Microsoft'un Son Siber Saldırılara İlişkin Siber Güvenlik Stratejileri, Çin Casusluk Kampanyasının Ardından Hükümet Danışma Kurulu Tarafından 'Önlenebilir' Olarak Adlandırıldı

Önde gelen bir hükümet danışma kurulunun yakın zamanda yayınladığı sert bir rapor, Microsoft'un siber güvenlik stratejilerine sert bir ışık tuttu ve geçen yaz teknoloji devini hedef alan Çin casusluk kampanyasının ardından bunları "önlenebilir" olarak etiketledi. Kurulun değerlendirmesi, özellikle hassas ABD hükümeti verilerini riske atan çok sayıda yüksek profilli ihlal ışığında, Microsoft'un siber güvenlik uygulamalarına yönelik önemli bir eleştiriye işaret ediyor.

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bünyesinde faaliyet gösteren ABD Siber Güvenlik İnceleme Kurulu, Ağustos ayının başındaki başlangıcından bu yana Microsoft'taki ihlali titizlikle araştırıyor. Geçen Temmuz ayında, Çin hükümetinin bilgisayar korsanları Microsoft'un bulut ağlarını ihlal ederek Ticaret Bakanı Gina Raimondo gibi üst düzey yetkililerin ve çeşitli Devlet yetkililerinin de aralarında bulunduğu yaklaşık 25 kuruluşun e-posta gelen kutularına erişim sağladı. Microsoft'un ABD hükümetinin birincil bulut sağlayıcısı statüsü göz önüne alındığında, bu ihlal Washington'da yaygın endişelere yol açtı.

Kurulun raporu, "önlenebilir hatalara" ve Microsoft'un, ihlalin temel nedenleri olarak önemli kriptografik varlıkların ele geçirilmesini tespit etme konusundaki başarısızlığına işaret ediyor. Geçtiğimiz yedi ay boyunca yönetim kurulu üyeleri Microsoft'un operasyonlarını ve stratejik kararlarını incelediler ve kurumsal güvenlik yatırımlarının önceliklendirilmesinin ve sıkı risk yönetiminin katkıda bulunan faktörler olduğunu vurguladılar.

Ancak soruşturmada zorluklarla karşılaşıldı; üç yönetim kurulu üyesi mali veya istihdamla ilgili çıkar çatışmaları nedeniyle çekimser kaldı. Buna rağmen yetkililer, Çin hükümetinin siber ekipleri tarafından yüksek değerli ABD şirketlerini hedef almaya devam etme olasılığı konusunda uyarıyor.

Rapor, Microsoft'un ABD hükümetinin birincil bulut sağlayıcısı olarak hakim konumunun önemli ulusal güvenlik riskleri oluşturduğunu iddia eden rakipleri ve eleştirmenleri arasında tartışmaları ateşledi. Buna yanıt olarak Microsoft, güvenlik günlüklerine erişimin genişletilmesi ve yeni güvenlik önlemlerinin uygulanması da dahil olmak üzere, iç siber güvenlik kültürünü güçlendirmek için adımlar attı.

İleriye dönük olarak CISA, sektörde şeffaflığı ve hesap verebilirliği teşvik etmeyi amaçlayan bulut hizmet sağlayıcıları için sağlam güvenlik uygulamalarına yönelik bir temel oluşturmayı planlıyor. Microsoft, olası güvenlik iyileştirmeleri için raporu incelerken, dijital çağda siber güvenlik ve ulusal savunmayla ilgili daha geniş tartışmalar gelişmeye devam ediyor.