Microsoft heeft de beveiliging van zijn clouddiensten verre van op orde. Bij ‘s werelds grootste softwarebedrijf is al decennia sprake van een bedrijfscultuur waarin investeringen in de security geen prioriteit krijgen. Ook het risicobeheer is een ondergeschoven kindje.
Uit onderzoek in opdracht van het Amerikaanse ministerie van Binnenlandse Veiligheid blijkt er bij Microsoft sprake van een ‘opeenstapeling van vermijdbare fouten en blunders op gebied van security’. Het bedrijf geeft een groot deel van zijn geld uit aan nieuwe features zoals thans ai, wat ten koste gaat van een behoorlijke beveiliging. President Biden is inmiddels op de hoogte gesteld.
De Cyber Safety Review Board (CSRB), onderdeel van genoemd ministerie, concludeert dat de Microsoft Exchange Online-inbraak door Chinese staatshackers was te voorkomen als de it-gigant zijn zaakjes beter voor elkaar zou hebben gehad. Een hack van deze omvang, waarbij de mailboxen van 22 (overheids)organisaties en meer dan vijfhonderd personen onder wie belangrijke overheidsfunctionarissen werd gehackt, had nooit hoeven gebeuren.
Storm-0558
De Raad komt tot de conclusie dat Microsoft de ene fout na de andere maakte, waarna de Chinese hackersgroep Storm-0558 toegang kon krijgen zonder dat er bij het bedrijf alarmbellen klonken. De cybercriminelen kregen vervolgens de ‘cryptografische kroonjuwelen’ in handen, waarmee ze in elk Exchange Online-account konden rondneuzen. Microsoft had helemaal niet door dat de hackers over de ‘signing keys’ beschikten die hen in staat stelden om authenticatie ‘tokens’ te gebruiken. Ook toen een klant onraad rook, bleef Microsoft passief. In plaats van zelf te acteren liet het bedrijf vervolgacties aan de klant over.
De Raad stelt verder vast dat bij Microsoft bepaalde veiligheidscontroles ontbraken die bij andere cloud-aanbieders standaard zijn. Microsoft slaagde er zelfs niet in om een inbreuk op de laptop van een werknemer van een onlangs overgenomen bedrijf te detecteren voordat deze in 2021 verbinding kon maken met het bedrijfsnetwerk van Microsoft.
Kwalijk ook is dat Microsoft verzuimde om onjuiste publieke verklaringen over de Chinese hack tijdig te corrigeren. Het bedrijf deed voorkomen alsof de vermoedelijke hoofdoorzaak van de inbraak was vastgesteld, terwijl Microsoft hier nog geen idee van had. Hoewel Microsoft in november 2023 erkende dat zijn blogpost van 6 september vorig jaar over de hoofdoorzaak onjuist was, heeft het bedrijf dat bericht pas op onlangs bijgewerkt. Microsoft moest toen wel omdat het onderzoeksrapport er aan kwam en de CSRB steeds op correctie aandrong.
Hoogste normen
Begin dit jaar bleek uit een ander incident dat de Chinezen toegang konden hebben tot uiterst gevoelige bedrijfs-mailaccounts, source code repositories en interne systemen. De onderzoekers vinden dat juist Microsoft met zijn alomtegenwoordige en cruciale producten de hoogste normen op gebied van beveiliging, verantwoordelijkheid en transparantie moet hanteren.
De Amerikaanse autoriteiten dringen erop aan dat ceo Satya Nadella de veiligheidscultuur snel verandert en het totale productaanbod veiliger maakt. Minister Alejandro Mayorkas (Binnenlandse Veiligheid) is het daar roerend mee eens. Iedereen vertrouwt dagelijks op clouddiensten, zei hij bij het ontvangen van het rapport. ‘De veiligheid van deze technologie is belangrijker dan ooit.’
Waarom verbaast me dit nou niet?
Zeer slechte zaak, maar de redactie van Computable lijkt bewust zaken weg te laten uit het originele rapport – beetje sensatiezoekerij zoals het nu is geschreven.
Uit het artikel van de Cyber Safety Review Board:
“…Microsoft fully cooperated with the Board’s review…”
“…We appreciate Microsoft’s full cooperation in the course of the Board’s seven-month, independent review…”
Microsoft is een bedrijf dat 1 miljard per jaar investeert in security. Dat miljard gaat niet naar AI maar dedicated naar security. Om dan te zeggen dat Microsoft al decennialang de boel verslonst is pure stemmingmakerij.
Zeker, het rapport is niet mals. Microsoft heeft serieuze opeenstapelende fouten gemaakt met als gevolg het incident met Exchange Online. Daar moeten gevolgen aan vast zitten, zoals een commissie die hier een onderzoek naar doet en opvolging aan de bevindingen. Maar laten wij niet vergeten dat Microsoft non stop auditors over de vloer heeft die continu compliance toetsen aan de certificeringen die het bedrijf heeft. Deze auditors zouden dus allemaal al decennialang falen en het bedrijf onterecht de hoogste certificeringen op gebied van beveiliging toekennen. Dat klinkt niet aannemelijk.
Ze hebben mooie woorden altijd, maar dit bewijst ook weer dat er niks van klopt daar. vBoxx had hier laatst ook een artikel over dat over de veiligheid ging (https://vboxx.eu/blog/microsofts-hidden-agenda)