وقعت هذه الحوادث بينما كان خبراء الأمن ينتقدون مايكروسوفت بشكل متزايد لفشلها في إصلاح العيوب في منتجاتها بشكل سريع وكاف. وباعتبارها أكبر مزود للتكنولوجيا لحكومة الولايات المتحدة، تمثل نقاط الضعف في Microsoft نصيب الأسد من عيوب البرامج المكتشفة حديثًا والأكثر استخدامًا على نطاق واسع. يقول العديد من الخبراء إن مايكروسوفت ترفض إجراء التحسينات اللازمة على الأمن السيبراني لمواكبة التحديات المتطورة.
يقول أحد الخبراء البارزين في مجال السياسة السيبرانية إن شركة مايكروسوفت “لم تقم بتكييف مستوى استثمارها الأمني وطريقة تفكيرها بما يتناسب مع التهديد”. “إنها كارثة كبيرة من قبل شخص لديه الموارد والقدرات الهندسية الداخلية التي تمتلكها مايكروسوفت.”
أيد CSRB التابع لوزارة الأمن الداخلي هذا الرأي في تقريره الجديد حول الغزو الصيني عام 2023، قائلًا إن مايكروسوفت أظهرت “ثقافة مؤسسية تقلل من أولوية استثمارات أمن المؤسسات وإدارة المخاطر الصارمة”. كما انتقد التقرير مايكروسوفت لنشرها معلومات غير دقيقة حول الأسباب المحتملة للاختراق الصيني الأخير.
تكشف الخروقات الأخيرة فشل مايكروسوفت في تنفيذ الدفاعات الأمنية الأساسية، وفقًا للعديد من الخبراء.
يشير آدم مايرز، نائب الرئيس الأول للاستخبارات في شركة CrowdStrike الأمنية، إلى قدرة الروس على القفز من بيئة الاختبار إلى بيئة الإنتاج. ويقول: “لا ينبغي أن يحدث ذلك أبدًا”. وسلط خبير إلكتروني آخر يعمل في أحد المنافسين لمايكروسوفت الضوء على قدرة الصين على التطفل على اتصالات وكالات متعددة من خلال عملية اختراق واحدة، مرددًا تقرير CSRB، الذي انتقد نظام مصادقة Microsoft لأنه يسمح بالوصول على نطاق واسع باستخدام مفتاح تسجيل دخول واحد.
يقول مايرز: “لا تسمع عن هذه الأنواع من الخروقات الصادرة عن مقدمي الخدمات السحابية الآخرين”.
وفقًا لتقرير CSRB، فإن Microsoft “لم تقم بإعطاء الأولوية الكافية لإعادة هيكلة بنيتها التحتية القديمة لمعالجة مشهد التهديدات الحالي”.
ردًا على الأسئلة المكتوبة، أخبرت Microsoft WIRED بأنها تعمل بقوة على تحسين أمانها لمعالجة الأحداث الأخيرة.
يقول ستيف فايهل، كبير مسؤولي التكنولوجيا في أعمال الأمن الفيدرالي في Microsoft: “نحن ملتزمون بالتكيف مع مشهد التهديدات المتطور والشراكة عبر الصناعة والحكومة للدفاع ضد هذه التهديدات العالمية المتنامية والمتطورة”.
كجزء من مبادرة المستقبل الآمن التي تم إطلاقها في نوفمبر، يقول فايهل، قامت مايكروسوفت بتحسين قدرتها على اكتشاف وحظر إساءة استخدام حسابات الموظفين تلقائيًا، وبدأت في البحث عن المزيد من أنواع المعلومات الحساسة في حركة مرور الشبكة، وقللت من الوصول الممنوح بواسطة مفاتيح المصادقة الفردية، ووضع متطلبات ترخيص جديدة للموظفين الذين يسعون إلى إنشاء حسابات الشركة.
ويقول فايل إن مايكروسوفت أعادت أيضًا نشر “آلاف المهندسين” لتحسين منتجاتها وبدأت في عقد اجتماعات مع كبار المسؤولين التنفيذيين للحصول على تحديثات الحالة مرتين أسبوعيًا على الأقل.
ويقول فايهل إن المبادرة الجديدة تمثل “خارطة طريق مايكروسوفت والتزاماتها للإجابة على الكثير مما وصفه تقرير CSRB بالأولويات”. ومع ذلك، لا تقبل مايكروسوفت أن ثقافتها الأمنية قد انكسرت، كما يقول تقرير CSRB. يقول فايل: “نحن نختلف بشدة مع هذا التوصيف، على الرغم من أننا نتفق على أننا لم نكن مثاليين وأن لدينا الكثير من العمل للقيام به”.
“إدمان” الإيرادات الأمنية
اكتسبت Microsoft عداوة خاصة من مجتمع الأمن السيبراني لأنها فرضت رسومًا إضافية على عملائها مقابل حماية أمنية أفضل مثل مراقبة التهديدات ومكافحة الفيروسات وإدارة وصول المستخدم. في يناير 2023، أعلنت الشركة أن قسم الأمن لديها تجاوز 20 مليار دولار من الإيرادات السنوية.
يقول خوان أندريس غيريرو ساد، نائب الرئيس المساعد للأبحاث في شركة الأمن SentinelOne: “لقد تحولت مايكروسوفت إلى النظر إلى الأمن السيبراني باعتباره شيئًا يهدف إلى توليد إيرادات لها”. ومؤخراً كتب زميله أليكس ستاموس أن “إدمان” مايكروسوفت لهذه العائدات “أدى إلى تشويه قراراتها المتعلقة بتصميم المنتجات بشكل خطير”.