Mga Istratehiya sa Cybersecurity ng Microsoft sa Kamakailang Cyberattack na Tinawag na 'Maiiwasan' ng Isang Lupon ng Tagapayo ng Pamahalaan Pagkatapos ng Kampanya ng Espionage ng Tsino
Ang isang kamakailang masakit na ulat mula sa isang kilalang advisory board ng gobyerno ay nagbigay ng malupit na liwanag sa mga diskarte sa cybersecurity ng Microsoft, na binansagan ang mga ito bilang "maiiwasan" sa kalagayan ng isang Chinese espionage campaign na nagta-target sa tech giant noong nakaraang tag-araw. Ang pagtatasa ng board ay nagmamarka ng isang makabuluhang pagpuna sa mga kasanayan sa cybersecurity ng Microsoft, lalo na sa ilang mga high-profile na paglabag na naglagay sa sensitibong data ng gobyerno ng US sa panganib.
Ang US Cyber Safety Review Board, na tumatakbo sa loob ng Cybersecurity and Infrastructure Security Agency (CISA), ay masigasig na nag-iimbestiga sa paglabag sa Microsoft mula nang magsimula ito noong unang bahagi ng Agosto. Noong nakaraang Hulyo, nilabag ng mga hacker ng gobyerno ng China ang mga cloud network ng Microsoft, na nakakuha ng access sa mga email inbox sa humigit-kumulang 25 organisasyon, kabilang ang mga opisyal ng matataas na ranggo tulad ni Commerce Secretary Gina Raimondo at iba't ibang opisyal ng Estado. Ang paglabag na ito ay nagdulot ng malawakang pag-aalala sa Washington, dahil sa katayuan ng Microsoft bilang pangunahing tagapagbigay ng ulap para sa gobyerno ng US.
Ang ulat ng board ay tumuturo sa "maiiwasang mga error" at isang kabiguan sa bahagi ng Microsoft na tuklasin ang kompromiso ng mga mahahalagang cryptographic asset bilang pangunahing sanhi ng paglabag. Sa nakalipas na pitong buwan, sinuri ng mga miyembro ng board ang mga pagpapatakbo at estratehikong desisyon ng Microsoft, na itinatampok ang pag-deprioritize ng mga pamumuhunan sa seguridad ng negosyo at mahigpit na pamamahala sa peligro bilang mga salik na nag-aambag.
Gayunpaman, ang pagsisiyasat ay nahaharap sa mga hamon, na may tatlong miyembro ng board na nag-abstain dahil sa magkasalungat na interes sa pananalapi o trabaho. Sa kabila nito, nagbabala ang mga opisyal sa posibilidad ng patuloy na pag-target sa mga kumpanya ng US na may mataas na halaga ng mga cyber team ng gobyerno ng China.
Ang ulat ay nagpasiklab ng mga debate sa mga kakumpitensya at kritiko ng Microsoft, na nangangatuwiran na ang nangingibabaw na posisyon ng kumpanya bilang pangunahing tagapagbigay ng ulap ng gobyerno ng US ay nagdudulot ng malaking panganib sa pambansang seguridad. Bilang tugon, gumawa ang Microsoft ng mga hakbang upang palakasin ang panloob na kultura ng cybersecurity, kabilang ang pagpapalawak ng access sa mga log ng seguridad at pagpapatupad ng mga bagong hakbang sa seguridad.
Sa hinaharap, plano ng CISA na magtatag ng baseline ng matatag na kasanayan sa seguridad para sa mga cloud service provider, na naglalayong isulong ang transparency at pananagutan sa loob ng industriya. Habang sinusuri ng Microsoft ang ulat para sa mga potensyal na pagpapahusay sa seguridad, patuloy na umuunlad ang mas malawak na pag-uusap tungkol sa cybersecurity at pambansang depensa sa digital age.