Siber Savaş / Ulus-Devlet Saldırıları, Şifreleme ve Anahtar Yönetimi, Dolandırıcılık Yönetimi ve Siber Suçlar
Şirket, Mevzuat Baskısı Altında Çift Anahtar Şifreleme Hakkında Bilgi Yayınladı
Akşaya Asokan (asokan_akshaya) •
18 Haziran 2024
Alman federal siber güvenlik kurumunun yasal müdahalesinin ardından Microsoft, müşteri verilerini güvence altına almak için benimsediği şifreleme önlemlerine ilişkin ek bilgileri açıkladı.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Microsoft Perşembe günü, şirketin Microsoft 365 ve Azure da dahil olmak üzere platformunda çift anahtarlı şifrelemeyi nasıl dağıttığını ayrıntılarıyla anlatan bir teknik inceleme yayınladı.
Microsoft’un Almanya ofisi bir blog noktasında, “Bu teknik inceleme, dikkate alınması gereken bazı olası tehdit senaryolarının yanı sıra uygun karşı önlemleri de açıklıyor.” dedi.
Microsoft’un raporu yayınlama kararı, Mayıs ayında Federal Bilgi Güvenliği Dairesi’nin (BSI) ülkenin Federal Bilgi Güvenliği Yasası kapsamında, bilgi teknolojisi şirketlerinin güvenlik olaylarıyla ilgili “gerekli tüm” bilgileri sağlamasını gerektiren bir maddeyi devreye sokmasının ardından geldi. ajans tarafından talep edildi.
Bildirildiğine göre BSI, Microsoft’un kurum taleplerine şifreleme önlemleri hakkında yeterli bilgi sağlamaması üzerine ifşa için yasal davayı açtı. BSI’ın soruşturması, bilgisayar korsanlarının ABD hükümeti ağlarını hedeflemek için Azure Active Directory tokenlarını çalmasıyla sonuçlanan 2023 yılındaki bir olayla ilgili soruşturmasıyla ilgili.
Şirket o dönemde saldırıyı Storm-0558 veya Volt Typhoon olarak takip edilen Çinli bir tehdit aktörüne atfetmişti. Microsoft’un hack olayını açıklamasından bu yana BSI, güvenlik önlemlerini gözden geçirmek, özellikle de şirketin benzer Violet Typhoon saldırılarına karşı uyguladığı veri koruma adımlarını anlamak için şirketle birlikte çalışıyor.
Bir Microsoft Almanya sözcüsü, Bilgi Güvenliği Medya Grubu’na, Alman medyasında geniş çapta bildirildiği gibi BSI’nin dava açmadığını söyledi. Sözcü, şirketin “yeni veya yeterince temsil edilmeyen tehdit vektörleri ortaya çıktığında belgeleri açıklığa kavuşturmak” konusunda her zaman yetkililerle işbirliği yaptığını söyledi.
Bir BSI sözcüsü, ajansın Microsoft’a karşı bir dava açmadığını doğruladı. Ajans perşembe günü Almanya’daki Microsoft kullanıcılarını, müşteri verilerini güvence altına almak için şirket tarafından sunulan doğru şifreleme hizmetini kullanmaya çağırdı.
BSI’nın Microsoft’u incelemesi, şirketin son zamanlardaki yüksek profilli güvenlik başarısızlıkları nedeniyle artan eleştirileriyle aynı dönemde geldi. Mayıs ayında Alman hükümeti, Rus bilgisayar korsanlarının Microsoft Outlook’ta tanımlanamayan bir sıfır gün güvenlik açığını kullanarak Alman Sosyal Demokrat Partisi üyelerini hedef aldığını açıklamıştı (bkz: Rus GRU Hackerları Alman ve Çek Hedeflerini Ele Geçirdi).
Bundan önce, Alman Parlamentosu’nun teknoloji gözetim komitesi, bilgisayar devinin Mart ayında Rus yabancı istihbarat korsanlarının kaynak kodu depolarına ve dahili sistemlere erişim elde ettiğini açıklamasının ardından Microsoft’un üst düzey yöneticileriyle kapalı bir toplantı düzenledi (bkz: Microsoft, Alman Milletvekilleri Tarafından Rus Hack Konusunda Sorgulandı).
Son zamanlarda, Microsoft Başkanı Brad Smith, ABD kongresindeki bir oturumda, Rus ve Çin devlet destekli aktörlerin dünya çapındaki devlet kurumlarını ve şirketi hedef almasına olanak tanıyan bir dizi güvenlik hatasının sorumluluğunu kabul etti (bkz: Microsoft Başkanı Büyük Güvenlik Hatalarını Kabul Etti).
Kuzeybatı Almanya’daki Bremen Şehir Uygulamalı Bilimler Üniversitesi’nde BT güvenlik hukuku profesörü Dennis-Kenji Kipker, bu duruşmanın ardından Microsoft’un Almanya’dan daha fazla siyasi ilgi topladığını söyledi.
“Microsoft’un bugüne kadar sağladığı bilgilerin tamamen yetersiz olmasının yanı sıra Microsoft’ta gerçekten bariz güvenlik sorunlarının olduğu yönünde korkulara da yol açtığı BSI için de açık. ‘Belirsizlik yoluyla güvenlik’ kavramının, Kipker, “Microsoft’un yıllardır peşinde olduğu açık bir şekilde artık çalışmıyor ve sona erdi” dedi.