Yönetişim ve Risk Yönetimi, Devlet, Sektöre Özel
Teknoloji Devleri, Microsoft’un Son İhlalleri Ortasında Kamu Sektörü Müşterileri İçin Yarışıyor
Chris Riotta (@chrisriotta) •
21 Mayıs 2024
Google, son zamanlardaki yüksek profilli ihlaller nedeniyle rakibine saldırarak ve ABD hükümetinin “tek bir teknoloji satıcısına aşırı bağımlılığını” azaltmak için federal kurumlara yeni teşvikler sunarak Microsoft’un kamu sektörü müşterilerini kaçırmayı hedefliyor.
Ayrıca bakınız: İsteğe Bağlı | Gelişmiş Uç Nokta Stratejileri Sayesinde Sıfır Güven Hedeflerinize Nasıl Ulaşabilirsiniz?
Şirket Pazartesi günü, teknoloji devini etkileyen devam eden güvenlik sorunlarının ortasında “Google Workspace’in Microsoft’a daha güvenli bir seçim sunduğunu” savunan “Daha Güvenli Bir Alternatif” başlıklı bir teknik inceleme yayınladı. Belge, Ulusal Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu’nun, Storm-0558 olarak bilinen Çinli siber casusluk tehdit aktörünün 2023’te Microsoft’u ele geçirmesine ilişkin bir raporunu yansıtıyor.
Makalede, “Microsoft ile tekrarlanan güvenlik sorunları, hem işletmeler hem de kamu sektörü kuruluşları için daha iyi bir alternatif çağrısında bulunuyor” ifadesine yer veriliyor. Google’ın entegre çalışma ve ortak çalışma uygulamalarını daha güvenli bir alternatif olarak tanımlıyor.
Federal kurumların Microsoft’un Windows ve Office’ten Azure’a ve özel hükümet çözümlerine kadar geniş yelpazedeki yazılım ve hizmetlerine ne kadar güvendiği göz önüne alındığında, kamu sektöründe Microsoft’tan herhangi bir uzaklaşma önemli bir girişim olacaktır. Google, Microsoft’un 14 yıl önce Google’ı hedef alan aynı tehdit aktörünün dahil olduğu güvenlik olaylarından ancak şimdi ders almaya başladığını ve bunun şirketin iç altyapısını ve güvenlik yaklaşımlarını yeniden yapılandırmasına yol açtığını savundu.
Google, kamu sektörünü çok sağlayıcılı stratejiler benimsemeye ve birlikte çalışabilirliğin sağlanmasına yardımcı olmak için açık standartları teşvik etmeye ve aynı zamanda yalnızca “tasarım gereği güvenli” sistemleri satın alırken güvenliği önemli bir satın alma unsuru olarak dahil etmeye çağırıyor. Şirket, Microsoft’un yaptığı gibi, bu ayın başlarında RSA Konferansında Siber Güvenlik ve Altyapı Güvenliği Ajansı ile “tasarım gereği güvenli” taahhüdü imzaladı.
CSRB raporu, Storm-0558 ihlalinin “önlenebilir olduğu ve asla gerçekleşmemesi gerektiği” sonucuna vardı. Microsoft’un güvenlik kültürünün “yetersiz” olduğunu ve “özellikle şirketin teknoloji ekosistemindeki merkezi konumu ışığında” revizyona ihtiyaç duyduğunu belirtti. (Görmek: Rapor, Microsoft’u Çin Hack’indeki Güvenlik Hatalarından Dolayı Eleştiriyor).
DHS inceleme kurulu, Çinli bilgisayar korsanlarının, şirketin bir dizi “önlenebilir hata” gerçekleştirmesinin ardından Microsoft Exchange Online’a sızdığını ve grubun üst düzey ABD hükümet yetkililerinin e-posta hesaplarını başarılı bir şekilde hedeflemesine olanak tanıdığını tespit etti. Hedeflenen üst düzey yetkililer arasında ABD’nin Çin büyükelçisi Ticaret Bakanı Gina Raimondo ve Pekin’i eleştiren Nebraskalı Cumhuriyetçi Temsilci Don Bacon da vardı.
Microsoft, küresel şirketin siber duruşuna ilişkin endişelerin artması üzerine Mayıs ayında güvenlik operasyonlarında büyük güncellemeler yaptığını duyurdu; buna yönetici maaşlarının belirli güvenlik kilometre taşlarına ulaşılmasıyla ilişkilendirilmesi de dahil (bkz: Microsoft, Büyük İhlallerden Sonra Güvenlik Uygulamalarını Yeniliyor). Duyuruda, Microsoft’un “kimlik imzalama anahtarları ve platform anahtarları için daha ayrıntılı bölümlendirmeyi” benimseyeceği ve “kuantum sonrası kriptografi dünyası için” donatılmış sistemler geliştireceği belirtildi.
Microsoft Güvenliği’nden sorumlu başkan yardımcısı Charlie Bell, o dönemde bir blog yazısında şöyle demişti: “Microsoft, dünyanın dijital ekosisteminde merkezi bir rol oynuyor ve bu, güveni kazanma ve sürdürme konusunda kritik bir sorumluluğu da beraberinde getiriyor.” “Daha fazlasını yapmalıyız ve yapacağız.”
BT danışmanı Michael Garland tarafından yayınlanan ve dijital ticaret birliği NetChoice’nin sponsorluğunu üstlendiği 2023 raporuna göre Microsoft, ABD’deki sözleşmelerinin en az dörtte birini anlamlı bir rekabete girmeden aldı.
Raporda, hükümetin ürün değiştirmenin algılanan maliyetlerinden kaçınmak amacıyla Microsoft Office’i satın almak için 100 milyon dolardan fazla para harcadığı bir örnek yer alıyor.
Senatör Ron Wyden, D-Ore., Nisan ayında federal kurumların, Microsoft’un Ulusal Standartlar ve Teknoloji Enstitüsü tarafından belirlenen standartlara uymayan ürünleri gibi işbirliği teknolojilerini satın almasını yasaklayan yasa taslağını yayınladı. Tasarı aynı zamanda kurumların ABD hükümetinin iletişimini yabancı gözetimden daha fazla korumak için uçtan uca şifreleme ve diğer önlemleri kullanmasını da gerektirecek.
Wyden, federal hükümetin Microsoft teknolojilerine bağımlılığını ulusal güvenlik riski olarak tanımlarken Güvenli ve Birlikte Çalışabilir Hükümet İşbirliği Teknolojisi Yasasını tanıttı.
Wyden yaptığı açıklamada, “Satıcıya kilitlenme, paket satış ve diğer rekabete aykırı uygulamalar, hükümetin güvensiz yazılımlara büyük miktarda para harcamasına neden oluyor” dedi. “Microsoft gibi büyük teknoloji şirketlerinin devlet yazılımları üzerindeki baskısını kırmanın zamanı geldi.”