Biden yönetimi tarafından atanan bir inceleme kurulu Salı günü yayınladığı raporda, Microsoft’un kurumsal güvenliği ve şeffaflığı konusunda sert bir iddianamede bulunarak, teknoloji devinin devlet destekli Çinli siber saldırganların ABD Ticaret Bakanı Gina Raimondo da dahil olmak üzere üst düzey ABD yetkililerinin e-posta hesaplarına girmesine izin veren “bir dizi hata” yaptığını söyledi.
2021’de idari emirle oluşturulan Siber Güvenlik İnceleme Kurulu, Microsoft’un kalitesiz siber güvenlik uygulamalarını ve gevşek kurumsal kültürünü eleştirirken şirketin Çin ile iş yapan çok sayıda ABD kurumunu etkileyen siber saldırı hakkındaki bilgisi konusunda samimiyetsiz olduğunu düşünüyor. Rapora göre şirketin her yerde bulunması ve küresel teknoloji ekosistemindeki kritik rolü göz önüne alındığında, “Microsoft’un güvenlik kültürünün yetersiz olduğu ve bir revizyon gerektirdiği” sonucuna varıldı. Raporda Microsoft ürünlerinin “ulusal güvenliği, ekonomimizin temellerini ve kamu sağlığı ve güvenliğini destekleyen temel hizmetleri desteklemekte olduğu” dolayısıyla kritik bir öneme sahip olduğuna dikkat çekiliyor.
Kurul, Dışişleri Bakanlığı tarafından Haziran ayında keşfedilen ve Mayıs ayına dayanan izinsiz girişin “önlenebilir olduğunu ve asla gerçekleşmemesi gerektiğini” söyledi ve siber saldırının başarısını “önlenebilir hatalar dizisine” bağladı. Dahası kurul, Microsoft’un hala bilgisayar korsanlarının içeri nasıl girdiğini bilmediğini söyledi. Kurul, Microsoft’un “önemli güvenlik iyileştirmeleri yapılana kadar” bulut bilişim ortamına özellik eklemeyi beklemeye alması da dahil olmak üzere kapsamlı tavsiyelerde bulundu.
Microsoft hızlı ve etkin bir aksiyon almaya davet edildi
Microsoft’un CEO’su ve yönetim kurulunun “şirket genelinde ve tüm ürün paketinde temel, güvenlik odaklı reformlar yapmak için belirli zaman çizelgeleri olan bir planı” kamuoyu ile paylaşmak da dahil olmak üzere “hızlı kültürel değişim” başlatması gerektiği vurgulanıyor.
Microsoft yaptığı açıklamada, yönetim kurulunun soruşturmasını takdir ettiğini ve “tüm sistemleri saldırılara karşı güçlendirmeye ve düşmanlarımızın siber ordularını tespit etmemize ve püskürtmemize yardımcı olmak için daha da sağlam sensörler ve günlükler uygulamaya devam edeceğini” söyledi.
Devlet destekli Çinli bilgisayar korsanları, aralarında ABD’nin Çin Büyükelçisi Nicholas Burns’ün de bulunduğu 22 kuruluşun ve dünya genelinde 500’den fazla kişinin Microsoft Exchange Online e-postalarına sızarak en az altı hafta boyunca bazı bulut tabanlı e-posta kutularına erişmiş ve 34 sayfalık rapora göre sadece Dışişleri Bakanlığı’ndan 60.000 kadar e-posta indirmişti. Üç düşünce kuruluşu ve aralarında İngiltere’nin Ulusal Siber Güvenlik Merkezi’nin de bulunduğu dört yabancı devlet kuruluşunun da ele geçirilenler arasında olduğu belirtiliyor.
Ağustos ayında İç Güvenlik Bakanı Alejandro Mayorkas tarafından toplanan kurul, Microsoft’u olayla ilgili olarak kamuoyuna yanlış beyanlarda bulunmakla suçladı; buna, “aslında hala tespit edemediği halde” izinsiz girişin muhtemel temel nedenini tespit ettiğine inandığını belirten bir açıklama yapmak da dahildi. Microsoft’un Eylül ayında yayınlanan bu yanıltıcı blog yazısını, kurulun defalarca bir düzeltme yayınlamayı planlayıp planlamadığını sormasının ardından Mart ortasına kadar güncellemediği de belirtiliyor.