Bu olaylar, güvenlik uzmanlarının Microsoft’u ürünlerindeki kusurları hızlı ve yeterli bir şekilde gideremediği için giderek daha fazla eleştirdiği bir dönemde meydana geldi. ABD hükümetinin açık ara en büyük teknoloji sağlayıcısı olan Microsoft’un güvenlik açıkları, hem yeni keşfedilen hem de en yaygın kullanılan yazılım kusurları arasında aslan payını oluşturuyor. Pek çok uzman, Microsoft’un gelişen zorluklara ayak uydurmak için gerekli siber güvenlik iyileştirmelerini yapmayı reddettiğini söylüyor.
Önde gelen bir siber politika uzmanı, Microsoft’un “güvenlik yatırımı düzeyini ve zihniyetini tehdide uyacak şekilde uyarlamadığını” söylüyor. “Microsoft’un sahip olduğu kaynaklara ve şirket içi mühendislik kapasitesine sahip birinin yaptığı büyük bir hata.”
İç Güvenlik Bakanlığı’nın CSRB’si, 2023 Çin müdahalesine ilişkin yeni raporunda bu görüşü onaylayarak, Microsoft’un “hem kurumsal güvenlik yatırımlarına hem de sıkı risk yönetimine öncelik vermeyen bir kurumsal kültür” sergilediğini söyledi. Raporda ayrıca Microsoft’un, Çin’deki son saldırının olası nedenleri hakkında yanlış bilgiler yayınlaması nedeniyle de eleştirisi yapıldı.
Pek çok uzmana göre, son zamanlardaki ihlaller Microsoft’un temel güvenlik savunmalarını uygulamadaki başarısızlığını ortaya koyuyor.
Güvenlik firması CrowdStrike’ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, Rusların test ortamından üretim ortamına geçme yeteneğine dikkat çekiyor. “Bu asla olmamalı” diyor. Microsoft’un bir rakibinde çalışan başka bir siber uzman, Çin’in tek bir izinsiz giriş yoluyla birden fazla kurumun iletişimini gözetleme yeteneğini vurguladı ve Microsoft’un kimlik doğrulama sistemini tek bir oturum açma anahtarıyla geniş erişime izin verdiği için eleştiren CSRB raporunu tekrarladı.
Meyers, “Diğer bulut hizmeti sağlayıcılarından bu tür ihlallerin geldiğini duymazsınız” diyor.
CSRB raporuna göre Microsoft, “mevcut tehdit ortamını ele alacak şekilde eski altyapısını yeniden tasarlamaya yeterince öncelik vermedi.”
Yazılı sorulara yanıt olarak Microsoft, WIRED’e son olaylara yanıt vermek için güvenliğini agresif bir şekilde iyileştirdiğini bildirdi.
Microsoft’un federal güvenlik işinden sorumlu teknoloji sorumlusu Steve Faehl, “Gelişen tehdit ortamına uyum sağlamaya ve bu büyüyen ve karmaşık küresel tehditlere karşı savunma yapmak için sektör ve hükümet genelinde ortaklık kurmaya kararlıyız” diyor.
Faehl, Kasım ayında başlatılan Güvenli Gelecek Girişiminin bir parçası olarak Microsoft’un, çalışan hesaplarının kötüye kullanımını otomatik olarak tespit etme ve engelleme yeteneğini geliştirdiğini, ağ trafiğinde daha fazla türde hassas bilgi taraması yapmaya başladığını, bireysel kimlik doğrulama anahtarları tarafından verilen erişimi azalttığını, ve şirket hesabı oluşturmak isteyen çalışanlar için yeni yetkilendirme gereklilikleri oluşturuldu.
Faehl, Microsoft’un ayrıca ürünlerini geliştirmek için “binlerce mühendisi” yeniden görevlendirdiğini ve durum güncellemeleri için üst düzey yöneticileri haftada en az iki kez bir araya getirmeye başladığını söylüyor.
Faehl, yeni girişimin Microsoft’un “yol haritasını ve CSRB raporunun öncelikler olarak belirttiği şeylerin çoğuna yanıt verme taahhütlerini” temsil ettiğini söylüyor. Yine de Microsoft, CSRB raporunun iddia ettiği gibi güvenlik kültürünün bozulduğunu kabul etmiyor. Faehl şöyle diyor: “Bu tanımlamaya kesinlikle katılmıyoruz, ancak mükemmel olmadığımız ve yapacak işlerimiz olduğu konusunda hemfikiriz.”
Güvenlik Geliri ‘Bağımlılık’
Microsoft, tehdit izleme, antivirüs ve kullanıcı erişim yönetimi gibi daha iyi güvenlik korumaları için müşterilerinden ekstra ücret talep etmesi nedeniyle siber güvenlik topluluğunun özel düşmanlığını kazandı. Ocak 2023’te şirket, güvenlik bölümünün yıllık gelirinin 20 milyar doları aştığını duyurdu.
Güvenlik firması SentinelOne’da araştırmadan sorumlu başkan yardımcısı Juan Andrés Guerrero-Saade, “Microsoft, siber güvenliğe kendileri için gelir sağlayacak bir şey olarak bakmaya başladı” diyor. Meslektaşı Alex Stamos yakın zamanda Microsoft’un bu gelire olan “bağımlılığının” “ürün tasarımı kararlarını ciddi şekilde çarpıttığını” yazdı.