לאחר שמיקרוסופט הותקפה: "האבטחה היא בתעדוף ראשוני"

סאטיה נאדלה, מנכ"ל מיקרוסופט שלח בסוף השבוע (ו') מזכר לעובדי החברה, בשם Secure Future – ובו כתב: "יש לתעדף את היבט האבטחה על פני שחרור רכיבים ושירותים חדשים, בעת הצורך". אנליסטים ציינו כי המזכר מהדהד לדו"ח פדרלי בו נמתחה ביקורת חריפה על נוהלי האבטחה של החברה.

"אם אתם מתלבטים בין אבטחת מידע לעדיפות אחרת, התשובה ברורה: עשו אבטחה", כתב המנכ"ל במזכר שפרסם. "במקרים מסוימים", המשיך נאדלה כפי שצוטט בידי The Verge, "המשמעות היא הענקת עדיפות לאבטחה על פני דברים אחרים שאנו עושים, כמו שחרור תכונות חדשות, או מתן תמיכה שוטפת למערכות מדור קודם. זהו המפתח לקידום איכות היכולות והפלטפורמה שלנו, כך שנוכל להגן על המרחבים הדיגיטליים של לקוחותינו ולבנות עולם בטוח יותר לכולם".

לא מעט אנליסטים כתבו כי המייל של המנכ"ל נאדלה מהווה "מירוק" ו"הצטחצחות" (Whitewashing) למתקפת הסייבר אותה חוותה החברה: המייל של נדלה נשלח כמה שבועות לאחר שפורסם דו"ח פדרלי על אירוע סייבר במערכת הדוא"ל בענן של מיקרוסופט ב-2023, בו נקבע כי מתקפת סייבר המקושרת לסין הצליחה במידה רבה, בשל נהלי אבטחה רופפים אצל ענקית הטכנולוגיה. את הדו"ח הנפיקו אנשי מועצת סקירת בטיחות הסייבר האמריקנית, ה-CSRB (ר"ת The U.S. Cyber Safety Review Board), שמונו על ידי המשרד להגנת המולדת. אלה מצאו שמיקרוסופט צריכה לתעדף מחדש את האבטחה שלה, ולעשות זאת בהיקף נרחב. לפי הדו"ח הפדרלי, "בחברה יש תרבות ארגונית שערכה תעדוף נמוך ערך לאבטחת הארגון… תרבות זו מנוגדת למרכזיות של החברה בסביבה הטכנולוגית העולמית".

הפריצה למערכות הדוא"ל של הענקית מרדמונד התגלתה בראשונה ביוני 2023. אז נחשף כי נפרצו כמה חשבונות דואר של כמה סוכנויות ממשלתיות בארה"ב. המתקפה "השפיעה" על האימיילים של ג'ינה ריימונדו, שרת המסחר של ארה"ב ועל בכירים אחרים במשרד. כ-60,000 מיילים נגנבו מ-10 חשבונות של משרד החוץ של ארה"ב במסגרת המתקפה. לפי הדו"ח, "התוקפים השיגו גישה לחלק מתיבות הדואר, מבוססות הענן, הללו למשך שישה שבועות לפחות".

חוקרי האיומים של מיקרוסופט ייחסו את המתקפה לשחקן איום המקושר לסין, שזכה לכינוי 'Storm-0558'. הדו"ח מצא כי "במיקרוסופט התגלה מפל של שגיאות, אותן ניתן היה למנוע, וריבוי הטעויות הוא שאפשר לחדירה זו להצליח". מסקנת החוקרים היא ש-"מיקרוסופט התרחקה מהאתוס של חשיבות האבטחה, ועליה להשיב אותו באופן מיידי – כעדיפות תאגידית עליונה".

We’re putting security above all else at Microsoft by expanding the Secure Future Initiative—our commitment to delivering solutions that meet the highest possible security standards. Learn more: https://t.co/J3jO7Jel0B #SecureByDesign #CloudSecurity

— Microsoft Security (@msftsecurity) May 3, 2024

יוזמת 'העתיד המאובטח' של מיקרוסופט – נועדה לספק אבטחה תחילה

החוקרים ציינו כי הם "מודעים לשינויים האחרונים שערכה  מיקרוסופט בתחום האבטחה שלה, לרבות יוזמת 'העתיד המאובטח' (Secure Future), עליה היא הכריזה בנובמבר 2023".

בעקבות פרסום הדו"ח החריף, מיקרוסופט הודיעה כי תפעיל מערך גדול של שינויים בתהליכי הנדסת התוכנה שלה, במטרה לשפר את האבטחה בפלטפורמות הנפוצות שלה.

מיקרוסופט אישרה כי "אכן, המנכ"ל שלח מייל על יוזמת האבטחה של החברה".

מאז אותה פריצה, מיקרוסופט כבר חוותה אירוע סייבר נוסף – כאשר חשבונות של מנהלים בכירים בחברה נפרצו בינואר השנה.

אלו הצטרפו לעוד שני אירועי סייבר גדולים שחוותה הענקית מרדמונד: הפריצה למערכת אוריון (Orion) של סולארווינדס (SolarWinds) משנת 2020 וגל אדיר של מתקפות על Exchange Server מ-2021, אשר ניצלו פגיעויות קריטיות מסוג יום אפס.

בפוסט, נוסף, שפרסם בסוף השבוע, צ'רלי בל, סגן נשיא בכיר לאבטחה בחברה, הוא פירט את "תשעת המרכיבים של יוזמת האבטחה של החברה – שלושה עקרונות אבטחה ושישה עמודי אבטחה, שאותם יש לתעדף". שלושת העמודים הם, לדבריו, "אבטחה קודמת לכל כשמעצבים כל מוצר או שירות; אמצעי אבטחת הסייבר של מיקרוסופט יופעלו כברירת מחדל, לא ידרשו מאמץ נוסף לשימוש וישתפרו בלא הרף ולאורך זמן".

"יוזמת Secure Future של מיקרוסופט נועדה ליישם את השינויים הדרושים כדי לספק אבטחה תחילה", פירט בל, "נפנים את הלקחים שלנו מאירועי האבטחה שחווינו, נשלב לקחים אלה בעבודה המסודרת שלנו בתחום האבטחה, לרבות עבודה מבוססת תקנים, וכך נתווה שורה של נתיבים סלולים, שיאפשרו תכנון ותפעול מאובטח בהיקפים גדולים".