Dünyanın en büyük teknoloji şirketi olan Microsoft önemli bir güvenlik sorunuyla mücadele ediyor.
Geçtiğimiz birkaç yılda bir dizi yüksek profilli güvenlik olayı Microsoft’u sarstı ve Siber Güvenlik İnceleme Kurulu’nun yakın zamanda yayınladığı sert bir raporda “Microsoft’un güvenlik kültürünün yetersiz olduğu ve elden geçirilmesi gerektiği” sonucuna varıldı. Microsoft’ta saldırıların şirkete olan güveni ciddi şekilde zedeleyebileceği yönünde endişeler var.
Kaynaklar, Microsoft’un mühendislik ve güvenlik ekiplerinin, SolarWinds olayının arkasında yer alan aynı Rus devleti destekli bilgisayar korsanlarının yeni saldırılarına yanıt vermek için çabaladığını söylüyor. Nobelium veya Midnight Blizzard olarak bilinen bilgisayar korsanlığı grubu, geçen yıl Microsoft’un üst düzey liderlik ekibinin bazı üyelerinin e-posta hesaplarını gözetlemeyi ve hatta yakın zamanda kaynak kodunu çalmayı başardı.
Devam eden saldırılar, Microsoft içindeki birçok kişiyi korkuttu ve bilgisayar korsanları çaldıkları bilgileri inceleyip daha fazla zayıf nokta bulmaya çalışırken ekipler Microsoft’un savunmasını iyileştirmeye ve daha fazla ihlali önlemeye çalışıyor. Güvenlik her zaman bir kedi-fare oyunudur, ancak bilgisayar korsanları iletişimlerinizi gözetlediğinde bu daha da zorlaşır.
Ancak bunlar uzun bir güvenlik ihlalleri serisinin yalnızca sonuncusu. Çin hükümetinin bilgisayar korsanları, 2021’in başlarında sıfır gün saldırılarıyla Microsoft Exchange sunucularını hedef alarak e-posta hesaplarına erişmelerine ve işletmelerin barındırdığı sunuculara kötü amaçlı yazılım yüklemelerine olanak tanıdı. Geçen yıl Çinli bilgisayar korsanları, Microsoft Cloud’daki bir istismar sayesinde ABD hükümetinin e-postalarını ihlal etti. Olay, bilgisayar korsanlarının 22 kuruluşun çevrimiçi e-posta gelen kutularına erişmesine olanak tanıdı ve ulusal güvenlik üzerinde çalışan ABD hükümet çalışanları da dahil olmak üzere 500’den fazla kişiyi etkiledi.
AB Siber Güvenlik İnceleme Kurulu tarafından “güvenlik açıkları bir dizisi” olarak tanımlanan geçen yılki ABD hükümeti e-posta saldırısı, kurulun ifadesine göre “önlenemezdi”. Ayrıca, bir dizi kararın içeride Microsoft’ta “kurumsal güvenlik yatırımlarını ve sıkı risk yönetimini önceliksizleştiren bir kurumsal kültüre” katkıda bulunduğunu buldu. Microsoft hala anahtarın nasıl çalındığı konusunda yüzde 100 emin değil, bu anahtar Çinli hacker’ların belgeler oluşturmasına ve son derece hassas e-posta kutularına erişmesine olanak tanıdı.
Microsoft’un bu saldırılara verdiği ana yanıt, yazılım ve hizmetlerini tasarlama, oluşturma, test etme ve çalıştırma biçimini yeniden gözden geçiren yeni Güvenli Gelecek Girişimi (SFI) oldu. Kasım ayında, Rus e-posta casusluğunun ortaya çıkmasından önce tanıtılan SFI, Microsoft’un Güvenlik Geliştirme Yaşam Döngüsü’nü (SDL) 2004’te başlatmasından bu yana Microsoft’un güvenlik çabalarında yaptığı en büyük değişiklik olmalı. SDL’nin kendisi, çöken yıkıcı Blaster solucanına bir yanıttı.
Kamuoyunda bu yeni Güvenli Gelecek Girişimi’nden çok az şey gördük, ancak perde arkasında Microsoft, müşterilerin güvenini kaybetme konusunda büyük endişe duyuyor. Kaynaklara göre, bu ayın başlarında düzenlenen bir şirket içi liderlik konferansında hem Microsoft CEO’su Satya Nadella hem de başkan Brad Smith, güvenliğe her şeyden önce öncelik verilmesi gerektiği hakkında konuştu. Microsoft’un en üst kademelerindeki korku, bu güvenlik sorunları nedeniyle güvenin erozyona uğraması ve bunun sonucunda müşterilerinin güvenini geri kazanmak zorunda kalmasıdır.
Microsoft’taki mühendislik liderlerinin artık yeni özelliklerden veya ürünleri daha hızlı göndermektense güvenliğe öncelik verdikleri anlaşılıyor. Bu, Siber Güvenlik İnceleme Kurulu’nun Microsoft’un “önemli güvenlik iyileştirmeleri yapılana kadar şirketin bulut altyapısı ve ürün paketindeki özellik geliştirmelerine öncelik vermemesi” gerektiğini söylemesinden birkaç hafta sonra geldi.
Söylenene göre, hem yapay zeka hem de güvenlik artık Microsoft’un en büyük iki odak noktası; özellikle de şirketin yapay zeka teknolojilerini hızlı bir şekilde kullanıma sunması, daha da fazla potansiyel güvenlik sorununa yol açıyor. Microsoft’un giderek daha fazla müşterisi buluta geçip yapay zekayı benimsedikçe güvenlik ihtiyacı da artıyor. Microsoft, bu bulut geçişinin bir sonucu olarak 20 milyar dolarlık bir güvenlik işi kurdu, ancak bu büyük ölçüde mevcut aboneliklere ek olarak güvenlik satışına dayanıyor.
Uzun süredir Microsoft muhabiri olan Mary Jo Foley, bu hafta başında Microsoft’a “güvenliği birinci sınıf bir teklif olarak satmayı bırakması” çağrısında bulundu. Foley, belirli güvenlik araçlarının yalnızca Microsoft 365 aboneliklerine eklenti olarak kullanılabildiğini ve bazı müşterilerin daha önce olayları tespit etmelerine olanak tanıyan anahtar günlük bilgilerini göremediklerini vurguluyor.
Bu, Beyaz Saray’ın eski kıdemli siber politika direktörü AJ Grotto’nun da tekrarladığı bir görüş. Grotto yakın zamanda verdiği bir röportajda şunları söyledi: “Birkaç yıl önceki SolarWinds bölümüne geri dönerseniz… (Microsoft) aslında günlük tutma yeteneğini federal kurumlara daha fazla satıyordu.” dedi. “Sonuç olarak, kurumların SolarWinds ihlaline maruz kaldıklarını tespit etmeleri gerçekten zor oldu.”
Microsoft, günlük tutma bilgileriyle ilgili şikayetlere, günlüklerin kullanılabilir olduğu süreyi geçen yıl 90 günden 180 güne çıkararak yanıt verdi; ancak kuruluşların, Microsoft’un güvenlik ve uyumluluk özelliklerinin çoğunu istiyorlarsa hâlâ daha pahalı Microsoft 365 E5 aboneliklerini seçmeleri gerekiyor.
Microsoft yakın zamanda Rus bilgisayar korsanlarının kaynak kodunu çaldığını açıklamak zorunda kalsa da, günler sonra şirket, Güvenlik için Copilot‘unu kullandıkça öde fiyatlandırmasıyla satmaya başlayacağını duyurdu. Üretken yapay zeka sohbet robotu, siber güvenlik profesyonellerinin tehditlere karşı korunmalarına yardımcı olmak amacıyla tasarlandı, ancak işletmelerin Microsoft’un güvenliğe özel yapay zeka modelini kullanmak istemeleri durumunda saatlik kullanım başına 4 dolar ödemeleri gerekecek.
Bu ek satış ve kuruluşların Microsoft yazılımına olan büyük güveni yasa koyucuların da gözünden kaçmadı. ABD hükümeti Microsoft’un yazılımına büyük ölçüde güveniyor ve e-posta ihlalleri bu ilişkiye daha da fazla odaklanılmasına neden oldu. Senatör Ron Wyden (D-OR), Wired’a yaptığı açıklamada, “ABD hükümetinin Microsoft’a bağımlılığı ABD ulusal güvenliğine ciddi bir tehdit oluşturuyor.” diyor. Wyden yıllardır Microsoft’un siber güvenlik çabalarını eleştiriyor ve geçen yıl ABD hükümetinin e-posta ihlali sonrasında federal hükümet soruşturması yapılması çağrısında bulunuyordu.
Microsoft’un güvenlik uygulamalarına yönelik artan eleştirilere önümüzdeki aylarda nasıl yanıt vereceği açıklanacak. Siber Güvenlik İnceleme Kurulu Microsoft’un güvenlik kültürünün bozulduğunu düşünse de Microsoft aynı fikirde değil. Microsoft’un federal güvenlik işinden sorumlu baş teknoloji sorumlusu Steve Faehl, yaptığı açıklamada “Bu tanımlamaya kesinlikle katılmıyoruz.” diyor. “Gerçi mükemmel olmadığımız ve yapacak işlerimiz olduğu konusunda hemfikiriz.”
Grotto, bir röportajında Microsoft’un davranışının ancak mecbur kalırsa değişeceğini savundu. “Bu inceleme, başka bir yere bakmak isteyebilecek müşterileri arasında değişen davranışlar yaratmadıkça, Microsoft’un değişime yönelik teşvikleri olması gerektiği kadar güçlü olmayacaktır.”
