Senator Wyden krytykuje Microsoft za braki w cyberbezpieczeństwie
W ostatnich wydarzeniach Microsoft spotkał się z ostrą krytyką za swoje niedbałe podejście do praktyk cyberbezpieczeństwa. Stało się to po incydencie, w którym firma zrezygnowała z wdrożenia konkretnej funkcji systemu Windows z powodu problemów ze zgodnością, co spotkało się z krytyką krytyków, którzy nazwali to brakiem staranności. Sytuacja zaostrzyła się, gdy senator USA Ron Wyden interweniował, kierując do Federalnej Komisji Handlu (FTC) miażdżący list, w którym Microsoft podkreśla słabe środki cyberbezpieczeństwa i dominującą pozycję w sektorze IT dla przedsiębiorstw.
Obawy dotyczące praktyk cyberbezpieczeństwa
Senator Wyden, członek Partii Demokratycznej, określił zaniedbania Microsoftu w zakresie cyberbezpieczeństwa jako „rażące” i argumentował, że firma bezpośrednio przyczyniła się do wzrostu liczby ataków ransomware. Jest to szczególnie niepokojące w sektorze opieki zdrowotnej, gdzie naruszenie bezpieczeństwa może mieć zagrażające życiu konsekwencje dla pacjentów. Biorąc pod uwagę znaczną kontrolę Microsoftu nad rynkiem IT przedsiębiorstw, twierdzi on, że stanowi to poważne zagrożenie dla bezpieczeństwa narodowego. Zamiast priorytetowo traktować solidne bezpieczeństwo, oskarża Microsoft o czerpanie zysków z wielomiliardowego modelu biznesowego opartego na sprzedaży dodatków i usług z zakresu cyberbezpieczeństwa ofiarom cyberataków. Dosadnie porównuje to zachowanie do „podpalacza sprzedającego swoim ofiarom usługi gaszenia pożarów”.
Domyślne ustawienia konfiguracji zabezpieczeń
Według Wydena, choć system Windows ma wbudowane konfiguracje zabezpieczeń, są one zasadniczo niebezpieczne. Chociaż użytkownicy mogą dostosowywać te ustawienia, wielu z nich nie wprowadza niezbędnych zmian, co naraża ich na ataki. Senator argumentuje, że te „niebezpieczne decyzje inżynieryjne dotyczące oprogramowania” są ukryte zarówno przed użytkownikami korporacyjnymi, jak i rządowymi, co ostatecznie naraża ich na cyberzagrożenia.
Studium przypadku: atak ransomware Ascension
Senator przytoczył atak ransomware na Ascension, organizację non-profit świadczącą usługi opieki zdrowotnej, jako dobitny przykład tych luk. Włamanie wykorzystało technikę „Kerberoasting”, która umożliwiła hakerom infiltrację laptopa pracownika kontraktowego za pośrednictwem złośliwego linku znalezionego w Bingu. Po przejściu przez ten punkt wejścia, atakujący mogli poruszać się po sieci, uzyskać dostęp administracyjny, wdrożyć ransomware i naruszyć dane milionów pacjentów.
Przestarzałe technologie bezpieczeństwa i odpowiedzialność
Senator Wyden obarcza Microsoft całkowitą odpowiedzialnością za to naruszenie bezpieczeństwa. Wskazuje, że firma nadal stosuje przestarzałą technologię szyfrowania RC4 i nie wymaga domyślnie bezpieczniejszego szyfrowania AES w systemie Windows. Chociaż Microsoft twierdzi, że użytkownicy mogą zmniejszyć powierzchnię ataku, tworząc hasła składające się z co najmniej 14 znaków, oprogramowanie nie egzekwuje tego kluczowego wymogu dla kont administracyjnych. Chociaż Microsoft zapewnił wcześniej Wydena o wycofaniu RC4, firma nie zrealizowała jeszcze tego zobowiązania.
Apel o wszczęcie dochodzenia przez FTC
W liczącym cztery strony liście do FTC Wyden wzywa Komisję do podjęcia działań przeciwko Microsoftowi za szkodliwy wpływ jego oprogramowania na krytyczną infrastrukturę rządową i publiczną. Podkreśla, że bez pociągnięcia Microsoftu do odpowiedzialności za faktyczny monopol i brak bezpiecznych praktyk w zakresie rozwoju oprogramowania, podobne incydenty w przyszłości mogą mieć miejsce. Pełny tekst listu można znaleźć tutaj, a dalsze informacje można znaleźć w tym artykule dzięki uprzejmości The Register.
Wniosek
Wraz z ciągłym rozwojem cyberbezpieczeństwa, coraz bardziej krytyczna staje się potrzeba stosowania solidnych i niezawodnych praktyk bezpieczeństwa. Konsekwencje zaniedbania tych obowiązków mogą prowadzić nie tylko do obciążeń finansowych firm, ale także zagrażać bezpieczeństwu publicznemu. Zdecydowane stanowisko senatora Wydena podkreśla istotną rolę, jaką organy regulacyjne muszą odegrać w zapewnieniu rozliczalności dużych firm technologicznych, takich jak Microsoft.
Powiązane artykuły:
System Windows 10 otrzyma nową aktualizację przed końcem wsparcia technicznego w przyszłym miesiącu
17:42
KB5065790: Microsoft rozwiązuje problemy z logowaniem do systemu Windows 11 i wprowadza dodatkowe aktualizacje w kompilacji 22631.5982
17:37
Firma Microsoft rozwiązuje problemy i błędy związane z czyszczeniem plików tymczasowych w systemie Windows 11 (kompilacja 27943)
17:32
Dodaj komentarz