As Estratégias de Segurança Cibernética da Microsoft foram Chamadas de 'Evitáveis' por um Conselho Consultivo Governamental após a Campanha de Espionagem Chinesa
Um recente relatório contundente de um proeminente conselho consultivo do governo lançou uma luz dura sobre as estratégias de segurança cibernética da Microsoft, rotulando-as como “evitáveis” na sequência de uma campanha de espionagem chinesa visando a gigante da tecnologia no verão passado. A avaliação do conselho marca uma crítica significativa às práticas de segurança cibernética da Microsoft, especialmente diante de várias violações de alto perfil que colocaram em risco dados confidenciais do governo dos EUA.
O Conselho de Revisão de Segurança Cibernética dos EUA, operando dentro da Agência de Segurança Cibernética e de Infraestrutura (CISA), tem investigado diligentemente a violação na Microsoft desde a sua criação no início de agosto. Em julho passado, hackers do governo chinês violaram as redes de nuvem da Microsoft, obtendo acesso a caixas de entrada de e-mail de aproximadamente 25 organizações, incluindo as de funcionários de alto escalão, como a secretária de Comércio, Gina Raimondo, e vários funcionários do Estado. Esta violação gerou preocupação generalizada em Washington, dado o status da Microsoft como o principal fornecedor de nuvem do governo dos EUA.
O relatório do conselho aponta para “erros evitáveis” e uma falha por parte da Microsoft em detectar o comprometimento de ativos criptográficos cruciais como as causas da violação. Nos últimos sete meses, os membros do conselho examinaram minuciosamente as operações e decisões estratégicas da Microsoft, destacando a despriorização dos investimentos em segurança empresarial e a gestão rigorosa de riscos como fatores contribuintes.
No entanto, a investigação enfrentou desafios, com a abstenção de três membros do conselho devido a conflitos de interesses financeiros ou laborais. Apesar disso, as autoridades alertam para a probabilidade de as equipas cibernéticas do governo chinês continuarem a atacar empresas norte-americanas de elevado valor.
O relatório gerou debates entre os concorrentes e críticos da Microsoft, que argumentam que a posição dominante da empresa como principal fornecedora de nuvem do governo dos EUA representa riscos significativos para a segurança nacional. Em resposta, a Microsoft tomou medidas para reforçar a sua cultura interna de cibersegurança, incluindo a expansão do acesso aos registos de segurança e a implementação de novas medidas de segurança.
Olhando para o futuro, a CISA planeia estabelecer uma base de práticas de segurança robustas para fornecedores de serviços em nuvem, com o objetivo de promover a transparência e a responsabilização na indústria. À medida que a Microsoft analisa o relatório em busca de potenciais melhorias de segurança, a conversa mais ampla sobre segurança cibernética e defesa nacional na era digital continua a evoluir.