Microsoft, Siber Güvenlik İnceleme Kurulu’nun başkan yardımcısı ve şirketin başkanı Brad Smith’in Mart ayındaki raporunda belirtilen güvenlik hatalarının tüm sorumluluğunu üstlenecek. yazılı ifadede söyledi ABD Temsilciler Meclisi İç Güvenlik Komitesi için hazırlandı.
Smith, Perşembe öğleden sonra, şirketin önemli federal kurumları tehlikeye atan devlet bağlantılı iki siber saldırıyla ilgili büyük güvenlik çöküşlerinin ardından merakla beklenen duruşmada ifade verecek.
Smith yazılı ifadesinde, “Microsoft’un benzersiz ve kritik bir siber güvenlik rolü oynadığının farkındayız” dedi. “Sadece müşterilerimiz için değil, bu ülke için de. Ve sadece bu ülke için değil, bu milletin müttefikleri için de.”
Smith, Microsoft’un dünya çapında 32 ülkede veri merkezleri işlettiğini ve güvenlik konularında ABD hükümeti ve önemli müttefikleriyle yakın işbirliği içinde olduğunu söyledi.
Güvenlik endişeleri
Mayıs 2023’ten itibaren Çin Halk Cumhuriyeti ile bağlantılı bilgisayar korsanları, 22 kuruluş ve 500 kişiden oluşan Microsoft Exchange Online ortamını hedef alarak yaklaşık 60.000 ABD Dışişleri Bakanlığı e-postasının çalınmasına ve ABD Ticaret Bakanı Gina Raimondo’nun hesabının ele geçirilmesine yol açtı.
ABD Siber Güvenlik İnceleme Kurulu tarafından yayınlanan bir rapor sonuçlandı saldırı tamamen önlenebilirdi ve güvenliğe odaklanmak yerine pazara sunma hızını ve yeni özellikleri vurguladığı için Microsoft’u eleştirdi.
Rusya bağlantılı Midnight Blizzard tehdit grubundan 2023 sonlarında başlayan ayrı bir saldırı, Microsoft’taki üst düzey yöneticilerin uzlaşmasına yol açtı. Bu saldırı başka bir dizi aksiliğe yol açtı; federal kurumlara erişim için kullanılabilecek kimlik bilgilerinin çalınması.
Eleştirmenler Microsoft’u söylüyor hatalarından sorumlu tutulmalıydı çok daha anlamlı bir şekilde, özellikle de önemli federal kurumlarda sahip olduğu dayanak noktasının ışığında.
Demokrasileri Savunma Vakfı Siber ve Teknoloji Yenilikleri Merkezi kıdemli direktörü Mark Montgomery, “Microsoft, Savunma Bakanlığı ekosistemindeki veya herhangi başka bir hükümet sistemindeki hakim konumunu haklı çıkaracak güvenlik taahhüdünü göstermedi” dedi. e-posta yoluyla söyledi.
CSRB raporu toplam 25 öneri yayınladı16 Microsoft ve daha büyük bulut güvenliği endüstrisiyle ilgili diğerleri için geçerlidir.
Smith, ulus devlet faaliyetinin daha yoğun ve çok daha karmaşık hale geldiğini, geçen yıl Microsoft ve çalışanlarına karşı 47 milyon kimlik avı saldırısı gerçekleştirildiğini söyledi. Ancak yazılı ifadelere göre Microsoft müşterilerine günde 345 milyon saldırı girişiminde bulunuluyor.
Smith, “Bir şirket olarak bu ülkenin siber güvenliğini koruma konusunda mükemmellik için çabalamamız gerekiyor” dedi. “Yetersiz kaldığımız her gün, siber güvenlik açısından kötü bir gün, Microsoft için de berbat bir andır.”
Microsoft, iç güvenlik politikalarını geliştirmek için ek adımlar planlıyor. Microsoft Yönetim Kurulu Cuma günü planlarını sonuçlandıracak üst düzey yönetici tazminatı bağlantısı İç güvenlik hedeflerine ulaşmak için.
Şirket ayrıca Microsoft’un güvenlik hedeflerine ulaşmak için attığı adımlara ilişkin ayrıntılı bir brifing vermek üzere CISA’yı genel merkezine davet etti.