Władze USA zajęły się głośną sprawą naruszenia bezpieczeństwa poczty w chmurze Microsoftu, do jakiego doszło w 2023 r. Skutkiem były włamania na konta należące do podmiotów rządowych USA. Raport przygotowany przez Komisję Rewizyjną Stanów Zjednoczonych (U.S. Review Board) ostro krytykuje koncern.

Włamaniom „można było zapobiec i nigdy nie powinno było do tego dojść” – stwierdziła komisja ds. bezpieczeństwa cybernetycznego (CSRB).

Zarząd Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych ustalił, że „kultura bezpieczeństwa Microsoftu jest nieodpowiednia i wymaga gruntownej zmiany”, co jest pilną kwestią „w świetle centralnego miejsca firmy w ekosystemie technologicznym oraz poziomu zaufania, jakim darzą ją klienci darzą w zakresie ochrony swoich danych i operacji.”

Z poprzednich raportów wynika, że w wyniku naruszenia bezpieczeństwa z 10 kont departamentu stanu USA skradziono łącznie 60 tys. e-maili. Hakerzy mogli buszować w niektórych z tych skrzynek pocztowych co najmniej przez 6 tygodni – wynika z ustaleń. Atak przypisywany jest powiązanej z Chinami grupie hakerskiej Storm-0558. Naruszono także m.in. konta e-mail sekretarza handlu i innych urzędników tego departamentu (ministerstwa), jak też e-mail ambasadora USA w Chinach.

Kaskada błędów”

Raport CSRB mówi o „kaskadzie błędów Microsoftu”, wskazuje m.in. na „niewykrycie przez firmę naruszenia bezpieczeństwa laptopa pracownika niedawno przejętej firmy, przed umożliwieniem mu połączenia z siecią korporacyjną Microsoftu w 2021 r.” oraz „decyzję Microsoftu o niekorygowaniu w odpowiednim czasie swoich nieprawidłowych publicznych oświadczeń na temat tego incydentu”.

Komisja twierdzi, że oceniła również „praktyki bezpieczeństwa u innych dostawców usług w chmurze, którzy utrzymywali kontrole bezpieczeństwa, których nie wykonał Microsoft”.

Potrzebne duże zmiany

CSRB uznało, że Microsoft nie traktuje już bezpieczeństwa jako najwyższego priorytetu, „odszedł od tego etosu i musi go natychmiast przywrócić, co stanowi najwyższy priorytet korporacyjny” – radzi komisja.

W raporcie zauważono, że CSRB „jest świadoma niedawnych zmian Microsoftu na stanowiskach kierowniczych w dziedzinie bezpieczeństwa” oraz „Inicjatywy na rzecz bezpiecznej przyszłości”, którą koncern ogłosił w listopadzie 2023 r. (wprowadził zmiany w procesie inżynierii oprogramowania w celu poprawy bezpieczeństwa).

Jednak zdaniem komisji inicjatywa ta w obecnej formie nie jest wystarczająca, aby rozwiązać problemy związane z bezpieczeństwem.

Źródło: CRN USA