Microsoft ostro skrytykowany przez władze USA za naruszenie bezpieczeństwa
„Kultura bezpieczeństwa Microsoftu jest nieodpowiednia i wymaga gruntownej zmiany” - orzekła komisja.
W ocenie komisji CSRB działania Microsoftu w celu poprawy cyberbezpieczeństwa są niewystarczające.
Władze USA zajęły się głośną sprawą naruszenia bezpieczeństwa poczty w chmurze Microsoftu, do jakiego doszło w 2023 r. Skutkiem były włamania na konta należące do podmiotów rządowych USA. Raport przygotowany przez Komisję Rewizyjną Stanów Zjednoczonych (U.S. Review Board) ostro krytykuje koncern.
Włamaniom „można było zapobiec i nigdy nie powinno było do tego dojść” – stwierdziła komisja ds. bezpieczeństwa cybernetycznego (CSRB).
Zarząd Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych ustalił, że „kultura bezpieczeństwa Microsoftu jest nieodpowiednia i wymaga gruntownej zmiany”, co jest pilną kwestią „w świetle centralnego miejsca firmy w ekosystemie technologicznym oraz poziomu zaufania, jakim darzą ją klienci darzą w zakresie ochrony swoich danych i operacji.”
Z poprzednich raportów wynika, że w wyniku naruszenia bezpieczeństwa z 10 kont departamentu stanu USA skradziono łącznie 60 tys. e-maili. Hakerzy mogli buszować w niektórych z tych skrzynek pocztowych co najmniej przez 6 tygodni – wynika z ustaleń. Atak przypisywany jest powiązanej z Chinami grupie hakerskiej Storm-0558. Naruszono także m.in. konta e-mail sekretarza handlu i innych urzędników tego departamentu (ministerstwa), jak też e-mail ambasadora USA w Chinach.
„Kaskada błędów”
Raport CSRB mówi o „kaskadzie błędów Microsoftu”, wskazuje m.in. na „niewykrycie przez firmę naruszenia bezpieczeństwa laptopa pracownika niedawno przejętej firmy, przed umożliwieniem mu połączenia z siecią korporacyjną Microsoftu w 2021 r.” oraz „decyzję Microsoftu o niekorygowaniu w odpowiednim czasie swoich nieprawidłowych publicznych oświadczeń na temat tego incydentu”.
Komisja twierdzi, że oceniła również „praktyki bezpieczeństwa u innych dostawców usług w chmurze, którzy utrzymywali kontrole bezpieczeństwa, których nie wykonał Microsoft”.
Potrzebne duże zmiany
CSRB uznało, że Microsoft nie traktuje już bezpieczeństwa jako najwyższego priorytetu, „odszedł od tego etosu i musi go natychmiast przywrócić, co stanowi najwyższy priorytet korporacyjny” – radzi komisja.
W raporcie zauważono, że CSRB „jest świadoma niedawnych zmian Microsoftu na stanowiskach kierowniczych w dziedzinie bezpieczeństwa” oraz „Inicjatywy na rzecz bezpiecznej przyszłości”, którą koncern ogłosił w listopadzie 2023 r. (wprowadził zmiany w procesie inżynierii oprogramowania w celu poprawy bezpieczeństwa).
Jednak zdaniem komisji inicjatywa ta w obecnej formie nie jest wystarczająca, aby rozwiązać problemy związane z bezpieczeństwem.
Źródło: CRN USA
Podobne aktualności
Przetarg: 27 mln zł na subskrypcje i usługi Microsoftu
Agencja Restrukturyzacji i Modernizacji Rolnictwa zamawia m.in. ok. 13 tys. subskrypcji na M365.
Activision otwiera w Polsce studio gamingowe
Gamingowy koncern przejęty przez Microsoft za 69 mld dol. wszedł do Polski.