Odbor za reviziju sajber bezbednosti, osnovan 2021. izvršnom naredbom, opisuje loše prakse u domenu sajber bezbednosti, slabu korporativnu kulturu i nedostatak iskrenosti u vezi sa znanjem Majkrosofta o upadu hakera, koji je pogodio više američkih službi koje se bave Kinom.
Bezbednosna kultura Majkrosofta "bila je neadekvatna i zahteva reviziju", s obzirom na sveprisutnost te kompanije i njenu važnu ulogu u globalnom tehnološkom ekosistemu, zaključeno je u izveštaju.
Odbor je naveo da je upad iz maja prošle godine, kojeg je Stejt department otkrio u junu, mogao biti sprečen i da "nikada nije trebalo da se dogodi", i dodao da je za uspeh kineskih hakera kriva "kaskada grešaka koje su mogle biti izbegnute".
Štaviše, naveo je Odbor, Majkrosoft i dalje ne zna kako su hakeri upali u imejl naloge.
Odbor je objavio sveobuhvatne preporuke, uključujući poziv kompaniji Majkrosoft da odloži dodavanje funkcija svom računarskom okruženju u klaudu "dok ne budu sprovedena značajna bezbednosna poboljšanja".
Izvršni direktor i upravni odbor Majkrosofta, kako se navodi, treba da uvedu "brzu promenu poslovne kulture", uključujući javno deljenje "plana sa određenim vremenskim rokovima za sprovođenje temeljnih reformi usredsređenih na bezbednost u celoj kompaniji i njenom kompletnom paketu proizvoda".
Majkrosoft je saopštio da ceni istragu Odbora i da će "nastaviti da učvršćuje sve svoje sisteme protiv napada i da postavlja još osetljivije senzore kako bi pomogli otkrivanju i odbijanju sajber armija protivnika".
Kineski hakeri podržani od države upali su u imejl naloge 22 organizacije i više od 500 pojedinaca širom sveta, uključujući ambasadora SAD u Kini Nikolasa Bernsa, i preuzeli 60.000 imejlova samo iz Stejt departmenta, navodi se u izveštaju na 34 stranice.
Među kompromitovanima su tri istraživačka centra i entiteti strane vlade, uključujući brojne britanske organizacije, navodi se u izveštaju.
Odbor koji je u avgustu okupio američki ministar za unutrašnju bezbednost Alehandro Majorkas, optužio je Majkrosoft za davanje netačnih javnih izjava o tom slučaju, uključujući saopštenje u kojem je kompanija izrazila uverenje da je utvrdila verovatni osnovni uzrok upada, iako zapravo to nije učinila.
Majkrosoft sve do sredine marta nije ažurirao taj obmanjujući post na svom blogu, objavljen u septembru, iako je Odbor više puta postavio pitanje da li planira to da ispravi, piše u izveštaju.