Un informe federal critica duramente la laxa seguridad de Microsoft y su respuesta deshonesta al hackeo chino


Un comité de investigación designado por la administración de Biden publicó el martes un informe que critica mordazmente la seguridad y transparencia corporativa de Microsoft, citando una “serie de fallas” por parte del gigante tecnológico que llevó a que ciberatacantes chinos respaldados por el gobierno apuntaran a Gina Raimondo. Dijo que había violado el correo electrónico. relatos de altos funcionarios estadounidenses, incluido el Secretario de Comercio.

La Junta de Revisión de Ciberseguridad, establecida por orden ejecutiva en 2021, ha evaluado las percepciones de las empresas sobre las malas prácticas de ciberseguridad, la mala cultura corporativa y las infracciones específicas que afectaron a múltiples agencias gubernamentales de EE. UU. que hacen negocios con China. Habla de una falta de integridad al respecto.

Dada la ubicuidad de la empresa y su papel crítico en el ecosistema tecnológico global, el informe concluyó que “la cultura de seguridad de Microsoft es inadecuada y necesita una revisión”. Los productos de Microsoft “respaldan servicios críticos que respaldan nuestra seguridad nacional, infraestructura económica y salud y seguridad públicas”.

El comité dijo que la intrusión, descubierta por el Departamento de Estado en junio y que se remonta a mayo, era “prevenible y nunca debería haber ocurrido” y que la intrusión exitosa fue una “cadena de errores evitables a los que culpé”. Además, el comité dijo que Microsoft aún no sabe cómo entraron los piratas informáticos.

El comité hizo amplias recomendaciones, incluida la de pedir a Microsoft que postergue la incorporación de funciones a su entorno de computación en la nube “hasta que la seguridad mejore significativamente”.

El CEO y la junta directiva de Microsoft emprendieron un “cambio cultural rápido”, incluida la publicación de “un plan con un cronograma específico para cambios fundamentales centrados en la seguridad en toda la empresa y en todas las líneas de productos”. Creo que debería hacerse.

Microsoft dijo en un comunicado que apreciaba la investigación del comité y “continúa fortaleciendo todos nuestros sistemas contra ataques e implementando sensores y registros aún más potentes para detectar y derrotar a las fuerzas cibernéticas adversas”.

Un informe de 34 páginas dice que piratas informáticos respaldados por el gobierno chino violaron los correos electrónicos de Microsoft Exchange Online de 22 organizaciones y más de 500 personas en todo el mundo, incluido el embajador de Estados Unidos en China, Nicholas Burns, durante un período de al menos seis semanas. buzones de correo basados ​​​​en y descargó aproximadamente 60.000 correos electrónicos solo del Departamento de Estado. Las organizaciones comprometidas incluyeron tres grupos de expertos, incluido el Centro Nacional de Seguridad Cibernética del Reino Unido, y cuatro agencias gubernamentales extranjeras.

Recomendación

Un comité convocado en agosto por el secretario de Seguridad Nacional, Alejandro Mayorkas, acusó a Microsoft de hacer declaraciones públicas inexactas sobre el incidente. Eso incluyó emitir un comunicado diciendo que creía haber identificado la posible causa raíz de la intrusión, pero “en realidad aún no lo hemos hecho”. Microsoft no actualizó una entrada de blog engañosa que publicó en septiembre hasta mediados de marzo, dijo la compañía, después de que el comité preguntara repetidamente si planeaba emitir una corrección.

Por otra parte, la junta también expresó su preocupación por otro ataque que la compañía de Redmond, Washington, reveló en enero. El ataque involucró cuentas de correo electrónico que involucraban a un número no revelado de altos ejecutivos de Microsoft y un número no revelado de clientes de Microsoft, y fue atribuido a piratas informáticos rusos patrocinados por el estado.

La junta lamentó una “cultura corporativa que ignora tanto las inversiones en seguridad corporativa como la gestión rigurosa de riesgos”.

El hackeo chino, que Microsoft reveló por primera vez en una publicación de blog en julio, fue llevado a cabo por un grupo que la compañía llama Storm0558. El comité descubrió que el mismo grupo había llevado a cabo intrusiones similares (infiltrándose en proveedores de nube y robando claves de autenticación para poder acceder a cuentas) desde al menos 2009, incluido el pirateo de Google, Yahoo, Adobe y Dow Chemical, y dijo que estaba dirigido a empresas. como Morgan Stanley.

Microsoft dijo en un comunicado que los piratas informáticos involucrados eran “actores de amenazas de estados-nación bien financiados que continúan operando sin ningún elemento disuasivo significativo”.

La compañía reconoció que los acontecimientos recientes “demostraron la necesidad de introducir una nueva cultura de seguridad de ingeniería en sus redes” y “movilizaron equipos de ingeniería para identificar y mitigar la infraestructura heredada”. “Estamos mejorando nuestros procesos y realizando pruebas comparativas de seguridad”.



Fuente: https://www.nbcnews.com/news/amp/rcna146177