Na zahtjev predsjednika Bidena, prošle godine formirano je povjerenstvo  kako bi se ispitali propusti Microsofta koji su doveli do ciljanog kineskog hakiranja e-mailova visokih američkih vladinih dužnosnika, uključujući e-mailove ministrice za trgovinu Gine Raimondo. Ovih dana objavljeni izvještaj oštro osuđuje Microsoft zbog loše prakse oko kibernetičke sigurnosti, opuštenu korporativnu kulturu i namjerni nedostatak transparentnosti u vezi s onim što je Microsoft znao o porijeklu incidenta. Hakerski napad na Microsoft Exchange Online pogodio je dvadeset dvije organizacije i više od 500 pojedinaca širom svijeta. Izvješće tvrdi:  "mogao se spriječiti" i "nikada se nije trebao dogoditi". Ono sto je zabrinjavajuće i za sve korisnike Microsoftovih servisa nelagodno jest tvrdnja da „Microsoft još uvijek ne zna kako su Kinezi izveli napad“.

Ukradeno 60 tisuća e-mailova

Američke obavještajne agencije kažu da je proboj, otkriven u lipnju prošle godine, izveden od strane špijunske službe Pekinga, Ministarstva državne sigurnosti (MSS). Iskorišteni su sigurnosni propusti u Microsoftovom oblaku, gdje su hakeri krivotvorili digitalni certifikat. Dalje, našli su načina kako da upadnu u sustav State Departmenta pa čak do e-poste Nicholasa Burnsa, američkog veleposlanika u Kini, i drugih najviših dužnosnika.

State Department je otkrio kineski napad u lipnju i obavijestio Microsoft. Utvrđeno je da su hakeri preuzeli oko 60 tisuća e-mailova. S ukradenim ključem, hakeri su "mogli izraditi autentifikaciju za gotovo bilo koji online Microsoftov račun" ali očigledno su odlučili ciljati posebne osobe od interesa, poput ministrice trgovine, kongresmena i dužnosnika State Departmenta koji se bave pitanjima Kine.

Netočne javne izjave

Jedan od najoštrijih prigovora je usmjeren na način na koji je tvrtka javno komunicirala o incidentu. Utvrđeno je da Microsoft nije mjesecima ispravljao pogrešne informacije koje su navodile da je do sigurnosnog propusta došlo zbog "ostataka podataka nakon pada sustava". Izvješće ističe da Microsoft i dalje nije siguran da li je taj događaj uzrokovao sigurnosni propust. Promjene u javnim izjavama o sigurnosti Microsoft je proveo tek nakon što su se pitanja odbora o ispravcima ponovila i postalo je očito da odbor završava svoj pregled.

Loša prakse oko kibernetičke sigurnosti, opuštena korporativna kultura i nedostatak transparentnosti - optužbe  su protiv Microsofta

Odbor kritizira Microsoft zbog "odluke da ne ispravi svoje netočne javne izjave o incidentu na vrijeme, uključujući korporativnu izjavu u kojoj tvrtka tvrdi da je identificirala vjerojatni uzrok proboja, iako to zapravo još uvijek nije učinjeno", kako se navodi u izvješću. Tek u studenom je Microsoft priznao odboru da je rujanska objava na blogu bila "netočna", kako izvješće navodi, priznaju da "nisu pronašli crash dump koji sadrži ključni materijal“

Uzrok nepoznat

Izvješće detaljno opisuje ono što se naziva "kaskadom pogrešaka". Na primjer, Microsoft nije primijetio prisutnost starog certifikata iz 2016. koji je trebao biti izbrisan. Dio problema bio je da je Microsoft trebao automatizirati izmjenu certifikata što bi minimaliziralo šansu za ljudsku pogrešku. Druga greška bila je da je certifikat radio na poslovnim i potrošačkim mrežama, kršeći standardni protokol. Treća greška navedena u izvješću bila je da sigurnosni timovi Microsofta nisu dobro pregledali hardver firme koji su kupili a jedan laptop je bio zaražen kineskim virusom. Taj laptop se priključio na Microsoftov korporativni sustav i tako je sve počelo. Stvarni uzrok možda nikada neće biti poznat, ukazuje izvješće.

Ovo izvješće neovisnog  povjerenstva predstavlja treću i dosad najznačajniju analizu u protekle dvije godine. Ovakvi i slični incidenti se prate i istražuju  da vladine institucije i šira zajednica budu bolje zaštićeni a nacionalna infrastruktura sigurnija. Odbor se sastoji od stručnjaka iz vladinog sektora i industrije, a na čelu mu je Robert Silvers, zamjenik ministra u Ministarstvu za domovinsku sigurnost.