Microsofts cybersikkerhedsstrategier for nyligt cyberangreb kaldet 'forebyggelige' af et regeringsråd efter kinesisk spionagekampagne

En nylig sønderlemmende rapport fra en fremtrædende regeringsadvisory board har kastet et skarpt lys over Microsofts cybersikkerhedsstrategier og betegner dem som "forebyggelige" i kølvandet på en kinesisk spionagekampagne rettet mod teknologigiganten sidste sommer. Bestyrelsens vurdering markerer en væsentlig kritik af Microsofts cybersikkerhedspraksis, især i lyset af adskillige højprofilerede brud , der har sat følsomme amerikanske regeringsdata i fare.

Det amerikanske Cyber Safety Review Board, der opererer inden for Cybersecurity and Infrastructure Security Agency (CISA), har omhyggeligt undersøgt bruddet hos Microsoft siden starten i begyndelsen af august. Sidste juli brød kinesiske regeringshackere Microsofts cloud-netværk og fik adgang til e-mail-indbakker på tværs af cirka 25 organisationer, inklusive dem fra højtstående embedsmænd som handelsminister Gina Raimondo og forskellige statslige embedsmænd. Dette brud vakte udbredt bekymring i Washington, givet Microsofts status som den primære cloud-udbyder for den amerikanske regering.

Bestyrelsens rapport peger på "undgåelige fejl" og en fejl fra Microsofts side med at opdage kompromitteringen af afgørende kryptografiske aktiver som de grundlæggende årsager til bruddet. I løbet af de sidste syv måneder har bestyrelsesmedlemmer gransket Microsofts drift og strategiske beslutninger, og fremhævet en nedprioritering af virksomhedens sikkerhedsinvesteringer og streng risikostyring som medvirkende faktorer.

Efterforskningen stod dog over for udfordringer, hvor tre bestyrelsesmedlemmer undlod at stemme på grund af modstridende økonomiske eller beskæftigelsesmæssige interesser. På trods af dette advarer embedsmænd om sandsynligheden for fortsat målretning af amerikanske virksomheder af høj værdi af den kinesiske regerings cyberhold.

Rapporten har sat gang i debatter blandt Microsofts konkurrenter og kritikere, som hævder, at virksomhedens dominerende position som den amerikanske regerings primære cloud-udbyder udgør betydelige nationale sikkerhedsrisici. Som reaktion herpå har Microsoft taget skridt til at styrke sin interne cybersikkerhedskultur, herunder udvidelse af adgangen til sikkerhedslogfiler og implementering af nye sikkerhedsforanstaltninger.

Når man ser fremad, planlægger CISA at etablere en baseline af robust sikkerhedspraksis for cloud-tjenesteudbydere med det formål at fremme gennemsigtighed og ansvarlighed i branchen. Mens Microsoft gennemgår rapporten for potentielle sikkerhedsforbedringer, fortsætter den bredere samtale omkring cybersikkerhed og nationalt forsvar i den digitale tidsalder med at udvikle sig.