệp ngoài công nghệ và an ninh mạng, nơi bảo mật dữ liệu là vấn đề cốt lõi, chẳng hạn như dịch vụ tài chính và chăm sóc sức khỏe – nơi đã trở thành mục tiêu của các vụ tấn công nổi tiếng – đây vẫn chưa phải là một trường hợp rõ ràng để liên kết mức lương của các giám đốc điều hành cấp cao nhất. , chẳng hạn như giám đốc tài chính hoặc cố vấn pháp lý, với an ninh mạng, so với giám đốc an ninh thông tin hoặc giám đốc công nghệ, cụ thể là. Một số công ty sẽ lập luận rằng an ninh mạng đã ăn sâu vào văn hóa của họ và động thái như vậy sẽ là thừa, nhưng với sự gia tăng của các mối đe dọa tấn công mạng và tầm quan trọng ngày càng tăng của chi tiêu cho an ninh mạng đối với lợi nhuận của các công ty như Microsoft, chỉ số lương cho giám đốc điều hành mới này có thể đã quá hạn. Theo các chuyên gia, việc trả lương cho giám đốc điều hành, ở một mức độ nào đó, phụ thuộc vào việc đạt được các mục tiêu về an ninh mạng là một khởi đầu tốt để xây dựng một nền văn hóa bảo mật tại cấp cao nhất của hệ thống phân cấp công ty, đây là điều cơ bản để thành công. “Thông điệp quan trọng nhất được gửi đi cả về nội bộ lẫn bên ngoài là nó rất quan trọng đối với văn hóa của họ và ngày càng nhiều công ty sẽ làm theo, bất kể lợi nhuận có đáng kể hay không”, Shah cho biết. “Những gì họ muốn làm là đảm bảo rằng nó đang trở nên ăn sâu vào văn hóa, và con đường để thực hiện điều đó là liên kết nó với tiền lương”. “An ninh mạng phải nằm trong văn hóa của tổ chức”, Stuart Madnick, giáo sư công nghệ thông tin tại MIT, cho biết. Nhưng Madnick nói rằng việc ưu tiên bảo mật có thể khó khăn trong một tập đoàn, vì nó thường có nghĩa là phải đầu tư tiền vào những nơi không thể hiện rõ trên lợi nhuận. Madnick nói: “Văn hóa doanh nghiệp ưu tiên các thứ khác hơn là bảo mật và quản lý rủi ro”. “Làm thế nào để bạn biết mình an toàn đến mức nào? Có lẽ không ai nhắm mục tiêu vào bạn tại thời điểm đó. Nhưng nếu bạn tăng doanh số bán hàng lên 20%, thì đó là tiền trong ngân hàng”. Nghiên cứu của Madnick chỉ ra rằng những khoảng cách trong văn hóa doanh nghiệp thường là thủ phạm trong các vụ tấn công nổi tiếng, không chỉ là ví dụ của Microsoft. Ông cho biết phòng ngừa cũng giống như có sự nhìn xa trông rộng. Ông đã trích dẫn các nghiên cứu của MIT về các vụ vi phạm bảo mật của Equifax và Capital One trong những năm gần đây như những ví dụ nổi bật khác. Ông nói: “Mặc dù một số rủi ro là những bất ngờ thực sự khó có thể được nhận ra trước, nhưng nhiều rủi ro lại giống như báo động trộm được biết là bị lỗi”. Equifax và Capital One đã không trả lời các yêu cầu bình luận. Madnick mô tả tâm lý của tập đoàn thường là “quyết định có hệ thống, bán có ý thức”. Điều đó có nghĩa là các quyết định quản lý được đưa ra mà không phân tích các rủi ro về an ninh mạng mà quyết định đưa ra. Việc liên kết tiền lương của giám đốc điều hành với các mục tiêu về bảo mật không nhất thiết có nghĩa là cách tiếp cận đó sẽ biến mất khỏi văn hóa doanh nghiệp, nhưng ông cho biết nó có ý nghĩa tượng trưng, ​​và từ sổ đăng ký tượng trưng đó, thực tế thực sự có thể theo sau. Đối với Microsoft, rủi ro cao hơn so với hầu hết các tổ chức khác. Các nền tảng và hệ thống của công ty có

Nguồn: https://cnbc.com

Xem bài viết gốc tại đây