Microsoft mendapat kecaman karena kelemahan keamanan siber baru-baru ini

Pada sidang Kongres minggu lalu, presiden Microsoft Brad Smith mengambil tanggung jawab atas nama perusahaannya atas serangan siber yang terjadi tahun lalu di mana peretas yang terkait dengan Tiongkok memperoleh akses ke 60.000 email Departemen Luar Negeri AS.

Sidang tersebut merupakan bagian dari peningkatan pengawasan terhadap Microsoft mengenai praktik keamanan sibernya setelah peretasan tersebut, dan sidang serupa lainnya tahun ini di mana peretas yang terkait dengan Rusia memperoleh akses ke email milik pejabat di Microsoft, Hewlett Packard Enterprise, dan pemerintah federal AS.

Sebagai salah satu vendor perangkat lunak terbesar bagi pemerintah AS dan industri dalam negeri termasuk perbankan, praktik keamanan siber perusahaan ini sangat penting bagi keamanan nasional, kata Smith dalam pernyataannya. kesaksiannya di hadapan Komite Keamanan Dalam Negeri DPR AS.

Smith muncul di hadapan komite beberapa bulan setelahnya laporan dari Dewan Peninjau Keamanan Siber, sebuah komite pemerintah yang terdiri dari para pemimpin keamanan siber dari pemerintah federal dan sektor swasta yang meninjau kejadian-kejadian keamanan siber yang secara substansial berdampak pada keamanan nasional, mengecam perusahaan tersebut atas “rangkaian” “kesalahan yang dapat dihindari” yang memungkinkan Departemen Luar Negeri mengirim email peretasan akan terjadi.

Di antara faktor-faktor utama yang berkontribusi terhadap peretasan tersebut adalah “kegagalan Microsoft untuk mendeteksi sendiri penyusupan permata kriptografinya, dan sebaliknya mengandalkan pelanggan untuk mengidentifikasi anomali yang telah diamati pelanggan,” kata laporan itu. Karena Microsoft tidak dapat mendeteksi akses yang diperoleh peretas Tiongkok sejak dini, mereka tidak dapat mengurangi tindakan rahasia mereka selanjutnya.

Dalam kesaksiannya pada hari Kamis, Smith mengatakan, “Microsoft menerima tanggung jawab atas setiap masalah yang disebutkan” dalam laporan tersebut, “tanpa keraguan atau keraguan, dan tanpa rasa pembelaan diri, melainkan dengan komitmen penuh untuk menangani setiap rekomendasi dan gunakan laporan ini sebagai peluang dan landasan untuk memperkuat perlindungan keamanan siber kami secara menyeluruh.”

Laporan lain yang dibahas selama sidang datang dari outlet jurnalisme investigatif ProPublica, berdasarkan kesaksian dari mantan karyawan Microsoft yang menjadi pelapor pelanggaran Andrew Harris. Laporan tersebut menemukan bahwa pada tahun 2016, saat bekerja sebagai insinyur di Microsoft, Harris menemukan kerentanan dalam produk Microsoft yang kemudian dia laporkan melalui berbagai saluran internal. Di setiap kesempatan, ia dihadapkan pada pemecatan, dan pada tahun 2020, peretas Rusia akhirnya mengeksploitasi kelemahan yang ditemukan Harris sebagai bagian dari serangan siber mereka terhadap SolarWinds.

Serangan terhadap SolarWinds pada tahun 2020, yang juga mengeksploitasi kerentanan VMware, menjadi salah satu kampanye spionase dunia maya paling merusak yang pernah dilakukan terhadap pemerintah AS dan berdampak pada hingga 100 perusahaan.

Di dalam tanggapan pada laporan ProPublica, Microsoft mengatakan pihaknya “melakukan uji tuntas pada setiap kasus dengan penilaian manual menyeluruh, serta konfirmasi silang dengan mitra teknik dan keamanan,” dan dalam kasus kerentanan yang ditemukan Harris, “penilaian kami terhadap masalah ini diterima beberapa ulasan dan selaras dengan konsensus industri.”

Beberapa pengamat meremehkan sejauh mana Microsoft bertindak lalai dalam menangani laporan kerentanan Harris, termasuk Jeff Williams, salah satu pendiri dan CTO di perusahaan keamanan siber Contrast Security. Williams mengatakan “sebagian besar laporan-laporan ini ternyata palsu, tidak dapat dieksploitasi, atau berisiko rendah,” sehingga sulit untuk membedakan laporan-laporan yang parah dari laporan-laporan biasa.

“Mungkin mengejutkan bagi sebagian orang bahwa sebagian besar organisasi besar, termasuk bank, perusahaan layanan kesehatan, dan pemerintah semuanya memiliki simpanan kerentanan aplikasi yang sangat besar,” kata Williams. “Di sebagian besar perusahaan yang saya ajak bicara, biasanya terdapat ratusan ribu atau jutaan kerentanan yang menunggu untuk diselidiki.”

Meskipun dia mengatakan bahwa tumpukan besar kerentanan yang berpotensi tidak berarti yang mungkin dikumpulkan oleh Microsoft dan perusahaan sejenisnya adalah masalah yang tidak dapat dimaafkan, hal tersebut berasal dari masalah yang lebih mendasar.

“Kami memberi penghargaan kepada perusahaan atas fitur-fitur baru, bukan keamanan,” kata Williams. “Pemerintah kita belum mengamanatkan transparansi keamanan yang serius pada perusahaan atau menciptakan rezim pertanggungjawaban bagi produsen perangkat lunak.”

Para bankir juga menyampaikan keluhan serupa, termasuk terhadap Microsoft, yang mengatakan bahwa konsolidasi dalam industri komputasi awan telah memungkinkan aktor seperti Microsoft untuk melakukan hal yang sama. abaikan permintaan tentang keamanan oleh pelanggan besar dan bahkan pemerintah untuk mengamankan produk dan prosesnya. Namun, kekuatan pasar pada penyedia cloud sedang berubah.

“Jika Anda melihat kembali SolarWinds, keseluruhan prosesnya tentu saja tidak terlihat oleh pelanggan,” kata Subra Kumaraswamy, kepala petugas keamanan informasi Visa. “Tetapi sekarang dengan beberapa persyaratan desain yang aman dan memastikan bahwa kami dapat menjaga akuntabilitas vendor kami, akan ada lebih banyak keinginan untuk berbagi (keamanan tagihan material), berbagi tentang praktik mereka, dan memberikan hak untuk menguji dan mengaudit secara real time.”

Pada akhir laporannya mengenai serangan siber Microsoft, salah satu cara Dewan Peninjau Keamanan Siber menyarankan agar pemerintah meminta pertanggungjawaban vendor cloud adalah melalui Program Manajemen Otorisasi Risiko Federal. Program ini didirikan oleh Kantor Manajemen dan Anggaran pada tahun 2011 untuk mempromosikan penerapan layanan cloud yang aman di seluruh pemerintahan federal. Laporan tersebut mencakup lima saran agar program dapat menyesuaikan kontrol keamanan secara lebih fleksibel terhadap layanan tersebut.

“Layanan cloud merupakan komponen penting dalam ekosistem keamanan siber, terutama ketika layanan tersebut melindungi data pemerintah yang paling sensitif,” demikian isi laporan tersebut. “Namun, dewan menemukan bahwa persyaratan kepatuhan yang ada untuk keamanan siber pemerintah tidak secara konsisten memerlukan praktik yang baik seputar manajemen kunci atau penerbitan token,” yang merupakan dua proses utama yang dieksploitasi oleh peretas Rusia pada tahun 2023 dan yang menurut laporan tersebut merupakan target umum dalam serangan siber lainnya.