Сигурността на продуктите на Microsoft предизвика разгорещен дебат сред политиците и експертите по информационна сигурност в САЩ за това колко добре са защитени системите на най-голямата технологична компания в света.
Съветът за преглед на кибербезопасността на САЩ (CSRB) публикува доклад, в който изтъкна необходимостта от фундаментална промяна в подхода на Microsoft към проблемите на сигурността, в светлината на поредица от големи киберинциденти. Докладът подчертава липсата на фокус от страна на корпорацията върху инвестирането в сигурност и управление на риска.
Недосегаема за критики
Когато Microsoft научи през януари 2024 г., че хакери от чужди държави отново са пробили системите на компанията, новината предизвика нов кръг от обвинения към технологичния гигант, отбелязва Wired в публикация по темата. Въпреки критиките от страна на политици, експерти по сигурността и конкуренти, Microsoft не понесе последствия.
Правителството на Съединените щати продължи да купува и използва продукти на Microsoft, а висши служители отказаха публично да упрекнат технологичния гигант. Почти недосегаемата позиция на Microsoft през 2024 г. е резултат от няколко взаимосвързани фактора. Това е най-важният доставчик на технологии за правителството на САЩ, захранвайки компютри, документи и имейл комуникации във всички институции – от Пентагона до Държавния департамент и ФБР.
Microsoft е важен партньор в правителствените инициативи за киберзащита, с практически несравними познания за дейностите на хакерите и широки възможности за прекъсване на техните операции. А нейните ръководители и лобисти неуморно рекламират компанията като водеща сила в създаването на по-сигурен дигитален свят.
Тези завидни позиции помагат да се обясни защо висши държавни служители не са склонни да критикуват корпорацията. Има опасения, че доминирането на Microsoft увеличава риска от едновременно прекъсване на критични услуги, тъй като атака срещу продукти на една компания може да парализира големи части от правителствената инфраструктура.
История на киберинцидентите
Microsoft има дълга история на пробиви в сигурността, но последните няколко години бяха особено лоши в това отношение. В началото на април 2024 г. излезе унищожителен доклад за грешните стъпки на Microsoft, които направиха възможно хакването на имейлите на американски служители и кражбата на десетки хиляди техни писма през 2023 г.
Две години по-рано, през 2021 г., хакери от китайското правителство откриха и използваха пропуски в имейл сървърите на Microsoft, за да хакнат клиентите на компанията, и след това публикуваха тези уязвимости публично, предизвиквайки бясно търсене за тях.
През 2023 г. Китай хакна имейл акаунтите на 22 федерални агенции, шпионирайки висши служители на Държавния департамент и министъра на търговията Джина Раймондо преди множество пътувания на американска делегация до Пекин.
В началото на 2024 г. Microsoft съобщи, че руските правителствени хакери са използвали прост трик, за да получат достъп до имейл акаунтите на някои висши ръководители на Microsoft, киберексперти и адвокати. През март компанията каза, че атаката е компрометирала част от изходния код, споделен от служители и клиенти. А на 11 април Агенцията за киберсигурност на инфраструктурата (CISA) потвърди, че тези клиенти включват федерални агенции и издаде спешна директива.
Финансови измерения
Microsoft си спечели враждебност от общността за киберсигурност, тъй като таксува допълнително своите клиенти за по-ефективни функции за сигурност, като наблюдение на заплахи, антивирусен софтуер и управление на потребителския достъп. През януари 2023 г. компанията заяви, че годишните приходи на отдела ѝ за сигурност надхвърлят 20 милиарда долара.
Докладът на CSRB от април 2024 г. призова за реформи и засилване на изискванията за сигурност, които биха могли да помогнат за промяна на корпоративната култура на Microsoft и в резултат на това да подобрят цялостната киберустойчивост.
Технологична зависимост
Microsoft предизвиква загриженост на властите в САЩ, че концентрира технологичната зависимост на Америка по начин, по който хакерите могат лесно да саботират критични услуги, използвайки продукти на една компания. Според Wired, малко услуги илюстрират по-добре прекомерната зависимост на правителството от Microsoft.
Някои експерти казват, че по-разнообразен подход би бил по-безопасен. Бивш служител по киберсигурността на САЩ, работещ за един от съперниците на Microsoft, прогнозира, че атака, която прекъсва имейл платформата на корпорацията, значително ще намали способността на правителството да работи.
На 8 април 2024 г. беше представен законопроект, предвиждащ четиригодишен краен срок, през който федералното правителство на САЩ трябва да спре закупуването на технологии за сътрудничество като Microsoft Office, който според критиците не се интегрира добре с конкурентни услуги.
Майкрософта обаче е пробит! 😀