Eski bir çalışan, Microsoft’un güvenlik yerine kârı önceliklendirdiğini öne sürdü

 (propublica.org)
1 puan yazan GN⁺ 2024-06-14 | 1 yorum | WhatsApp'ta paylaş

Bir ihbarcıya göre Microsoft, güvenlik yerine kârı seçerek ABD hükümetini Rus siber saldırılarına karşı savunmasız bıraktı

Eski çalışanın uyarıları görmezden gelindi

  • Ana noktalar: Eski Microsoft çalışanı Andrew Harris, şirketin kritik bir güvenlik açığını görmezden geldiğini öne sürüyor. Bu açık, Rus hacker’ların ABD Ulusal Nükleer Güvenlik İdaresi (NNSA) dahil olmak üzere çeşitli kurumlara sızmak için kullandığı açık olarak gösteriliyor.
  • Harris’in bulgusu: Harris, Microsoft’un bulut uygulamalarında, kullanıcıların bulut tabanlı programlara giriş yapmasını sağlayan uygulamada ciddi bir açık keşfetti. Bu açık, hacker’ların meşru çalışanlar gibi davranarak kritik verileri çalmasına imkan tanıyordu.
  • Şirketin tepkisi: Harris, bu açığı iş arkadaşlarına bildirdiğini ancak şirketin devlet işlerini kaybetme endişesiyle bunu görmezden geldiğini söylüyor. Microsoft’un uzun vadeli bir çözüm hazırlayacağını söylediği, ancak bu sırada bulut hizmetlerinin savunmasız kalmaya devam ettiği belirtiliyor.

SolarWinds hack olayı

  • Saldırının yaşanması: Harris şirketten ayrıldıktan sonra, Rus hacker’lar SolarWinds hack olayı üzerinden birçok federal kurumdan hassas veriler çaldı. Bu olay, ABD tarihindeki en büyük siber saldırılardan biri olarak kayda geçti.
  • Saldırı yöntemi: Hacker’ların, Harris’in tespit ettiği açığı kullanarak çeşitli federal kurumların verilerini çaldığı ve bunun uzun vadeli istihbarat toplama amaçlı bir casusluk faaliyeti olarak tanımlandığı belirtiliyor.

Microsoft’un yanıtı

  • Resmî tutum: Microsoft, müşterileri korumanın en büyük önceliği olduğunu ve tüm güvenlik sorunlarını titizlikle incelediğini söylüyor. Ancak Harris, şirketin müşterilerden önce kârı önceliklendirdiğini eleştiriyor.
  • Güvenlik kültürü: Microsoft, yetersiz güvenlik kültürü nedeniyle eleştirildi ve şirket içinde de güvenlikten önce kârı koyan kültürün sorun olduğu dile getirildi.

GN⁺ görüşü

  • Güvenlik ve kâr dengesi: Şirketler güvenlik yerine kârı önceliklendirirse, uzun vadede müşteri güvenini kaybedebilir. Bu da sonuçta şirketin itibarı ve gelirleri üzerinde olumsuz etki yaratabilir.
  • Devletle ilişkiler: Devlet sözleşmelerini korumak için güvenlik sorunlarını görmezden gelmek kısa vadede kazanç sağlayabilir, ancak uzun vadede ulusal güvenlik için büyük bir tehdit haline gelebilir.
  • Güvenlik kültürünün iyileştirilmesi gerekiyor: Microsoft gibi büyük şirketlerin güvenlik kültürünü geliştirmesi ve güvenlik sorunlarını hızla çözebilecek sistemler kurması gerekiyor. Bu, müşteri güvenini korumak ve uzun vadeli başarıyı güvence altına almak için önemli.
  • Rakip ürünler: Okta gibi rakip ürünler de bulunuyor ve bu ürünler güvenliğe daha fazla odaklanıyor. Şirketler farklı seçenekleri değerlendirerek en uygun güvenlik çözümünü seçmeli.
  • Teknoloji benimsenirken dikkat edilmesi gerekenler: Yeni teknolojiler devreye alınırken güvenlik sorunları kapsamlı biçimde incelenmeli, olası zafiyetler önceden belirlenip karşı önlemler hazırlanmalı. Bu, hack gibi siber saldırıların önlenmesi açısından önemli.

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-14
Hacker News görüşleri

  • Zero Trust modeli: Kurum içi ağı dış ağ gibi ele almak ve tam güven varsaymamak önemlidir. Google bunu BeyondCorp ile uygulayarak iç ihlalleri önledi.

  • Güvenlik ve kâr arasındaki uyumsuzluk: Güvenlik ile kâr arasındaki uyumsuzluğu kültürel bir değişim olmadan çözmek zordur. Şimdilik bunu neyin tetikleyeceği belirsizdir.

  • Siber güvenliğin gerçeği: Siber güvenlik sektörü, gerçek güvenlikten çok mevzuata uyuma odaklanma eğilimindedir. Uyumluluk standartları ya yetersizdir ya da düzgün uygulanmaz.

  • Hükümet ve şirketler arasındaki ilişki: Devlete ürün satan şirketler çok para kazanabilir ve bunun için olumsuz yönleri gizleyebilir. Bu da temel etik ve dürüstlüğün aşınmasına yol açar.

  • Güvenlik teşvikleri: Güvenlik için yeterli teşvik yoktur. Satış çalışanları performansa göre ödüllendirilirken, güvenlik çalışanları bir şey ters giderse işten çıkarılır. Bu durum güvenlik kültürünü zayıflatır.

  • Güvenlik önceliği söylemi: Yöneticilerin "güvenliği önceliklendirin" demesi tek başına önemli değildir. Güvenlik kültürü ödüllendirilmezse çalışanlar başka önceliklere göre optimize olur.

  • Microsoft'un güvenlik yaklaşımı: Microsoft CEO'su Satya Nadella güvenliği öncelediklerini söylüyor, ancak pratikte odak reklamlar ve kullanıcı etkinliği kaydı üzerinde.

  • Hükümetin akıllı kart kullanımı: ABD hükümeti güvenliği güçlendirmek için akıllı kart kimlik doğrulaması kullanıyor. Ancak Seamless SSO devre dışı bırakılırsa kullanıcıların buluta erişmesi zorlaşıyor.

  • Kâr önceliği: Çoğu şirket güvenlikten önce kârı koyar. Bu yalnızca Microsoft'a özgü bir sorun değildir.

  • Golden SAML saldırısı: Golden SAML bir zafiyet değil, bir saldırı türüdür. SSO altyapısı ele geçirilirse her şey risk altına girer.

  • Mecazi anlatım: Yapısal kusurları görmezden gelen ve sonunda köprünün çökmesine neden olan bir köprü inşaat şirketi benzetmesiyle, BT sektöründe de benzer şeylerin yaşandığı anlatılıyor.

  • Yasal düzenleme ihtiyacı: Ağ güvenliği için yasal düzenlemeler gereklidir. Teknolojinin kendini düzenleyemeyeceği yönündeki farkındalık artıyor. ABD hükümeti Microsoft'un bulutuna güvenmemeye başlarsa başvurabileceği çok fazla alternatif yok.