Microsoft se našao pod oštrim kritikama u izvještaju grupe CSRB, koja je formirana 2021. godine od strane Sekretara domovinske sigurnosti SAD kako bi se pregledali i analizirali veliki cyber incidenti.
Izvještaj na 34. stranice se fokusira na velike incidente iz maja i juna 2023. godine, kada se vjeruje da je kineska hakerska grupa Storm-0558 kompromitirala servise Microsoft Exchange Online i preuzela mailove više od 500 ljudi i 22 organizacije širom svijeta, uključujući i visoke američke državne službenike.
CSRB u izvještaju kritikuje Microsoft za njegovu lošu sigurnosnu kulturu, opisujući je kao “neadekvatnu” i “nedovoljnu” i “zahtijeva temeljite promjene, pogotovo uzimajući u obzir centralnu ulogu kompanije u tehnološkom ekosistemu i nivo povjerenja koje joj pružaju korisnici u zaštitu svojih podataka i operacija.”
Izvješće također kritizira javnu komunikaciju Microsofta, navodeći da je kompanija tek prošlog mjeseca ispravila objavu na blogu iz septembra 2023. o osnovnom uzroku cyber napada nakon ponovljenih pitanja Odbora.
Na kraju izvještaja CSRB-a, navodi se da Microsoft i dalje ne zna tačno kako je Storm-0558 dobio ključni potpisni ključ Microsoft Services Account (MSA) iz 2016. godine koji je korišten za upad 2023. godine.
U izvještaju se takođe navodi da rukovodstvo Microsofta treba razmotriti promjenu razvoja proizvoda, prioritizirajući sigurnosne mjere nad novim funkcijama proizvoda, efektivno oživljavajući duh inicijative “Trustworthy Computing” koju je slavno pokrenuo suosnivač Microsofta Bill Gates 2002. godine.
U CSRB-ovom izvještaju zaključuju:
“Odbor zaključuje da je Microsoft odstupio od ovog etičkog kodeksa i da ga treba odmah vratiti kao najvažniji prioritet kompanije. Odbor je upućen u nedavne promjene Microsofta u rukovodstvu vezano za sigurnost i ‘Inicijativi za sigurnu budućnost’ koju je objavio u novembru 2023. Odbor vjeruje da ove i druge aktivnosti vezane za sigurnost treba direktno i pažljivo nadgledati izvršni direktor Microsofta i njegov Upravni odbor, te da svi visoki rukovodioci budu smatrani odgovornim za implementaciju svih neophodnih promjena sa najvećom hitnošću.”
Upitani za komentar, iz Microsofta poručuju:
“Cijenimo rad CSRB-a na istrazi uticaja dobro opremljenih državnih aktera koji djeluju kontinuirano i bez značajnog odvraćanja. Kako smo objavili u našoj Inicijativi za sigurnu budućnost, nedavni događaji su pokazali potrebu za usvajanjem nove kulture razvoja sigurnosti u našim vlastitim mrežama. Iako nijedna organizacija nije imuna na cyber napade dobro opremljenih protivnika, mobilizirali smo naše inžinjerske timove da identifikuju i izmjene zastarjelu infrastrukturu, poboljšaju procese i provedu sigurnosne standarde. Naši inžinjeri za sigurnost i dalje rade na očvršćavanju svih naših sistema protiv napada i implementiranju još robustnijih senzora i evidencija kako bi nam pomogli u otkrivanju i odbijanju cyber napada od strane naših protivnika.”
U izjavi se dodatno navodi da će Microsoft “također pregledati konačni izvještaj za dodatne preporuke.”
Pročitajte cijeli izvještaj ovdje.