Największa na świecie firma technologiczna ma problem z bezpieczeństwem. W ciągu ostatnich kilku lat firmą Microsoft wstrząsnęła seria głośnych incydentów związanych z bezpieczeństwem, a zjadliwy raport Komisji ds. Przeglądu Bezpieczeństwa Cybernetycznego niedawno zakończone że „kultura bezpieczeństwa Microsoftu była nieodpowiednia i wymaga gruntownej zmiany”. Wewnątrz Microsoftu istnieją obawy, że ataki mogą poważnie podważyć zaufanie do firmy.
Źródła podają, że zespoły inżynieryjne i ds. bezpieczeństwa Microsoftu starały się odpowiedzieć na nowe ataki tych samych hakerów sponsorowanych przez rosyjskie państwo, którzy stali za Incydent z SolarWinds. Ta grupa hakerska znana była jako Nobelium lub Midnight Blizzard w stanie szpiegować konta e-mail niektórych członków wyższego kierownictwa Microsoftu w zeszłym roku i nawet ukraść kod źródłowy Ostatnio.
The ciągłe ataki wystraszyło wiele osób w firmie Microsoft, a zespoły pracowały nad udoskonaleniem zabezpieczeń firmy Microsoft i próbami zapobiegania dalszym naruszeniom, podczas gdy hakerzy przeglądają skradzione informacje i próbują znaleźć więcej słabych punktów. Bezpieczeństwo to zawsze zabawa w kotka i myszkę, ale sytuacja staje się jeszcze trudniejsza, gdy hakerzy szpiegują Twoją komunikację.
To jednak tylko najnowsze z długiej listy naruszeń bezpieczeństwa. Na początku 2021 r. hakerzy z chińskiego rządu zaatakowali serwery Microsoft Exchange za pomocą exploitów dnia zerowego, umożliwiając im dostęp do kont e-mail i instalowanie złośliwego oprogramowania na serwerach hostowanych przez firmy. Ostatni rok, Chińscy hakerzy włamali się do e-maili rządu USA dzięki exploitowi Microsoft Cloud. Incydent umożliwił hakerom dostęp do internetowych skrzynek odbiorczych 22 organizacji, co dotknęło ponad 500 osób, w tym pracowników rządu USA pracujących nad bezpieczeństwem narodowym.
Zdaniem komisji zeszłorocznemu atakowi e-mailowemu rządu USA, opisanemu przez amerykańską Komisję ds. przeglądu bezpieczeństwa cybernetycznego jako „kaskadę błędów bezpieczeństwa”, „można było zapobiec”. Ustalono również, że szereg decyzji podejmowanych w firmie Microsoft przyczyniło się do powstania „kultury korporacyjnej, która pozbawiła priorytet inwestycji w bezpieczeństwo przedsiębiorstwa i rygorystycznego zarządzania ryzykiem”. Microsoft nadal nie jest w 100% pewien, w jaki sposób skradziono klucz umożliwiający chińskim hakerom fałszowanie tokenów i uzyskiwanie dostępu do bardzo wrażliwych skrzynek e-mail.
Główną reakcją Microsoftu na te ataki była nowa inicjatywa na rzecz bezpiecznej przyszłości (SFI), zmianę sposobu projektowania, budowania, testowania i obsługi oprogramowania i usług. Ujawniony w listopadzie, przed ujawnieniem rosyjskiego szpiegowania poczty elektronicznej, SFI powinien być największą zmianą w wysiłkach Microsoftu w zakresie bezpieczeństwa od czasu uruchomienia przez firmę cyklu życia oprogramowania (SDL) w 2004 roku. Sam SDL był odpowiedzią na niszczycielski robak Blaster, który uległ awarii komputerów z systemem Windows XP w 2003 roku, co zmusiło firmę do większego skupienia się na bezpieczeństwie.
Publicznie niewiele widzieliśmy na temat tej nowej inicjatywy Secure Future Initiative, ale za kulisami Microsoft jest bardzo zaniepokojony utratą zaufania klientów. Według źródeł, na wewnętrznej konferencji kierownictwa na początku tego miesiąca zarówno dyrektor generalny Microsoft Satya Nadella, jak i prezes Brad Smith mówili o konieczności priorytetowego traktowania bezpieczeństwa ponad wszystko inne. Na najwyższych stanowiskach w firmie Microsoft panuje obawa, że problemy związane z bezpieczeństwem osłabią zaufanie i że w rezultacie firma będzie musiała odzyskać zaufanie swoich klientów.
Rozumiem, że kierownicy inżynierii w firmie Microsoft przedkładają teraz bezpieczeństwo nad nowe funkcje lub szybszą wysyłkę produktów. Orzeczenie to nadeszło zaledwie kilka tygodni po tym, jak Komisja Rewizyjna ds. Bezpieczeństwa Cybernetycznego stwierdziła, że Microsoft powinien „porzucić priorytety rozwojowi funkcji w całej infrastrukturze chmurowej firmy i pakiecie produktów do czasu wprowadzenia znacznych ulepszeń w zakresie bezpieczeństwa”.
Powiedziano mi, że zarówno sztuczna inteligencja, jak i bezpieczeństwo to obecnie dwa najważniejsze obszary zainteresowań Microsoftu, zwłaszcza że szybkie wdrażanie przez firmę technologii sztucznej inteligencji powoduje jeszcze więcej potencjalnych problemów związanych z bezpieczeństwem. W miarę jak coraz więcej klientów Microsoftu przenosi się do chmury i wdraża sztuczną inteligencję, wzrasta zapotrzebowanie na bezpieczeństwo. W wyniku tej zmiany w chmurze Microsoft zbudował wartą 20 miliardów dolarów firmę zajmującą się bezpieczeństwem, ale opiera się to w dużej mierze na dodatkowej sprzedaży zabezpieczeń oprócz istniejących subskrypcji.
Wieloletni reporter Microsoftu Dzwoniła Mary Jo Foley na początku tego tygodnia, aby Microsoft „zaprzestał sprzedaży zabezpieczeń jako oferty premium”. Foley podkreśla, że niektóre narzędzia zabezpieczające są dostępne jedynie jako dodatki do subskrypcji Microsoft 365 i że niektórzy klienci wcześniej nie mogli zobaczyć kluczowych informacji rejestrowanych, które mogłyby w rezultacie umożliwić im wykrycie incydentów.
Tę opinię podziela były starszy dyrektor ds. polityki cybernetycznej Białego Domu, AJ Grotto. „Jeśli wrócisz do odcinka SolarWinds sprzed kilku lat… [Microsoft] zasadniczo polegało na sprzedaży możliwości pozyskiwania drewna agencjom federalnym” – stwierdził Grotto w ankiecie wywiad z Rejestr Ostatnio. „W rezultacie agencjom naprawdę trudno było zidentyfikować swoje narażenie na naruszenie SolarWinds”.
Firma Microsoft odpowiedziała na skargi dotyczące rejestrowania informacji, zwiększając w ubiegłym roku liczbę dostępnych dzienników z 90 do 180 dni, ale organizacje nadal muszą wybierać droższe subskrypcje platformy Microsoft 365 E5, jeśli chcą korzystać z większości funkcji zabezpieczeń i zgodności firmy Microsoft.
Mimo że Microsoft musiał niedawno ujawnić, że rosyjscy hakerzy ukradli kod źródłowy, kilka dni później firma ogłosiła, że to zrobi rozpocząć sprzedaż swojego Copilot for Security z cenami typu pay-as-you-go. Generatywny chatbot AI jest przeznaczony dla specjalistów ds. cyberbezpieczeństwa i ma pomóc im chronić się przed zagrożeniami, ale firmy będą musiały zapłacić 4 USD za godzinę użytkowania, jeśli będą chciały korzystać z modelu sztucznej inteligencji firmy Microsoft dostosowanego do zabezpieczeń.
Ta sprzedaż dodatkowa i ogromne uzależnienie organizacji od oprogramowania Microsoftu nie pozostały niezauważone również przez prawodawców. Rząd USA w dużym stopniu polega na oprogramowaniu Microsoftu, a naruszenia bezpieczeństwa poczty elektronicznej jeszcze bardziej skupiły się na tej relacji. „Zależność rządu USA od Microsoftu stwarza poważne zagrożenie dla bezpieczeństwa narodowego USA” – mówi senator Ron Wyden (D-OR) w oświadczenie do Przewodowy. Wyden od lat krytykuje wysiłki Microsoftu w zakresie cyberbezpieczeństwa, dzwonić po dochodzenie prowadzone przez rząd federalny po zeszłorocznym włamaniu do poczty elektronicznej rządu USA.
To, jak Microsoft zareaguje na rosnącą krytykę dotyczącą swoich praktyk bezpieczeństwa w nadchodzących miesiącach, pokaże. Choć Komisja Rewizyjna ds. Bezpieczeństwa Cybernetycznego uważa, że kultura bezpieczeństwa firmy Microsoft jest zła, Microsoft się z tym nie zgadza. „Zdecydowanie nie zgadzamy się z tą charakterystyką” – mówi Steve Faehl, dyrektor ds. technologii w federalnym dziale bezpieczeństwa firmy Microsoft, w oświadczenie do Przewodowy. „Chociaż zgadzamy się, że nie byliśmy doskonali i mamy nad czym pracować”.
Grotto przekonuje jednak, że zachowanie Microsoftu zmieni się tylko wtedy, gdy zostanie do tego zmuszony Rejestr wywiad. „Jeśli ta analiza nie spowoduje zmiany zachowań klientów, którzy mogą chcieć szukać gdzie indziej, zachęta dla Microsoftu do wprowadzenia zmian nie będzie tak silna, jak powinna”.