Оказывается, у Microsoft сейчас какие-то проблемы с безопасностью. Причём речь тут даже не о Windows, а о сопутствующих продуктах, которые обычно предлагают бизнесу. И, судя по всему, многие уже подумывают о том, чтобы переехать на аналогичные сервисы конкурентов.
Microsoft пора задуматься о репутации и вернуть доверие клиентов
Microsoft – крупнейшая IT-компания, и корпорации уровня Microsoft просто не могут позволить себе допустить хоть какую-то угрозу безопасности своих пользователей. Но именно это сейчас и происходит с компанией. Со стороны начинает казаться, что Microsoft вообще перестали париться по поводу безопасности, и, если так, любая потенциальная атака может окончательно подорвать доверие миллионов пользователей.
У меня есть знакомые внутри компании, и по их словам, прямо сейчас инженеры и безопасники Microsoft изо всех сил пытаются минимизировать последствия недавних атак. Например, в прошлом году хакерам удалось получить доступ к электронной почте руководящего состава компании и даже украсть исходный код некоторых продуктов.
Судя по всему, продолжающиеся атаки действительно пугают сотрудников компании, и Microsoft сейчас тратит огромные ресурсы на предотвращение подобных инцидентов. Но и хакеры тоже не дремлют, и они прямо сейчас они жадно ковыряются в украденной информации, выискивая всё новые слабые места. Безопасность – это всегда игра в догонялки, но обеспечивать безопасность клиентов становится в разы сложнее, если хакеры следят за каждым вашим шагом.
Вот только это лишь верхушка айсберга, последний этап длинной вереницы нарушений вашей безопасности и конфиденциальности. Проблемы начались не вчера и даже не в прошлом году. В 2021-м хакеры из Китая атаковали серверы Microsoft Exchange и с помощью нескольких незакрытых уязвимостей нулевого дня установили на серверы клиентов компании вредоносное ПО. В 2023-м хакеры использовали эксплойт в Microsoft Cloud и с его помощью смогли взломать электронную почту правительства США: инцидент затронул 22 организации и около 500 персональных аккаунтов, некоторые из которых принадлежали членам правительства США, работающим в сфере национальной безопасности.
По мнению Совета по кибербезопасности Соединённых Штатов, все эти атаки можно было предотвратить. Судя по всему, ряд неудачных решений внутри Microsoft привёл к тому, что в стенах компании сформировалось специфическое отношение к безопасности клиентов: Microsoft теперь интересует не безопасность, а минимизация рисков. Кстати, Microsoft до сих пор не могут с уверенностью заявить о том, что украденный хакерами ключ теперь бесполезен.
Ответом на хакерские атаки стала инициатива Secure Future Initiative (SFI): Microsoft обещает пересмотреть процесс проектирования, создания и тестирования ПО и услуг. Программу представили ещё в ноябре, но конкретных результатов у неё до сих пор нет. А между тем это самое серьёзное изменение со времён Security Development Lifecyple (SDL) в 2004-м, и SDL тоже был ответом на угрозу безопасности: как раз в те времена бушевал червь Blaster, целью которого были компьютеры под управлением WindowsXP.
О том, что происходит внутри Microsoft, мы мало что знаем, но судя по всему, компания действительно обеспокоена потерей доверия. По моим данным, в начале месяца Microsoft провели закрытую конференцию для своих сотрудников, на которой Сатья Наделла и Брэд Смит заявили о необходимость пересмотреть отношение к безопасности продуктов компании. Выходит, даже высшее руководство Microsoft осознаёт, что проблемы безопасности подрывают доверие к компании.
Насколько я понимаю, теперь техническое руководство Microsoft отдаёт приоритет не новым функциям, а именно безопасности. Лучше дольше, но надёжнее. И произошло это всего через пару недель после того, как Совет по кибербезопасности призвал Microsoft уделить внимание безопасности её клиентов.
Другими словами, безопасность теперь становится приоритетным направлением компании наряду с искусственным интеллектом. Иронично, учитывая, что внедрение искусственного интеллекта потенциально может создать множество проблем, связанных с безопасностью системы. Переводя клиентов в облако, Microsoft обещала им беспрецедентный уровень безопасности. План сработал и принёс компании кучу денег, но теперь кажется, что все эти рассказы были, мягко говоря, преувеличением.
Буквально на днях репортёр Мэри Джо Флоуи призвала Microsoft перестать «торговать безопасностью под видом премиального сервиса», ведь некоторые защитные инструменты доступны только в платной подписке Microsoft 365, и это в корне неправильно.
Схожего мнение придерживается и бывший директор по киберполитике Белого дома А. Дж. Гротт: «Если вспомнить случай с SolarWinds, окажется, что Microsoft фактически продавала федеральным агентствам возможность вести журналы активности», – поделился Гротт в интервью The Register, – В результате даже правительственные организации были не в силах самостоятельно разобраться, подверглись ли они взлому или нет».
Microsoft отреагировала на жалобы и уже увеличила объём журналов с 90 до 180 дней, но для того, чтобы получить к ним доступ, организациям всё ещё нужно оплатить подписку Microsoft 365.
Вскоре после того, как Microsoft пришлось признать, что хакерам удалось украсть исходный код некоторых её продуктов, компания объявила о запуске платного бота Copilot for Security, который должен защищать пользователя от киберугроз, Вроде бы логично, но Microsoft снова пытается заработать на собственных проблемах, требуя с пользователей 4$ за час общения с новым ботом.
Microsoft – почти монополист, и подобные действия не могли не остаться незамеченными со стороны законодательных органов. Правительство США в значительной степени зависит от продуктов Microsoft, и недавние взломы электронной почты лишь усилили внимание к компании: «Зависимость правительства от Microsoft создаёт серьёзную угрозу национальной безопасности Соединённых Штатов!», – заявил сенатор от штата Орегон Рон Уайден. Он уже много лет критикует безопасность продуктов Microsoft и призывает провести немедленное расследования недавних взломов.
То, как именно Microsoft отреагирует на обрушившуюся на компанию критику, будет весьма показательным для всех, кто заинтересован в изменениях. А руководство Microsoft пока в корне не согласно с тем, что компания уделяет безопасности своих клиентов недостаточное внимание: «Мы не идеальны, и мы знаем об этом. Нам есть над чем работать, но мы категорически не согласны с тем, что не уделяем безопасности достаточного внимания», – заявил в интервью Wired технический директор Microsoft Стив Фаэль.
Изменится ли поведение Microsoft? Возможно. Но, скорее всего, для этого нужны более серьёзные предпосылки. Нужны серьёзные проверки, которые либо подтвердят безопасность сервисов Microsoft, либо продемонстрируют её клиентам истинное положение дел внутри компании. И вот если корпоративные клиенты начнут присматриваться к сервисам конкурентов, Microsoft уже не сможет это игнорировать.
Том Уоррен,
главред The Verge
25 апреля 2024