bencede
New member
Microsoft Başkanı Brad Smith, ABD Temsilciler Meclisi İç Güvenlik Komitesi huzurunda ifadesini şöyle açtı: “Haziran ayında bir öğleden sonrayı böyle geçirmeyi hayal etmemiştim.” Komite, toplantının başlığına göre “Microsoft'un siber güvenlik eksikliklerini ve ulusal güvenlik üzerindeki etkisini” tartışmak üzere dün Perşembe günü toplandı.
Duyuru
Alıntının nedeni, Çinli saldırganlar tarafından Microsoft'un bulutuna zorla girilmesiydi: Storm-0558 grubunun geçen yıl mayıs ayında yaptığı saldırı muhtemelen casusluk amaçlıydı ve şirkete karşı ciddi suçlamalara yol açtı. ABD siber güvenlik kurumu CISA'nın Siber Güvenlik İnceleme Kurulu (CSRB), Microsoft'un güvenlik uygulamaları hakkında yıkıcı bir karar yayınladı: Uzmanlar, “bir dizi önlenebilir hatanın” ciddi saldırılara yol açtığını söyledi. Microsoft'un kitaplarına kapsamlı bir eylem planı yazdılar ve buna CISA'nın ABD federal yetkililerine gönderdiği bir acil durum talimatı da eşlik etti.
Microsoft kendisini sorumlu ilan ediyor
Öncelikle Smith, işvereni adına yaptığı açıklamada (yazılı olarak da mevcuttur), CSRB ve diğer yetkililerin Microsoft'a yüklediği tüm hataların tüm sorumluluğunu kabul etti. Ancak komite üyeleri, grubun üst yöneticisine yöneltilen yorumları ve kritik soruları eksik etmedi. Muhalefet lideri Thompson, Storm-0558 saldırılarını neden Microsoft'un değil de ABD Dışişleri Bakanlığı'nın keşfettiğini sordu: Öyle olmalı, diye yanıtladı Smith. Kimse her şeyi göremez. Thompson, ABD hükümetinin Microsoft'a bu görev için para ödediğini ve şirketin artık güvenini yeniden kazanması gerektiğini söyledi.
İç Güvenlik Komitesi, yalnızca yabancı güçlerin saldırılarından değil aynı zamanda Microsoft'un Çin'deki ticari faaliyetlerinden de özellikle endişe duyuyor. Şirketin Orta Krallık'taki mevcut mevzuata uymak zorunda olup olmadığı sorulduğunda Smith, kaçamak bir şekilde Çin İstihbarat Yasası (国家情报法) gibi yasaların geçerli olduğunu ancak her zaman uygulanmadığını söyledi. Microsoft ayrıca, örneğin Çin hükümetine veri veya kod iletirken, hangi kırmızı çizgileri aşmak istemediğini hem dahili hem de harici olarak çok açık bir şekilde iletmektedir.
Smith komiteye güvence vermeye çalıştı: “Güvenli Gelecek” girişimiyle sadece kültürel bir değişim başlatmakla kalmadılar, aynı zamanda bu konuda büyük bir kararlılıkla çalışıyorlar. Şu anda, CSRB'nin tavsiyelerinin uygulanmasına o kadar çok Microsoft çalışanı katılıyor ki bu, 34.000 tam zamanlı işe eşdeğerdir ve bu da onu dijital teknoloji tarihindeki en büyük siber güvenlik geliştirme projesi haline getiriyor. ABD hükümeti Microsoft'un büyük bir müşterisidir ve Redmond'a yılda yaklaşık 300 milyon dolar aktarmaktadır.
İhbar suçlaması: Microsoft satışları güvenlikten daha mı önemliydi?
Komisyonun birkaç üyesi, duruşmadan kısa bir süre önce ortaya çıkan ve eski bir çalışanın Microsoft'a karşı ciddi iddialarda bulunduğu bir ProPublica makalesine atıfta bulundu. Şu anda Microsoft'un rakibi CrowdStrike'da çalışan Andrew Harris, yıllardır Microsoft'un Active Directory Federasyon Hizmetlerinde (ADFS) “Altın SAML” adı verilen bir güvenlik kusurunun ölümcül etkilerine dikkat çektiğini söylüyor. Ancak o zamanki işvereni, Amerikan şirketinin ürün yöneticilerinin işlerinin olumsuz etkileneceğinden korktukları söylendiği için buna kulak asmadı.
Bir yönetici Harris'e her şeyden önce ABD federal hükümetiyle yapılan kazançlı bir bulut hizmetleri sözleşmesinin tehlikede olduğunu söyledi. Daha sonra kendi inisiyatifiyle New York Polisi gibi özellikle ağır darbe alan Microsoft müşterilerini güvence altına aldı ve son olarak 2020'de sözleşmeyi feshetti.
Sadece birkaç ay sonra, Solarwinds saldırısı sırasında Rus saldırganlar, Microsoft'un kimlik doğrulama protokollerindeki diğer şeylerin yanı sıra güvenlik açıklarından birçok devlet kuruluşuna sızdı ve büyük miktarlarda veri çaldı. Saldırının ardından Brad Smith, Microsoft'un suç ortaklığını özellikle reddetti; bu iddia artık en iyi ihtimalle şüpheli görünüyor.
Redmond, ProPublica tarafından bir açıklama istendiğinde yalnızca “Güvenli Gelecek Girişimi”ni bir güvenlik incir yaprağı olarak vurgulayan genel bir açıklama yaptı: Şirket, Smith ve diğer yöneticilerle röportaj taleplerini reddetti.
Ancak Smith, komisyonun sorularını yanıtladı: departmanların yeni bir CISO (Baş Bilgi Güvenliği Görevlisi) yapısı, etkilenen çalışanlardan geri bildirim toplamalı ve bu çalışanlar – yaklaşan kültürel değişim bağlamında da – eskisinden daha fazla dinlenmeli.
Cumhuriyetçi Laurel Lee'nin tartışmalı Recall ekran kaydediciyle ilgili sorusu bir nevi ek nottu. Bu, güvenlik uzmanlarının kapsamlı eleştirileri sonrasında daha da geliştirildi ve artık verileri de şifreliyor. Microsoft ayrıca ürünün kullanılabilirliğini de sınırladı: Yakın zamanda duyurulduğu gibi, Recall'a başlangıçta yalnızca “Windows Insider Programı” kullanıcıları erişebilecek.
(cku)
Haberin Sonu
Duyuru
Alıntının nedeni, Çinli saldırganlar tarafından Microsoft'un bulutuna zorla girilmesiydi: Storm-0558 grubunun geçen yıl mayıs ayında yaptığı saldırı muhtemelen casusluk amaçlıydı ve şirkete karşı ciddi suçlamalara yol açtı. ABD siber güvenlik kurumu CISA'nın Siber Güvenlik İnceleme Kurulu (CSRB), Microsoft'un güvenlik uygulamaları hakkında yıkıcı bir karar yayınladı: Uzmanlar, “bir dizi önlenebilir hatanın” ciddi saldırılara yol açtığını söyledi. Microsoft'un kitaplarına kapsamlı bir eylem planı yazdılar ve buna CISA'nın ABD federal yetkililerine gönderdiği bir acil durum talimatı da eşlik etti.
Microsoft kendisini sorumlu ilan ediyor
Öncelikle Smith, işvereni adına yaptığı açıklamada (yazılı olarak da mevcuttur), CSRB ve diğer yetkililerin Microsoft'a yüklediği tüm hataların tüm sorumluluğunu kabul etti. Ancak komite üyeleri, grubun üst yöneticisine yöneltilen yorumları ve kritik soruları eksik etmedi. Muhalefet lideri Thompson, Storm-0558 saldırılarını neden Microsoft'un değil de ABD Dışişleri Bakanlığı'nın keşfettiğini sordu: Öyle olmalı, diye yanıtladı Smith. Kimse her şeyi göremez. Thompson, ABD hükümetinin Microsoft'a bu görev için para ödediğini ve şirketin artık güvenini yeniden kazanması gerektiğini söyledi.
İç Güvenlik Komitesi, yalnızca yabancı güçlerin saldırılarından değil aynı zamanda Microsoft'un Çin'deki ticari faaliyetlerinden de özellikle endişe duyuyor. Şirketin Orta Krallık'taki mevcut mevzuata uymak zorunda olup olmadığı sorulduğunda Smith, kaçamak bir şekilde Çin İstihbarat Yasası (国家情报法) gibi yasaların geçerli olduğunu ancak her zaman uygulanmadığını söyledi. Microsoft ayrıca, örneğin Çin hükümetine veri veya kod iletirken, hangi kırmızı çizgileri aşmak istemediğini hem dahili hem de harici olarak çok açık bir şekilde iletmektedir.
Smith komiteye güvence vermeye çalıştı: “Güvenli Gelecek” girişimiyle sadece kültürel bir değişim başlatmakla kalmadılar, aynı zamanda bu konuda büyük bir kararlılıkla çalışıyorlar. Şu anda, CSRB'nin tavsiyelerinin uygulanmasına o kadar çok Microsoft çalışanı katılıyor ki bu, 34.000 tam zamanlı işe eşdeğerdir ve bu da onu dijital teknoloji tarihindeki en büyük siber güvenlik geliştirme projesi haline getiriyor. ABD hükümeti Microsoft'un büyük bir müşterisidir ve Redmond'a yılda yaklaşık 300 milyon dolar aktarmaktadır.
İhbar suçlaması: Microsoft satışları güvenlikten daha mı önemliydi?
Komisyonun birkaç üyesi, duruşmadan kısa bir süre önce ortaya çıkan ve eski bir çalışanın Microsoft'a karşı ciddi iddialarda bulunduğu bir ProPublica makalesine atıfta bulundu. Şu anda Microsoft'un rakibi CrowdStrike'da çalışan Andrew Harris, yıllardır Microsoft'un Active Directory Federasyon Hizmetlerinde (ADFS) “Altın SAML” adı verilen bir güvenlik kusurunun ölümcül etkilerine dikkat çektiğini söylüyor. Ancak o zamanki işvereni, Amerikan şirketinin ürün yöneticilerinin işlerinin olumsuz etkileneceğinden korktukları söylendiği için buna kulak asmadı.
Bir yönetici Harris'e her şeyden önce ABD federal hükümetiyle yapılan kazançlı bir bulut hizmetleri sözleşmesinin tehlikede olduğunu söyledi. Daha sonra kendi inisiyatifiyle New York Polisi gibi özellikle ağır darbe alan Microsoft müşterilerini güvence altına aldı ve son olarak 2020'de sözleşmeyi feshetti.
Sadece birkaç ay sonra, Solarwinds saldırısı sırasında Rus saldırganlar, Microsoft'un kimlik doğrulama protokollerindeki diğer şeylerin yanı sıra güvenlik açıklarından birçok devlet kuruluşuna sızdı ve büyük miktarlarda veri çaldı. Saldırının ardından Brad Smith, Microsoft'un suç ortaklığını özellikle reddetti; bu iddia artık en iyi ihtimalle şüpheli görünüyor.
Redmond, ProPublica tarafından bir açıklama istendiğinde yalnızca “Güvenli Gelecek Girişimi”ni bir güvenlik incir yaprağı olarak vurgulayan genel bir açıklama yaptı: Şirket, Smith ve diğer yöneticilerle röportaj taleplerini reddetti.
Ancak Smith, komisyonun sorularını yanıtladı: departmanların yeni bir CISO (Baş Bilgi Güvenliği Görevlisi) yapısı, etkilenen çalışanlardan geri bildirim toplamalı ve bu çalışanlar – yaklaşan kültürel değişim bağlamında da – eskisinden daha fazla dinlenmeli.
Cumhuriyetçi Laurel Lee'nin tartışmalı Recall ekran kaydediciyle ilgili sorusu bir nevi ek nottu. Bu, güvenlik uzmanlarının kapsamlı eleştirileri sonrasında daha da geliştirildi ve artık verileri de şifreliyor. Microsoft ayrıca ürünün kullanılabilirliğini de sınırladı: Yakın zamanda duyurulduğu gibi, Recall'a başlangıçta yalnızca “Windows Insider Programı” kullanıcıları erişebilecek.
(cku)
Haberin Sonu