Cyberatak, którego ofiarą padły amerykańskie instytucje rządowe i korporacje, podsycił debatę pomiędzy koncernami technologicznymi na temat bezpiecznego sposobu przechowywania danych. Microsoft od kilku lat konsekwentnie zachęca klientów do korzystania z chmury publicznej. Szefowie tego koncernu uważają też, że w przypadku ataków na aplikacje chmurowe można wykryć anomalie i oznaki naruszenia w sposób, który nie jest możliwy w środowisku lokalnym. Po drugiej stronie barykady znaleźli się przedstawiciele trzech innych technokorporacji: Della, HPE oraz IBM-a. Ci z kolei uważają, że optymalnym środowiskiem do przechowywania danych jest chmura hybrydowa. Co ciekawe, część mediów stawia w złym świetle nie tylko SolarWinds, ale również Microsoft. Według The Wall Street Journal hakerzy wykorzystali znane od dawna problemy z konfiguracją produktów Microsoftu i uzyskali dostęp do e-maili oraz dokumentów przechowywanych w chmurze. Z kolei Reuters poinformował o zaatakowaniu Microsoftu za (niechcianym) pośrednictwem SolarWinds, dzięki czemu rosyjscy hakerzy wykorzystali oprogramowanie tej firmy do inwazji na inne ofiary. Odpowiedź koncernu z Redmond brzmi: „To błędna interpretacja i spekulacja. Nie ma dowodów na to, że SolarWinds zaatakowano za pośrednictwem usługi Office 365”.

Rządowi i branżowi eksperci ds. cyberbezpieczeństwa już od niemal trzech miesięcy próbują rozwikłać szczegóły dotyczące wspomnianego incydentu. Brad Smith, prezes i dyrektor Microsoftu ds. prawnych, podczas przesłuchania w Izbie Reprezentantów oznajmił, że migracja do chmury publicznej ma kluczowe znaczenie dla poprawy bezpieczeństwa w wielu organizacjach. Wpis o podobnej treści znalazł się na firmowym blogu, gdzie koncern odniósł się w do afery SolarWinds. Zdaniem Microsoftu usługi oferowane w chmurze publicznej gwarantują organizacjom najbardziej niezawodną ochronę, zaś podejście hybrydowe wprowadza niepotrzebne zamieszanie i otwiera przed hakerami dodatkową furtkę. Tej opinii nie podziela Paul Cormier, CEO Red Hata.

– Nie można powiedzieć, że chmura hybrydowa jest mniej bezpieczna. Do każdego oprogramowania można się włamać, również do tego znajdującego się w chmurze publicznej – mówi Cormier.

Na osobną uwagę zasługuje postawa Amazona dystansującego się od całej sprawy. Przedstawiciele największego chmurowego usługodawcy nie wzięli udziału w poświęconemu aferze przesłuchaniu przez Senat Stanów Zjednoczonych. Firma Jeffa Bezosa ograniczyła się do oświadczenia, że problem SolarWinds jej nie dotyczy. Taka postawa wywołała irytację wśród amerykańskich senatorów, bo choć według badaczy bezpieczeństwa nie ma żadnych dowodów na to, że serwery Amazona zostały bezpośrednio naruszone, to hakerzy wykorzystali rozległe centra danych tego usługodawcy do przeprowadzenia kluczowej części ataku.

Paul Cormier nie wierzy, że klienci zaczną przenosić wszystkie dane do chmury publicznej. Twierdzi, że to niepraktyczne, zwłaszcza w przypadku firm z branży finansowej zmuszonych przechowywać dane w swojej siedzibie ze względu na bezpieczeństwo lub regulacje prawne. Szpilę Microsoftowi wbija też Dell Technologies. Według przedstawicieli tej firmy stawianie pytań o bezpieczeństwo chmury hybrydowej służy szerszej narracji narzucanej przez Microsoft. Tymczasem nadal większość firm oraz instytucji przetwarza i przechowuje dane krytyczne we własnych serwerowniach. W podobnym tonie wypowiada się Keith White, starszy wiceprezes ds. usług chmury hybrydowej w HPE.

– Przechowywanie danych w środowisku lokalnym jest postrzegane przez wielu klientów jako bezpieczniejsza opcja od przenoszenia ich do chmury publicznej. Klient chce wiedzieć, gdzie znajdują się jego cyfrowe zasoby – podkreśla Keith White.

Przypomnijmy jeszcze, że atak za pośrednictwem SolarWinds dotknął co najmniej dziewięć agencji federalnych i około setki prywatnych firm, sięgając co najmniej września 2019 r. Władze USA twierdzą, że intruzami byli w tym przypadku prawdopodobnie agenci rosyjskiego wywiadu. Moskwa zaprzeczyła, ale mówi się, że nadchodzące tygodnie przyniosą kolejne rewelacje dotyczące tego ataku.

Artykuł powstał na podstawie materiałów z The Wall Street Journal.