Роджер Кресси (Roger Cressey), занимавший должность старшего советника по кибербезопасности и борьбе с терроризмом при двух президентах США, а ныне партнёр Liberty Group Ventures, раскритиковал подход Microsoft к обеспечению безопасности своих продуктов, сообщил ресурс The Register. Только за последние несколько недель Microsoft раскрыла две серьёзные уязвимости безопасности, а также сообщила, что злоумышленники использовали одну из них, связанную с SharePoint. Вторая уязвимость, которой пока не воспользовались, связана с Exchange.
Кресси отметил, что в Китае хорошо осведомлены о продуктах Microsoft, и в случае военных действий китайские хакеры будут атаковать критическую инфраструктуру США, направляя усилия на решения Microsoft по двум причинам — во-первых, продукты Microsoft присутствуют повсюду в цифровой экосистеме США, и, во-вторых, они «настолько уязвимы, что для китайцев это просто открытая дверь». Тем не менее, правительство продолжает тратить миллиарды долларов на продукты Microsoft. «Всякий раз, когда объявляется о крупных закупках продуктов Microsoft правительством, в первую очередь радуется Редмонд, а во вторую — Пекин», — говорит Кресси.
Источник изображения: Heri Susilo / Unsplash
Кресси не единственный, что критикует халатность Microsoft в отношении вопросов безопасности. Эй Джей Гротто (AJ Grotto), тоже ранее занимавшийся в Белом доме вопросами безопасности, назвал проблемы компании из Редмонда проблемой национальной безопасности, отметив, что они восходят как минимум к взлому SolarWinds. Их мнение разделяет старший вице-президент CrowdStrike по операциям против злоумышленников Адам Майерс (Adam Meyers).
Сенатор Рон Уайден (Ron Wyden) заявил, что «госучреждения стали зависимы от компании, которая не только не заботится о безопасности, но и зарабатывает миллиарды долларов, продавая услуги кибербезопасности для устранения недостатков своих продуктов». «Каждый взлом, вызванный халатностью Microsoft, приводит к увеличению государственных расходов на услуги Microsoft по информационной безопасности», — сообщил Уайден, отметив, что из этого порочного круга никогда не вырваться, если правительство не перестанет «вознаграждать Microsoft за халатность всё более крупными контрактами».
Кресси также отметил риски, связанные с присутствием Microsoft в Китае, имея в виду недавний скандал — выяснилось, что компания около 10 лет допускала китайцев к обслуживанию важнейших IT-систем Пентагона, удалённо и без должного надзора. По мнению эксперта, в Microsoft «либо неспособны, либо не желают предпринимать действия, которые действительно могли бы изменить ситуацию». Если бы речь шла о другой компании, уже давно бы появились вопросы, почему этой компании и её продуктам дозволено иметь столь важные точки соприкосновения с инфраструктурой национальной безопасности, говорит Кресси.
Источник изображения: Sonny Mauricio / Unsplash
Причина заключается в том, что что Microsoft действительно хорошо умеет продавать свои продукты, а правительство экономит средства, что затрудняет отказ от предложения «бесплатных» продуктов и услуг безопасности (на ограниченный срок), считает Кресси и другие опрошенные The Register эксперты. Тем не менее, Кресси выразил надежду, что администрация Трампа «привлечёт такие компании как Microsoft к ответственности за их провалы в области безопасности».
Как отметил The Register, на прошлой неделе председатель сенатского Комитета по разведке Том Коттон (Tom Cotton) направил письмо министру обороны Питу Хегсету (Pete Hegseth) с призывом запретить лицам, не являющимся гражданами США, доступ к системам Министерства обороны США. Коттон также высоко оценил усилия Хегсета по ограничению доступа китайских инженеров к системам Министерства обороны США (DoD) и запросил информацию о любых уязвимостях безопасности в контрактах и ПО ведомства, связанных с «бизнес-операциями Microsoft в Китае».
«Я не говорю, что мы должны избавиться от Microsoft, я говорю, что Microsoft должна лучше выполнять свою работу», — сказал Кресси, добавив, что всё общество страдает от того, что крупнейшая софтверная компания, на которую полагается страна, «продолжает относиться к безопасности как к досадной помехе, а не как к необходимости».
Источник:
