Звіт Комітету з перевірки кібербезпеки, копію якого The Post отримав до його офіційного оприлюднення, спрямований на неякісну практику кібербезпеки, слабку корпоративну культуру та навмисну відсутність прозорості щодо того, що Microsoft знала про походження злому. Це яскраве звинувачення технологічного титана, чия хмарна інфраструктура широко використовується споживачами та урядами в усьому світі.
Уряд США розкритикував Microsoft за низький рівень кібербезпеки
Дмитро Сизов
Наглядова комісія, уповноважена президентом Байденом, опублікувала гострий звіт, у якому детально описано помилки технологічного гіганта Microsoft, які призвели до цілеспрямованого зламу Китаєм минулого року електронної пошти вищих урядовців США.
Правління випустило широкі рекомендації, виконання яких значно посилить відкритість і безпеку індустрії хмарних обчислень, що швидко розвивається.
Вторгнення, яке пограбувало поштові скриньки Microsoft Exchange Online 22 організацій і понад 500 осіб по всьому світу, можна було «запобігти» і «ніколи не повинно було відбутися», підсумовується у звіті.
Можливо, найбільше занепокоєння полягає в тому, що у звіті ради чітко зазначено, що Microsoft досі не знає, як китайці здійснили атаку.
У заяві для The Post Microsoft заявила, що високо оцінює роботу правління.
Представник Microsoft сказав, що «недавні події продемонстрували необхідність запровадження нової культури інженерної безпеки у наших власних мережах», зазначивши, що компанія створила ініціативу для цього. «Хоча жодна організація не застрахована від кібератак з боку добре забезпечених противників, ми мобілізували наші команди інженерів для виявлення та пом’якшення застарілої інфраструктури, покращення процесів і впровадження тестів безпеки».
Цей звіт є третім і найбільш значущим оглядом незалежної ради, яка працює два роки тому, і займається розслідуванням таких інцидентів, щоб державні службовці та ширше співтовариство безпеки могли краще захистити цифрові мережі та інфраструктуру країни. Правління, що складається з урядових і галузевих експертів, очолює Роберт Сілверс, заступник міністра внутрішньої безпеки з питань політики.
Розвідувальні служби США стверджують, що злом, виявлений у червні, був здійснений від імені головної шпигунської служби Пекіна, Міністерства державної безпеки (MSS). Служба проводить масштабну хакерську операцію, до якої входить група, яка здійснила кампанію вторгнення під назвою «Операція Аврора» , про яку Google вперше оприлюднила в 2010 році.
Вторгнення Microsoft у 2023 році використовували прогалини безпеки в хмарі компанії, дозволяючи хакерам MSS підробляти облікові дані, які дозволяли їм перекачувати електронні листи від посадовців Кабінету Міністрів, таких як Раймондо, а також Ніколаса Бернса, посла США в Китаї, та інших високопосадовців Держдепартаменту.
«Під час цього аналізу правління визначило низку операційних і стратегічних рішень Microsoft, які в сукупності вказують на корпоративну культуру, яка відкидає пріоритет як на інвестиції в безпеку підприємства, так і на ретельне управління ризиками», — йдеться в повідомленні.
Іншими словами, йдеться у звіті, «культура безпеки фірми була неадекватною і потребує капітального перегляду».
Уряд США покладається на Microsoft як на одного з найбільших постачальників програмного забезпечення та хмарних сервісів — контракти на мільярди доларів на рік.
Одним із найгостріших закидів є публічна розмова компанії навколо цієї справи. Правління виявило, що корпорація Майкрософт місяцями не виправляла неточні або оманливі заяви, які свідчили про те, що злам стався через «збійний дамп» або дані, що залишилися в результаті збою системи. Фактично, зазначається у звіті, Microsoft залишається невпевненою, чи ця подія призвела до порушення.
Microsoft змінила свої заяви про громадську безпеку лише 12 березня після того, як рада неодноразово запитувала про плани внести виправлення, і коли стало ясно, що рада завершує розгляд.
Правління звинувачує «рішення Microsoft своєчасно не виправити свої неточні публічні заяви про цей інцидент, включаючи корпоративну заяву про те, що Microsoft вважала, що вона визначила ймовірну першопричину вторгнення, хоча насправді вона все ще не визначила», звіт.
Початкова заява Microsoft про вторгнення була зроблена в липні, зазначивши, що зловмисник, що базується в Китаї, якимось чином отримав ключ «підпису» або цифровий сертифікат, що дозволяє хакерам підробляти облікові дані користувачів і викрадати електронні листи Outlook.
В оновленій заяві від 6 вересня Microsoft припустила, що хакери отримали ключ через його ненавмисне включення в аварійний дамп, який не було виявлено системами безпеки фірми.
Однак у листопаді Microsoft визнала правлінню, що вересневий допис у блозі «був неточним», як зазначено у звіті.
Після багатьох років рекламування міцності своєї кібербезпеки Microsoft — найдорожча компанія у світі — нещодавно постраждала від ганебних порушень. На початку 2021 року хакери, спонсоровані китайським урядом, зламали сервери електронної пошти Microsoft Exchange, поставивши під загрозу щонайменше 30 000 державних і приватних організацій у Сполучених Штатах, а також щонайменше 200 000 у всьому світі.
У січні Microsoft виявила атаку на свою корпоративну поштову систему з боку російської зовнішньої шпигунської служби СВР. У компанії заявили, що шпигуни зламали тестовий підрозділ, якимось чином перейшовши звідти на електронні листи вищого керівництва та співробітників служби безпеки. Корпорація Майкрософт попередила свого клієнта Hewlett-Packard Enterprise про те, що її було зламано в рамках цієї кампанії, а офіційні особи США повідомили The Post минулого місяця, що були десятки інших жертв, включаючи торгових посередників Microsoft.
Взяті разом, «це вказівки на те, що все досить зламано», — сказала одна особа, знайома з висновками ради, яка, як і інші, говорила на умовах анонімності, оскільки звіт ще не був оприлюдненим.
За словами офіційних осіб США, Державний департамент виявив китайське порушення в червні та повідомив про це Microsoft. У звіті зазначається, що агентству вдалося виявити вторгнення частково тому, що воно заплатило за послуги вищого рівня, які включали журнали аудиту, які допомогли визначити, що хакери завантажили близько 60 000 електронних листів. Тепер компанія надає агентствам США, які обслуговують безкоштовно після переговорів із федеральними чиновниками.
У звіті детально описано те, що він називає «каскадом помилок, яких можна уникнути». Наприклад, Microsoft не помітила наявності старого ключа підпису з 2016 року, який мав бути вимкнений, але не був. «Цей просто сидів роками, ніби забутий», — сказав другий. Частково проблема полягала в тому, що Microsoft мала перейти від ручної ротації ключів до автоматизованої системи, яка мінімізувала ймовірність людської помилки. Але цього перемикання так і не відбулося. «Вони ніколи не ставили пріоритетом вирішення проблеми», — сказав перший.