Yönetişim ve Risk Yönetimi
Brad Smith, Teknoloji Devinin Siber İhlallerde ‘Sorumluluğu Kabul Ettiğini’ Söyledi
Chris Riotta (@chrisriotta) •
13 Haziran 2024
Microsoft Başkanı Brad Smith, Perşembe günü gergin bir ABD kongre duruşmasında, devlet kurumlarını ve şirketin kendisini hedef alan çok sayıda yüksek profilli devlet destekli siber saldırıyı kolaylaştıran bir dizi güvenlik hatasının sorumluluğunu kabul etti.
Ayrıca bakınız: Siber Depolama Veri Güvenliğinin Yeni Paradigması mı?
Temsilciler Meclisi İç Güvenlik Komitesi’ndeki milletvekilleri, Microsoft’un kritik güvenlik açıklarını ele almadaki başarısızlığı ve ihbarcı uyarılarını yanlış yönetmesi nedeniyle Smith’i eleştirdiler; bunun SolarWinds saldırısına ve federal siber yetkililerin önlenebileceğini söylediği diğer büyük ihlallere yol açtığını savundular.
Komiteye başkanlık eden R-Tenn Temsilcisi Mark Green, Microsoft’un güvenlik hataları hakkındaki son federal bulguları “son derece endişe verici” olarak nitelendirdi ve şirketin “temel güvenlik önlemlerine yetersiz yatırım yapmasının kritik güvenlik açıklarını ortaya çıkardığını” söyledi.
Green, “Microsoft, ülkemizin dijital altyapısına derinlemesine entegre olmuş durumda” dedi ve şirketin, federal sistemlerin izinsiz girişlere karşı korunmasını sağlama konusunda “yüksek bir sorumluluğa” sahip olduğunu da sözlerine ekledi.
Duruşma, ProPublica’nın, Microsoft’un bir muhbirin, şirketi birkaç yıl boyunca Rus bilgisayar korsanlarına karşı savunmasız bırakan kritik bir güvenlik açığına ilişkin uyarılarını görmezden geldiğini iddia eden bomba gibi bir rapor yayınladığı gün gerçekleşti. İhbarcı, Rusya’nın yalnızca aylar sonra SolarWinds’e saldırmasını kolaylaştıran güvenlik kusurunu ele alma konusundaki hayal kırıklığı nedeniyle Ağustos 2020’de şirketten ayrıldı.
Federal olarak görevlendirilen Siber Güvenlik İnceleme Kurulu, şirketin güvenlik uygulamalarına ilişkin yedi aylık bir incelemenin ardından yayınlanan bir raporda, Microsoft’un kurumsal kültürünü kurumsal güvenlik yatırımlarının önceliğini ortadan kaldırmak ve önlenebilir güvenlik ihlallerine izin vermekle suçladı.
Smith, hazırlamış olduğu açılış konuşmasında “Başka bir şey söylemeden önce, Microsoft’un CSRB raporunda belirtilen konuların her birinin sorumluluğunu kabul ettiğini söylemenin benim için özellikle önemli olduğunu düşünüyorum” dedi ve şunları ekledi: “Kaçınma veya tereddüt olmaksızın “
APT29 ve CozyBear olarak da bilinen Midnight Blizzard olarak takip edilen Rus devlet hack grubu, karmaşık olmayan bir hackleme tekniği kullandıktan sonra üst düzey Microsoft yöneticilerinin e-posta gelen kutularını ihlal etti (bkz.: Microsoft’un Son Hack’i Büyük Güvenlik Kaygılarına Yol Açtı). Olay, Microsoft’un bir grup Çinli bilgisayar korsanının federal kurumları ve diğer büyük kuruluşları hedef alan bir siber casusluk kampanyasının parçası olarak müşterilerin e-posta sistemlerini ihlal ettiğini açıklamasından bir yıldan kısa bir süre sonra gerçekleşti.
Siyasi koridorun her iki tarafındaki milletvekilleri, son güvenlik ihlallerinin ardından Microsoft’un müşterilerine ve federal hükümete karşı tamamen şeffaf olup olmadığına dair şüphelerini dile getirdi. Perşembe günü yayınlanan ProPublica raporu, Smith’in 2017 yılında Senato İstihbarat Komitesi’ne verdiği ifadede, Microsoft’un SolarWinds saldırısına yol açan kusurdan ancak siber güvenlik firması CyberArk’ın Altın SAML olarak bilinen istismarı açıklayan bir blog yazısı yayınlamasından sonra haberdar olduğunu ifade etti.
D-Mo’dan kıdemli üye Temsilci Bennie Thompson, “Microsoft’un şeffaf olacağına güvenip güvenemeyeceğimize dair endişelerim, bu sabah bir çalışanın Microsoft liderliğini bir güvenlik açığına karşı nasıl uyardığına ilişkin bir ProPublica makalesi okuduğumda daha da arttı” dedi. “Bu güvenlik açığı sonuçta Rus bilgisayar korsanları tarafından 2020’deki SolarWinds saldırısının ikincil aşamalarını gerçekleştirmek için kullanıldı.”
“Şeffaflık güvenin temelidir ve Microsoft’un daha şeffaf olması gerekiyor” dedi.
Buna yanıt olarak Smith, Microsoft’un kurumsal yönetim yapısında, kurumsal çapta siber güvenlik çalışmalarını geliştirmek ve “güvenliği her sürece entegre etmek” için değişiklikler yaptığını ifade etti. Smith, şirketin Güvenli Gelecek Girişimi kapsamında her bir bileşenine CISO yardımcılarını eklediğini söyledi. Şirket, girişimi Kasım 2023’te başlattı (bkz.: Microsoft, Büyük İhlallerden Sonra Güvenlik Uygulamalarını Yeniliyor).
Smith ayrıca milletvekillerine Microsoft’un işletim sistemindeki hükümet ağlarını etkileyebilecek herhangi bir güvenlik açığının farkında olmadığını söyledi ve şirketin “çalışanlarımızın bulabileceği her güvenlik açığını belirlemeye odaklandığını” söyledi.
Stanford Üniversitesi’nin jeopolitik, teknoloji ve yönetişim programı direktörü ve Beyaz Saray’ın siber politikadan sorumlu eski kıdemli direktörü AJ Grotto, Microsoft’un federal ağları defalarca tehlikeye atmasına rağmen “kamu sektörüne hakim olmak için kısıtlayıcı lisanslama kullandığını” söyledi.
Grotto, Information Security Media Group’a gönderdiği bir bildiride, “Microsoft’un ürünlerindeki güvenlik kusurlarına ve ardından Microsoft’un güvenliği artırmaya yönelik vaatlerine alıştık, ancak döngü tekrarlandı – Microsoft için hiçbir sonuç olmadan.” dedi. Grotto, milletvekillerini şirketten “siber güvenlik risklerine maruz kalma durumunu çeşitlendirmeye yönelik bir plan geliştirmesini ve Kongre ile paylaşmasını” talep etmeye çağırdı.
Smith, Temsilciler Meclisi komitesine Microsoft’un CSRB’nin doğrudan şirket için geçerli olan tavsiyelerinden 16’sını uygulamaya başladığını ve genel siber duruşunu iyileştirmeye yardımcı olmak için ek 18 güvenlik önlemi eklediğini söyledi.
Doğrudan federal hükümetin tek bir teknoloji sağlayıcısına güvenmesiyle ilgili risk sorulduğunda Smith, olası endişeleri kabul etti ancak çok fazla oyuncunun olduğu bir ağın da aynı derecede sorunlu olabileceğini söyledi.
Smith, “Tıpkı tek bir satıcıya güvenmenin riski olduğu gibi, birden fazla satıcıya güvenmenin de riskleri var” dedi. “Temel olarak, ister tek ister birden fazla satıcınız olsun, sorun benzer; hepimizin birlikte çalışması ve ilerleme kaydetmeye devam etmesi gerekiyor.”