Отчет независимого совета по обзору кибербезопасности обвиняет технологического гиганта в некачественных методах обеспечения кибербезопасности, слабой корпоративной культуре и преднамеренном отсутствии прозрачности.
Наблюдательный совет, уполномоченный президентом Байденом, опубликовал во вторник резкий отчет с подробным описанием ошибок технологического гиганта Microsoft, которые привели к целенаправленному взлому в Китае электронных писем высокопоставленных правительственных чиновников США в прошлом году, включая министра торговли Джину Раймондо.
Отчет Совета по обзору кибербезопасности, копию которого The Post получила до его официального выпуска, нацелен на некачественные методы обеспечения кибербезопасности, слабую корпоративную культуру и намеренное отсутствие прозрачности в отношении того, что Microsoft знала об источниках взлома. Это резкое обвинение технологического гиганта, облачная инфраструктура которого широко используется потребителями и правительствами по всему миру.
Правление выпустило широкие рекомендации, которые в случае реализации значительно повысят открытость и безопасность быстро развивающейся индустрии облачных вычислений.
Вторжение, в результате которого были взломаны почтовые ящики Microsoft Exchange Online 22 организаций и более 500 частных лиц по всему миру, было “предотвратимым” и “никогда не должно было произойти”, – говорится в заключении отчета.
Возможно, наиболее тревожным, как ясно из отчета правления, является то, что Microsoft до сих пор не знает, как китайцы осуществили атаку.
В заявлении для The Post Microsoft заявила, что высоко оценивает работу правления.
Представитель Microsoft заявил, что “недавние события продемонстрировали необходимость внедрения новой культуры инженерной безопасности в наших собственных сетях”, отметив, что компания выступила с инициативой для этого. “Хотя ни одна организация не застрахована от кибератак со стороны хорошо обеспеченных ресурсами злоумышленников, мы мобилизовали наши команды инженеров для выявления и смягчения последствий устаревшей инфраструктуры, улучшения процессов и обеспечения соблюдения контрольных показателей безопасности”.
Отчет является третьим и наиболее значительным обзором независимого совета директоров двухлетней давности, который расследует подобные инциденты, чтобы правительственные чиновники и более широкое сообщество безопасности могли лучше защищать цифровые сети и инфраструктуру страны. Правление, состоящее из правительственных и отраслевых экспертов, возглавляет Роберт Сильверс, заместитель Министра внутренней безопасности по политике.
Спецслужбы США заявляют, что взлом, обнаруженный в июне, был осуществлен от имени главной шпионской службы Пекина, Министерства государственной безопасности (MSS). Служба проводит масштабную хакерскую операцию, в которую входит группа, проводившая кампанию по вторжению, получившую название Operation Aurora, которая была впервые публично раскрыта Google в 2010 году.
Вторжения Microsoft в 2023 году использовали пробелы в безопасности в облаке компании, позволив хакерам MSS подделать учетные данные, которые позволили им перекачивать электронные письма чиновников Кабинета министров, таких как Раймондо, а также Николаса Бернса, посла США в Китае, и других высокопоставленных чиновников Госдепартамента.
“На протяжении всего этого обзора правление выявило ряд операционных и стратегических решений Microsoft, которые в совокупности указывают на корпоративную культуру, лишившую приоритета как инвестиции в безопасность предприятия, так и строгое управление рисками”, – говорится в нем.
Другими словами, говорится в отчете, “культура безопасности фирмы была неадекватной и требует пересмотра”.
Правительство США полагается на Microsoft как на одного из крупнейших поставщиков программного обеспечения и облачных сервисов — контракты на миллиарды долларов в год.
Один из самых резких упреков касается публичных сообщений компании по этому делу. Microsoft, как обнаружила комиссия, в течение нескольких месяцев не исправляла неточные или вводящие в заблуждение заявления, предполагающие, что нарушение произошло из-за “аварийного дампа” или оставшихся данных, содержащихся после сбоя системы. Фактически, отмечается в отчете, Microsoft по-прежнему не уверена, привело ли это событие к взлому.
Microsoft внесла изменения в свои заявления о государственной безопасности только 12 марта после неоднократного опроса правления о планах выпуска исправления, и когда стало ясно, что правление завершает проверку.
Правление считает неправильным “решение Microsoft своевременно не исправлять свои неточные публичные заявления об этом инциденте, включая корпоративное заявление о том, что Microsoft считает, что определила вероятную первопричину вторжения, хотя на самом деле это все еще не так”, согласно отчету.
Первоначальное заявление Microsoft о вторжении было сделано в июле, в нем отмечалось, что злоумышленник из Китая каким-то образом получил ключ “подписи”, или цифровой сертификат, позволяющий хакерам подделывать учетные данные пользователей и красть электронные письма Outlook.
В обновлении заявления от 6 сентября Microsoft предположила, что хакеры получили ключ в результате его случайного включения в аварийный дамп, который не был обнаружен системами безопасности фирмы.
Однако в ноябре Microsoft признала правлению, что сентябрьский пост в блоге “был неточным”, говорится в отчете.
Microsoft обновила сообщение несколько недель назад. В обновлении Центр реагирования на безопасность Microsoft признает, что “мы не нашли аварийный дамп, содержащий поврежденный ключевой материал”.
После многих лет расхваливания своей кибербезопасности Microsoft — самая ценная компания в мире — столкнулась с недавними досадными нарушениями. В начале 2021 года хакеры, спонсируемые правительством Китая, взломали почтовые серверы Microsoft Exchange, подвергнув риску по меньшей мере 30 000 государственных и частных организаций в Соединенных Штатах и не менее 200 000 по всему миру.
В январе Microsoft обнаружила атаку на свои корпоративные системы электронной почты, совершенную российской службой внешней разведки SVR. Компания заявила, что шпионы проникли в подразделение тестирования, каким-то образом проникнув оттуда в электронные письма руководителей высшего звена и сотрудников службы безопасности. Microsoft предупредила своего клиента Hewlett-Packard Enterprise о том, что он был взломан в рамках этой кампании, а официальные лица США сообщили The Post в прошлом месяце, что были десятки других жертв, включая реселлеров Microsoft.
В совокупности “это указывает на то, что все довольно плохо”, – сказал один человек, знакомый с выводами комиссии, который, как и другие, говорил на условиях анонимности, поскольку отчет еще не был опубликован.
По словам официальных лиц США, Государственный департамент обнаружил взлом в Китае в июне и проинформировал Microsoft. В отчете отмечается, что агентство смогло обнаружить вторжение отчасти потому, что заплатило за более высокий уровень обслуживания, который включал журналы аудита, которые помогли определить, что хакеры скачали около 60 000 электронных писем. Теперь компания предоставляет агентствам США бесплатные услуги после переговоров с федеральными чиновниками.
В отчете подробно описывается то, что он называет “каскадом ошибок, которых можно избежать”. Например, Microsoft не заметила наличие старого ключа подписи от 2016 года, который должен был быть отключен, но не был. “Эта ошибка просто пролежала годы, как бы забытая”, – сказал второй человек. Частично проблема заключалась в том, что Microsoft должна была перейти от ручного поворота клавиш к автоматизированной системе, которая сводила к минимуму вероятность человеческой ошибки. Но этого переключения так и не произошло. “Они никогда не ставили во главу угла устранение проблемы”, – сказал первый человек.
Другая ошибка заключалась в том, что ключ работал как в деловых, так и в потребительских сетях, нарушая стандартный протокол. “Было несколько моментов, когда только базовые вещи могли бы иметь значение”, – сказал второй человек.
Третья ошибка, отмеченная в отчете, заключалась в том, что службы безопасности Microsoft не осознавали, что инженер, фирма которого была приобретена в 2020 году, работал на взломанном ноутбуке, которому в 2021 году был разрешен доступ к корпоративной сети. По словам людей, знакомых с выводами комиссии, нет никаких доказательств того, что компьютер инженера был причиной взлома, хотя Microsoft предположила в своем мартовском обновлении, что ”скомпрометированная учетная запись инженера“ является “основной гипотезой” о том, как произошел взлом.
Первопричина, возможно, никогда не будет известна, указывается в отчете, но Microsoft не провела адекватной оценки сетевой безопасности приобретенной фирмы, прежде чем разрешить инженеру подключить свой ноутбук — элементарное несоблюдение стандартной практики кибербезопасности.
Microsoft сотрудничала с расследованием комиссии, отмечается в отчете.
Отчет отражает годы растущего разочарования в Microsoftсреди законодателей, правительственных чиновников и отраслевых экспертов. В 2020 году российские правительственные хакеры проникли в компанию сетевого программного обеспечения SolarWinds, чтобы атаковать электронные письма сотрудников правительственных учреждений США. Одним из способов кражи электронных писем было использование слабых мест в программе Microsoft, которую некоторые компании используют на своих почтовых серверах для аутентификации сотрудников. Взлом SolarWinds затронул по меньшей мере девять федеральных агентств и 100 компаний частного сектора.
В следующем году президент Microsoft Брэд Смит заявил законодателям Сената, что клиенты, которые хотят “наилучшей безопасности, должны перейти в облако” — то самое облако или удаленные серверы, которые стали жертвой китайского взлома в прошлом году. После этого вторжения сенатор. Рон Уайден (D-Ru.) написал нескольким правительственным учреждениям с просьбой привлечь Microsoft к ответственности за допущенные ею ошибки.
Нарушение 2023 года могло быть гораздо более масштабным. С украденным ключом хакеры “могли отчеканить токены аутентификации [учетные данные] практически для любой онлайн-учетной записи Microsoft”, – сказал третий человек, знакомый с этим вопросом. Но они, очевидно, решили нацелиться на конкретных людей, представляющих интерес, таких как министр торговли, конгрессмен и чиновники Госдепартамента, которые занимаются проблемами Китая, сказал источник.
В отчете подчеркивается, что крупные облачные провайдеры, такие как Microsoft, Amazon и Google, являются огромными целями и должны добиваться большего ради общего блага: “Вся отрасль должна объединиться, чтобы кардинально улучшить инфраструктуру идентификации и доступа. … Глобальная безопасность зависит от этого ”.
Представители DHS заявили, что выступят с крупной инициативой и встретятся с компаниями, чтобы повысить стандарты безопасности.
“Набор рекомендаций относительно прозрачности поставщиков облачных услуг, будь то уязвимости, инциденты или методы обеспечения безопасности в более общем плане, – это то, над чем правительство как заказчик собирается больше работать”, – сказал Эрик Гольдштейн, исполнительный помощник директора Агентства DHS по кибербезопасности и инфраструктурной безопасности.
В отчете также содержатся рекомендации, касающиеся таких практик, как обработка ключей подписи и управление учетными данными.
Одна рекомендация заимствована у основателя компании Билла Гейтса, который в 2002 году написал электронное письмо своим сотрудникам,подчеркнув, что безопасность является приоритетом. “В прошлом, – отметил Гейтс в своем послании, – мы делали наше программное обеспечение и сервисы более привлекательными для пользователей, добавляя новые функции”. Все это не имеет значения, если клиенты не могут доверять программному обеспечению, сказал он. “Итак, теперь, когда мы стоим перед выбором между добавлением функций и решением проблем безопасности, нам нужно выбрать безопасность”, – написал он.
Комиссия рекомендовала Microsoft прислушаться к стратегии Гейтса и рассмотреть возможность приостановки внедрения новых функций до устранения проблем с безопасностью.
Независимый характер комиссии означает, что ни один государственный орган — ни Белый дом, ни Министерство внутренней безопасности, в котором находится комиссия, — не может диктовать выводы или рекомендации отчета.
“Потребовалось создание чего-то вроде этой платы, чтобы дать достоверную и непредвзятую оценку поведения Microsoft, что является необходимым шагом к подотчетности”, – сказал Джейсон Кикта, бывший глава отдела партнерств с частным сектором киберкомандования США, а ныне директор по информационной безопасности IT-компании Automox, занимающейся разработкой программного обеспечения.