Perşembe günü Cumhuriyetçi milletvekilleri, Çinli bilgisayar korsanlarının teknoloji devinin sistemlerini federal hükümetin ağlarına yönelik yıkıcı bir hack saldırısında kullanmasından yaklaşık bir yıl sonra, üst düzey bir Microsoft yöneticisini şirketin Çin'deki varlığı hakkında sorguladı.
Temsilciler Meclisi İç Güvenlik Komitesi'nin birkaç üyesi, saatlerce süren bir duruşmada Microsoft Başkanı Brad Smith'e, Microsoft gibi büyük bir ABD hükümeti yüklenicisinin Çin'de ticari bir işi nasıl sürdürebileceğini sordu. Smith, işin şirketin satışlarının yaklaşık yüzde 1,4 ila 1,5'ini oluşturduğunu söyledi.
Florida'dan Cumhuriyetçi Temsilci Carlos Gimenez “Gerçekten buna değer mi?” diye sordu.
Bay Smith, Microsoft'un Çin'deki işinin, orada faaliyet gösteren Microsoft'un Amerikalı müşterilerinin ticari sırlarını koruyarak ve dünyanın geri kalanında olup bitenlerden ders alarak Amerikan çıkarlarına hizmet ettiğini savundu.
Microsoft'un Çin hükümetinin gizli bilgileri açıklama talebini reddettiğini de sözlerine ekledi. “Size şunu söyleyebilirim ki, Microsoft'un masama gelen sorularla karşılaştığı ve benim 'Hayır' dediğim günler oluyor” dedi.
Duruşma, İç Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu'nun Mart ayında yayınladığı sert rapora yanıt olarak yapıldı. Rapor, “Microsoft'taki bir dizi güvenlik hatasının”, Çin hükümetiyle bağlantılı bir casus grubu olan Storm-0558 adlı bir bilgisayar korsanlığı ekibinin geçen yılın Mayıs ve Haziran aylarında Microsoft'un e-posta sistemlerine sızmasına nasıl izin verdiğini ayrıntılarıyla anlatıyor.
Rapor, Microsoft'u “kurumsal güvenliğe ve sıkı risk yönetimine yatırımı önemsizleştiren kurumsal kültürü” nedeniyle eleştirdi ve “Microsoft'un ürün ve hizmetleri her yerde mevcut olduğundan” şirketin siber güvenlik önlemlerinin ulusal güvenlik açısından kritik öneme sahip olduğunu söyledi.
Bilgisayar korsanları bir şekilde Microsoft'un güvenlik mekanizmaları için diğer kullanıcıların kimlik bilgilerini taklit etmek için kullanabilecekleri bir dijital anahtar (raporda bunlara “kriptografik taç mücevherleri” deniyor) ele geçirdi. Aralarında Ticaret Bakanı Gina M. Raimondo ve ABD'nin Çin Büyükelçisi Nicholas Burns'ün de bulunduğu dünya çapında 22 kuruluşun ve 500'den fazla kişinin hesaplarının güvenliği ihlal edildi. Yalnızca Dışişleri Bakanlığı bilgisayar ağından, izinsiz girişi tespit eden 60.000'den fazla e-posta indirildi.
Raporda, zorla girmenin “asla yaşanmaması gerekirdi” denildi. Microsoft'un hâlâ bilgisayar korsanlarının dijital anahtarı nasıl ele geçirdiğini bilmediği belirtildi. Microsoft ayrıca sonbaharda hackle ilgili yanlış kamu açıklamaları yaptığı için de azarlandı.
Microsoft Çin'de ince bir çizgide yürüdü. Grup, profesyonel sosyal ağ LinkedIn de dahil olmak üzere bazı iş alanlarını kapatmış olsa da, burada bulut bilişim hizmetleri sunuyor ve ayrıca burada geliştirme ekipleri ve ünlü bir araştırma laboratuvarı bulunuyor.
Bay Smith, duruşmada Microsoft'un Çin'deki mühendislik varlığını azalttığını ve geçen ay “işlerini sürdürmek için Çin'den ayrılmaları gereken” 700 ila 800 çalışanın yerini değiştirmeyi teklif ettiğini söyledi.
Haber'ın Ocak ayında bildirdiğine göre, aralarında Bay Smith ve İcra Kurulu Başkanı Satya Nadella'nın da bulunduğu şirketin üst düzey yöneticileri, araştırma laboratuvarının geleceğini tartıştılar ve araştırmacıları politik açıdan hassas çalışmalardan caydıracak korkuluklar getirdiler.
Bay Smith, “dijital teknoloji tarihindeki en büyük siber güvenlik mühendisliği projesi” olarak adlandırdığı projenin bir parçası olarak Microsoft bünyesinde acil güvenlik çalışmaları sözü verdi.
Microsoft'un güvenlik açıklarına ilişkin sert rapora rağmen, duruşmadaki milletvekilleri Smith'e agresif sorular sormadı, bunun yerine hükümet-özel sektör işbirliği fırsatlarına odaklandı.
Komitenin en üst düzey Demokratlarından Mississippi'den Temsilci Bennie Thompson açılış konuşmasında “Bu yakalanmış bir duruşma değil” dedi.
Smith, sorunun boyutunu anlatırken milletvekillerini şaşkına çevirdi. Microsoft'un her gün müşterilerine yönelik 300 milyondan fazla saldırı tespit ettiğini söyledi.
Ocak ayında Microsoft, Rus istihbaratının sponsor olduğu bir grup tarafından gerçekleştirilen ayrı bir hack saldırısını ortaya çıkardı ancak raporda bundan bahsedilmedi.
Kasım ayında Microsoft, şirketin yirmi yıl içindeki en büyük güvenlik girişimi olan güvenlik uygulamalarında büyük bir revizyon yapılacağını duyurdu ve Mayıs ayında şirket, üst düzey yöneticilerinin ücretlerini bu revizyonun ilerlemesine bağlayacağını duyurdu.
Smith, şirketin yönetim kurulunun üst düzey yöneticilerin bireysel performans primlerinin üçte birini siber güvenliğe bağlamaya yönelik bir planı onayladığını söyledi. Ayrıca tüm Microsoft çalışanlarının altı aylık performans incelemelerinde siber güvenlik açısından değerlendirileceğini söyledi.
Microsoft'un rakipleri bu güvenlik açığından yararlandı. Destekçileri arasında Google, Amazon ve Meta'nın da bulunduğu bir ticaret grubu olan NetChoice, hükümetin Microsoft'a olan güvenini eleştiren seçmenlerin katıldığı bir anket yayınladı. NetChoice ve rakipleri tarafından desteklenen diğer birkaç ticaret grubu, Biden yönetimi yetkililerine, hükümeti daha çeşitli teknoloji sağlayıcıları kullanmaya çağıran mektuplar gönderdi.
Google'ı müşterisi olarak kabul eden bir halkla ilişkiler firması, Microsoft'un bilgisayar korsanlığıyla ilgili olumsuz hikayeler ortaya çıktığında düzenli olarak muhabirlere e-posta gönderiyor ve bazen uzmanlarla konuşmayı teklif ediyor. Bu hafta iş yazılımı şirketi Salesforce, gazetecilere güvenlik kültürünü öne çıkaran bir yorum gönderdi.
Amazon CEO'su Andy Jassy, Nisan ayının sonlarında yatırımcılara, yapay zeka hizmetlerini seçerken güvenliğin müşteriler için kritik öneme sahip olduğunu söyledi.
“Geçen bir veya iki yılda olup bitenlere bakarsanız,” dedi, “tüm sağlayıcılar aynı geçmiş performansa sahip değil.”
Temsilciler Meclisi İç Güvenlik Komitesi'nin birkaç üyesi, saatlerce süren bir duruşmada Microsoft Başkanı Brad Smith'e, Microsoft gibi büyük bir ABD hükümeti yüklenicisinin Çin'de ticari bir işi nasıl sürdürebileceğini sordu. Smith, işin şirketin satışlarının yaklaşık yüzde 1,4 ila 1,5'ini oluşturduğunu söyledi.
Florida'dan Cumhuriyetçi Temsilci Carlos Gimenez “Gerçekten buna değer mi?” diye sordu.
Bay Smith, Microsoft'un Çin'deki işinin, orada faaliyet gösteren Microsoft'un Amerikalı müşterilerinin ticari sırlarını koruyarak ve dünyanın geri kalanında olup bitenlerden ders alarak Amerikan çıkarlarına hizmet ettiğini savundu.
Microsoft'un Çin hükümetinin gizli bilgileri açıklama talebini reddettiğini de sözlerine ekledi. “Size şunu söyleyebilirim ki, Microsoft'un masama gelen sorularla karşılaştığı ve benim 'Hayır' dediğim günler oluyor” dedi.
Duruşma, İç Güvenlik Bakanlığı Siber Güvenlik İnceleme Kurulu'nun Mart ayında yayınladığı sert rapora yanıt olarak yapıldı. Rapor, “Microsoft'taki bir dizi güvenlik hatasının”, Çin hükümetiyle bağlantılı bir casus grubu olan Storm-0558 adlı bir bilgisayar korsanlığı ekibinin geçen yılın Mayıs ve Haziran aylarında Microsoft'un e-posta sistemlerine sızmasına nasıl izin verdiğini ayrıntılarıyla anlatıyor.
Rapor, Microsoft'u “kurumsal güvenliğe ve sıkı risk yönetimine yatırımı önemsizleştiren kurumsal kültürü” nedeniyle eleştirdi ve “Microsoft'un ürün ve hizmetleri her yerde mevcut olduğundan” şirketin siber güvenlik önlemlerinin ulusal güvenlik açısından kritik öneme sahip olduğunu söyledi.
Bilgisayar korsanları bir şekilde Microsoft'un güvenlik mekanizmaları için diğer kullanıcıların kimlik bilgilerini taklit etmek için kullanabilecekleri bir dijital anahtar (raporda bunlara “kriptografik taç mücevherleri” deniyor) ele geçirdi. Aralarında Ticaret Bakanı Gina M. Raimondo ve ABD'nin Çin Büyükelçisi Nicholas Burns'ün de bulunduğu dünya çapında 22 kuruluşun ve 500'den fazla kişinin hesaplarının güvenliği ihlal edildi. Yalnızca Dışişleri Bakanlığı bilgisayar ağından, izinsiz girişi tespit eden 60.000'den fazla e-posta indirildi.
Raporda, zorla girmenin “asla yaşanmaması gerekirdi” denildi. Microsoft'un hâlâ bilgisayar korsanlarının dijital anahtarı nasıl ele geçirdiğini bilmediği belirtildi. Microsoft ayrıca sonbaharda hackle ilgili yanlış kamu açıklamaları yaptığı için de azarlandı.
Microsoft Çin'de ince bir çizgide yürüdü. Grup, profesyonel sosyal ağ LinkedIn de dahil olmak üzere bazı iş alanlarını kapatmış olsa da, burada bulut bilişim hizmetleri sunuyor ve ayrıca burada geliştirme ekipleri ve ünlü bir araştırma laboratuvarı bulunuyor.
Bay Smith, duruşmada Microsoft'un Çin'deki mühendislik varlığını azalttığını ve geçen ay “işlerini sürdürmek için Çin'den ayrılmaları gereken” 700 ila 800 çalışanın yerini değiştirmeyi teklif ettiğini söyledi.
Haber'ın Ocak ayında bildirdiğine göre, aralarında Bay Smith ve İcra Kurulu Başkanı Satya Nadella'nın da bulunduğu şirketin üst düzey yöneticileri, araştırma laboratuvarının geleceğini tartıştılar ve araştırmacıları politik açıdan hassas çalışmalardan caydıracak korkuluklar getirdiler.
Bay Smith, “dijital teknoloji tarihindeki en büyük siber güvenlik mühendisliği projesi” olarak adlandırdığı projenin bir parçası olarak Microsoft bünyesinde acil güvenlik çalışmaları sözü verdi.
Microsoft'un güvenlik açıklarına ilişkin sert rapora rağmen, duruşmadaki milletvekilleri Smith'e agresif sorular sormadı, bunun yerine hükümet-özel sektör işbirliği fırsatlarına odaklandı.
Komitenin en üst düzey Demokratlarından Mississippi'den Temsilci Bennie Thompson açılış konuşmasında “Bu yakalanmış bir duruşma değil” dedi.
Smith, sorunun boyutunu anlatırken milletvekillerini şaşkına çevirdi. Microsoft'un her gün müşterilerine yönelik 300 milyondan fazla saldırı tespit ettiğini söyledi.
Ocak ayında Microsoft, Rus istihbaratının sponsor olduğu bir grup tarafından gerçekleştirilen ayrı bir hack saldırısını ortaya çıkardı ancak raporda bundan bahsedilmedi.
Kasım ayında Microsoft, şirketin yirmi yıl içindeki en büyük güvenlik girişimi olan güvenlik uygulamalarında büyük bir revizyon yapılacağını duyurdu ve Mayıs ayında şirket, üst düzey yöneticilerinin ücretlerini bu revizyonun ilerlemesine bağlayacağını duyurdu.
Smith, şirketin yönetim kurulunun üst düzey yöneticilerin bireysel performans primlerinin üçte birini siber güvenliğe bağlamaya yönelik bir planı onayladığını söyledi. Ayrıca tüm Microsoft çalışanlarının altı aylık performans incelemelerinde siber güvenlik açısından değerlendirileceğini söyledi.
Microsoft'un rakipleri bu güvenlik açığından yararlandı. Destekçileri arasında Google, Amazon ve Meta'nın da bulunduğu bir ticaret grubu olan NetChoice, hükümetin Microsoft'a olan güvenini eleştiren seçmenlerin katıldığı bir anket yayınladı. NetChoice ve rakipleri tarafından desteklenen diğer birkaç ticaret grubu, Biden yönetimi yetkililerine, hükümeti daha çeşitli teknoloji sağlayıcıları kullanmaya çağıran mektuplar gönderdi.
Google'ı müşterisi olarak kabul eden bir halkla ilişkiler firması, Microsoft'un bilgisayar korsanlığıyla ilgili olumsuz hikayeler ortaya çıktığında düzenli olarak muhabirlere e-posta gönderiyor ve bazen uzmanlarla konuşmayı teklif ediyor. Bu hafta iş yazılımı şirketi Salesforce, gazetecilere güvenlik kültürünü öne çıkaran bir yorum gönderdi.
Amazon CEO'su Andy Jassy, Nisan ayının sonlarında yatırımcılara, yapay zeka hizmetlerini seçerken güvenliğin müşteriler için kritik öneme sahip olduğunu söyledi.
“Geçen bir veya iki yılda olup bitenlere bakarsanız,” dedi, “tüm sağlayıcılar aynı geçmiş performansa sahip değil.”