Milletvekilleri Pentagon’u Siber Güvenlik Tedarikçilerini Çeşitlendirmeye Çağırdı

İki partiden bir çift senatör, Savunma CIO’su John Sherman’a, Washington’un şirketin 365 bulut tabanlı ürününe olan bağımlılığını yeniden değerlendirirken departmanın “Microsoft’a olan bağımlılığını artırma yönündeki başarısız stratejisini ikiye katladığı” yönündeki “ciddi kaygılarını” ifade eden bir mektup yazdı. Mektup, ilk olarak Axios tarafından bildirilen ve tüm departman bileşenlerinin 12 ay içinde kimlik koruması ve içeriden risk yönetimi gibi güvenlik hükümlerini içeren Microsoft 365 E5 lisanslarına yükseltilmesi ve uygulanması gerektiğini belirten bir notun ardından geldi.

Sens. Ron Wyden, D-Ore. ve Eric, “DoD’un daha fazla rekabet, daha düşük uzun vadeli maliyetler ve siber güvenlikle ilgili daha iyi sonuçlarla sonuçlanacak çok tedarikçili bir yaklaşımı izlememeyi seçmesinden derin endişe duyuyoruz.” Schmitt, R-Miss., mektupta şunu söyledi. Savunma Bakanlığı, ABD’deki en büyük siber güvenlik ürünleri alıcılarından biridir.

Mektup, geçen yaz Çin’deki bir bilgisayar korsanlığı kampanyasının üst düzey ABD hükümet yetkililerinin e-posta hesaplarını başarıyla hedef almasının ardından Microsoft’un güvenlik başarısızlıklarını inceleyen yeni bir federal raporun ardından geldi (bkz: Rapor, Microsoft’u Çin Hack’indeki Güvenlik Hatalarından Dolayı Eleştiriyor). Microsoft ayrıca, Rus devlet korsanlarının Ocak ayında şirketin üst düzey yöneticilerine ait e-posta hesaplarına erişim sağlamak için karmaşık olmayan teknikler kullanması nedeniyle de eleştirilere maruz kaldı.

Uzmanlar uzun süredir federal hükümete ve Pentagon’a tek bir yazılım sağlayıcısına aşırı güvenmekten vazgeçmeleri çağrısında bulunarak, bu yaklaşımın önlenebilir güvenlik açıklarına yol açabileceğini ve ulusal güvenliği riske atabileceğini söylüyor. Çarşamba günü Savunma Bakanlığı’na gönderilen mektupta Wyden ve Schmitt, Pentagon’un “yeniliği ve rekabeti teşvik eden çok tedarikçili bir yaklaşım” sağlama planları hakkında bilgi talep etti.

Mektupta, “Savunma Bakanlığı sofistike siber güvenlik ürünleri talep ettiğinde, yalnızca ABD hükümeti genelinde olumlu etkiler değil, aynı zamanda kamu ve özel sektör genelinde de faydalı sonuçlar ortaya çıkıyor” denilerek Kongre ve Savunma Bakanlığı’nın “birlikte çalışması” “zorunlu” olarak nitelendiriliyor Sağlam siber güvenlik uygulamaları sağlamak.”

Güvenlik platformu Huntress’in CISO’su ve Savunma Bakanlığı’nın ortak yapay zeka merkezinin eski müdür yardımcısı Roger Koehler, Microsoft’un son aylarda incelemelerin ana odağı haline geldiğini söyledi.

Koehler, Information Security Media Group’a “Microsoft büyük bir kurumsal oyuncu, dolayısıyla Savunma Bakanlığı’na ve federal hükümete pek fazla seçenek bırakmıyor” dedi. Şirketin “iyileştirme ihtiyacını kamuya açık olarak kabul ettiğini” ve müşteriler için güvenlik önlemlerini güçlendirmek için adımlar attığını ekledi (bkz: Microsoft Büyük İhlallerden Sonra Güvenlik Uygulamalarını Yeniliyor).

Microsoft’un güvenlik, uyumluluk, kimlik ve yönetimden sorumlu başkan yardımcısı Charlie Bell, Mayıs ayındaki bir blog yazısında şirketin yönetici maaşlarını belirli güvenlik kilometre taşlarına ulaşmaya bağlamayı ve artan siber saldırılarla mücadele etmeyi amaçlayan Güvenli Gelecek Girişimi’ni genişletmeyi planladığını söyledi.

Duyuru, Microsoft’un ileriye dönük olarak tüm uygulamalarına ve kullanıcılarına sürekli en az ayrıcalıklı erişimi uygulayacağını ve kiracılar, ortamlar ve bulut ağları arasındaki kimlik yanal hareketinin tamamını ortadan kaldıracağını söylüyor. Microsoft, son siber saldırıların ardından kullanıcıları için varsayılan günlük kaydını etkinleştirdi; bu, yeterli kaynağa sahip olmayan kuruluşların (küçük, azınlığa ait işletmeler gibi) olay nedeniyle tehlikeye girip girmediklerini anlamak için gereken temel günlük kaydı bilgilerini gözden geçirmesine olanak tanıdı.

Koehler, Microsoft’un güvenlik yükseltmeleri hakkında “Bunların hiçbiri sihirli çözüm değil” dedi ve şunu ekledi: “Ancak mükemmel güvenlik diye bir şey yoktur.”

Pentagon yorum talebine yanıt vermedi.