Microsoftin kyberturvallisuusstrategiat viimeaikaisista kyberhyökkäyksestä, jota hallituksen neuvoa-antava lautakunta kutsui "estettäväksi" Kiinan vakoilukampanjan jälkeen

Äskettäin julkistetun hallituksen neuvottelukunnan raivostuttava raportti on valaisenut jyrkästi Microsoftin kyberturvallisuusstrategioita ja leimannut ne "estettäviksi" viime kesänä teknologiajättiläiseen kohdistuneen kiinalaisen vakoilukampanjan jälkeen. Lautakunnan arvio on merkittävä kritiikki Microsoftin kyberturvallisuuskäytäntöjä kohtaan, erityisesti useiden korkean profiilin rikkomusten valossa, jotka ovat vaarantaneet Yhdysvaltain hallituksen arkaluonteiset tiedot.

Yhdysvaltain kyberturvallisuuden arviointilautakunta, joka toimii Cybersecurity and Infrastructure Security Agencyn (CISA) alaisuudessa, on tutkinut ahkerasti Microsoftin rikkomista sen perustamisesta lähtien elokuun alussa. Viime heinäkuussa Kiinan hallituksen hakkerit murtautuivat Microsoftin pilviverkkoihin ja pääsivät sähköpostiin noin 25 organisaatiossa, mukaan lukien korkea-arvoisten virkamiesten, kuten kauppaministeri Gina Raimondon ja useiden valtion virkamiesten, sähköpostit. Tämä rikkomus herätti laajaa huolta Washingtonissa, kun otetaan huomioon Microsoftin asema Yhdysvaltain hallituksen ensisijaisena pilvipalveluntarjoajana.

Hallintoneuvoston raportissa mainitaan "välttämättömiä virheitä" ja Microsoftin kyvyttömyyttä havaita keskeisten salausomaisuuksien vaarantumista rikkomisen perimmäisinä syinä. Viimeisten seitsemän kuukauden aikana hallituksen jäsenet ovat tarkastelleet Microsoftin toimintaa ja strategisia päätöksiä korostaen yritysten tietoturvainvestointien priorisointia ja tiukkaa riskienhallintaa vaikuttavina tekijöinä.

Tutkinnassa oli kuitenkin haasteita, sillä kolme hallituksen jäsentä pidättäytyi äänestämästä ristiriitaisten taloudellisten tai työllisyyden vuoksi. Tästä huolimatta viranomaiset varoittavat Kiinan hallituksen kybertiimien jatkuvasta kohdistamisesta arvokkaisiin yhdysvaltalaisiin yrityksiin.

Raportti on herättänyt keskustelua Microsoftin kilpailijoiden ja kriitikoiden keskuudessa, jotka väittävät, että yhtiön määräävä asema Yhdysvaltain hallituksen ensisijaisena pilvipalveluntarjoajana aiheuttaa merkittäviä kansallisia turvallisuusriskejä. Vastauksena Microsoft on ryhtynyt toimiin vahvistaakseen sisäistä kyberturvallisuuskulttuuriaan, mukaan lukien turvalokien käyttöoikeuden laajentaminen ja uusien suojaustoimenpiteiden käyttöönotto.

Tulevaisuudessa CISA suunnittelee perustavansa pilvipalveluntarjoajille vankkoja tietoturvakäytäntöjä, joiden tavoitteena on edistää alan läpinäkyvyyttä ja vastuullisuutta. Kun Microsoft tarkastelee raporttia mahdollisista tietoturvaparannuksista, laajempi keskustelu kyberturvallisuudesta ja kansallisesta puolustuksesta digitaaliaikana kehittyy edelleen.