Сенатор США Рон Уайден официально обратился к Федеральной торговой комиссии с просьбой исследовать деятельность компании Microsoft из-за, по его мнению, значительных недостатков в области кибербезопасности. В запросе упоминаются многократные инциденты, касающиеся безопасности, и поднимаются вопросы о роли компании в защите критически важной инфраструктуры.
Сенатор акцентирует внимание на рисках кибербезопасности
В письме, адресованном председателю комиссии Эндрю Фергюсону, Уайден подчеркнул, что подход Microsoft к кибербезопасности продолжает представлять потенциальные угрозы национальной безопасности. Сенатор сослался на атаки программ-вымогателей, затрагивающие инфраструктуру и медицинские организации, которые он частично связывает с настройками системы Windows по умолчанию.
Уайден охарактеризовал Microsoft как компанию, которая из-за своего обширного присутствия в ИТ-сфере оставляет организациям ограниченный выбор, кроме как полагаться на её продукты. Он отметил, что этот почти монопольный статус усиливает последствия любых пробелов в безопасности.
Примеры инцидентов с программами-вымогателями
Ключевым примером, приведенным в письме, стала атака программ-вымогателей на оператора больниц Ascension в мае 2024 года. По словам Уайдена, атака раскрыла частные медицинские и страховые данные около 5,6 миллионов человек. Взлом, как сообщается, произошел, когда подрядчик, используя ноутбук Ascension, взаимодействовал с вредоносной ссылкой через поисковую систему Bing от Microsoft, что в конечном итоге дало хакерам доступ к сети организации и её серверу Microsoft Active Directory.
Уайден предположил, что устаревшие технологии шифрования и настройки безопасности по умолчанию способствовали уязвимости, которой воспользовались злоумышленники. Он также отметил, что у компаний может не быть достаточных рекомендаций по снижению этих рисков.
Ответ Microsoft на вопросы о шифровании и мерах по снижению рисков
Представитель Microsoft прокомментировал опасения, связанные с шифровальным стандартом RC4, упомянутым в письме Уайдена, объяснив, что протокол устарел и составляет менее 0,1% сетевого трафика. Представитель подчеркнул, что, хотя Microsoft не рекомендует его использование, полное отключение может нарушить работу систем заказчиков.
Microsoft указала, что RC4 будет отключен по умолчанию в избранных продуктах Windows начиная с первого квартала 2026 года. Планируются дополнительные меры и рекомендации для существующих развертываний с целью уменьшения уязвимости при сохранении стабильности работы.
Участие Федеральной торговой комиссии
Федеральная торговая комиссия подтвердила получение письма Уайдена, но отказалась от дальнейших комментариев. Сенатор ранее выступал за государственный надзор за практиками кибербезопасности Microsoft, особенно после раскрытия кибератак, связанных с иностранными акторами, которые были нацелены на должностных лиц правительства США.
Широкие последствия для корпоративных ИТ
Запрос Уайдена подчеркивает более широкие опасения по поводу безопасности корпоративных ИТ-систем. Поскольку продукты Microsoft широко используются в государственных учреждениях и частных компаниях, любые пробелы в безопасности или устаревшие протоколы могут повлиять на многочисленные секторы. Обсуждение также поднимает вопросы о регулировании и ответственности крупных технологических компаний в снижении рисков кибербезопасности.
Подход Microsoft к обновлениям безопасности
Microsoft акцентирует внимание на постепенных изменениях, направленных на повышение безопасности без нарушения работы клиентов. Компания утверждает, что предоставляет предупреждения и рекомендации для безопасного использования устаревших технологий и продолжает внедрять обновления безопасности на своих платформах.
Призыв к расследованию Microsoft: сенатор Уайден требует действий
Запрос сенатора Уайдена является призывом к регуляторной оценке практик кибербезопасности Microsoft. Это подчеркивает пересечение корпоративной ответственности, технологических стандартов и вопросов национальной безопасности, побуждая к обсуждению того, как крупные технологические компании управляют рисками и поддерживают своих клиентов в предотвращении киберугроз.
Интересно, как такие крупные компании, как Microsoft, будут адаптироваться к новым требованиям безопасности? Особенно учитывая их почти монопольное положение. Надеюсь, это послужит стимулом для улучшения их систем защиты и предотвращения будущих утечек данных.