Seja bem-vindo ao InfoCristão, o portal gospel da família brasileira!
segunda-feira , 20 maio 2024
Ciência e Tecnologia

Microsoft, um problema de segurança para os EUA

Microsoft, um problema de segurança para os EUA

A Microsoft é uma das mais benquistas prestadoras de serviços do governo dos Estados Unidos, com contratos em vários departamentos, inclusive os mais sensíveis. É correto imaginar que o departamento de Segurança da Informação (SI) da companhia é bastante sólido, ao menos para atender um cliente tão importante, mas não é bem isso o que acontece.

Na verdade, o próprio governo classificou a cultura de SI da Microsoft como “falha” e passível de revisão urgente, mas talvez por conveniência, Washington continua passando a mão na cabeça de Satya Nadella, mesmo após vários ataques hacker e vazamentos.

Segundo relatório recente do governo dos EUA, cultura de Segurança da Informação da Microsoft é

Segundo relatório recente do governo dos EUA, cultura de Segurança da Informação da Microsoft é “falha” e precisa ser revista (Crédito: Ronaldo Gogoni/Meio Bit)

Segurança da Microsoft deixa a desejar

Em janeiro de 2024, a Microsoft e a HP revelaram terem sido vítimas de mais um ataque de hackers russos, especificamente o grupo Midnight Blizzard, o mesmo por trás de grandes ataques de 2020 (em que a gigante de Redmond também foi um dos alvos) e 2016, e tem ligações diretas com o Kremlin, segundo as agências de segurança norte-americanas.

A situação da Microsoft em especial é delicada, visto que ela mantém acordos e contratos sensíveis com diversos departamentos e agências governamentais, o que em tese, implica em ela ser proativa e cuidar com mais afinco de seus assets, a fim de não incorrer em falhas que afetem a Segurança Nacional.

Só que Redmond gozaria de alguns privilégios, talvez por pura má-vontade de todos os envolvidos. Ao longo dos anos, a companhia nunca foi punida, não levou uma multa, nem um puxão de orelha, nada. Todos os contratos foram mantidos, como se tudo estivesse na mais santa paz, mas um relatório recente aponta exatamente o contrário.

Em 2 de abril de 2024, um documento publicado pelo Conselho de Revisão de Segurança Cibernética (Cyber Safety Review Board, ou CSRB), órgão do Departamento de Segurança Interna criado em 2021 pelo presidente dos EUA Joe Biden, cuja função é analisar eventos de ameaça a segurança digital interna, classificou as falhas da Microsoft como “um problema de cultura interna”.

O relatório diz que uma “cascata” de erros em série, cometidos pelos profissionais de SI da empresa, permitiram hackers do grupo Storm-0558, ligado à China, invadirem contas de e-mail de membros do alto escalão do governo, incluindo o de Gina Raimondo, secretária do Departamento de Comércio, e roubarem mais de 60 mil mensagens.

O documento não só diz que o ataque poderia ser evitado, como descasca o departamento de Segurança da Informação da Microsoft, de alto a baixo:

“O relatório da CSRB identificou uma série de decisões, operacionais e estratégicas, que apontam coletivamente para uma cultura corporativa que desprioriza investimentos em segurança corporativa e gerenciamento rigoroso de riscos, em desacordo com a centralidade no ecossistema tecnológico, e com o nível de confiança que seus clientes colocam na companhia, para proteger seus dados e operações.”

E conclui:

“O conselho recomenda que a Microsoft desenvolva e compartilhe publicamente um plano com prazos específicos, a fim de realizar reformas fundamentais voltadas à segurança, em toda a companhia e seus produtos.”

A Microsoft continua sendo alvo de hackers, mas não levou nem um puxão de orelha dos EUA até agora (Crédito: Sammy-Williams/Pixabay)

A Microsoft continua sendo alvo de hackers, mas não levou nem um puxão de orelha dos EUA até agora (Crédito: Sammy-Williams/Pixabay)

Punição? Que punição?

A CSRB não é a única que aponta falhas crassas no que tange à Segurança da Informação dos EUA. “P4x”, o hacker que derrubou a rede da Coreia do Norte em 2022, revelou recentemente sua identidade, como forma de chamar a atenção de que os burocratas do governo são reativos, e não fazem por onde para proteger dados sensíveis em primeiro lugar.

Essa cultura do “depois eu vejo” estaria se alastrando para fora das agências e contaminando prestadoras de serviços, o que explica a Microsoft ter hoje uma cultura que apenas reage quando tudo bate no ventilador, ao invés de fazer por onde, reforçando suas bases. Nesse cenário, o relatório do CSRB pouco adianta, visto que Redmond não recebeu até hoje, e nem receberá, nenhuma reprimenda.

No caso específico da Microsoft, isso acontece por esta ser sua principal fornecedora de produtos e serviços essenciais em TI, a praticamente toda a malha burocrática e sensível, do Departamento de Defesa ao Pentágono e o FBI. A empresa tem acesso de alto nível a atividades suspeitas de grupos hackers monitoradas pelo governo dos EUA, e meios de frear ataques e reagir a eles… se se esforçasse para isso.

Isso coloca Washington em uma sinuca de bico: a Microsoft tem acesso demais, o governo depende da empresa para praticamente tudo, e nem tocamos na questão do lobby junto ao Congresso, e temos um cenário onde os burocratas preferem fazer vista grossa, a engrossar para o lado da companhia, conforme apontado por ex-funcionários, ex-membros do governo, profissionais de SI, e especialistas em Direito Digital.

Não obstante, a Microsoft cobra por camadas extras de segurança de seus clientes, e em janeiro de 2023, a companhia anunciou que o departamento de SI ultrapassou a marca de US$ 20 bilhões em receita anual, quase como quem diz “insegurança dá lucro”.

Só que agora, essa “mono dependência” da Microsoft está incomodando. No dia 8 de abril de 2024, o senador Ron Wyden (DEM/Oregon) apresentou um projeto, visando banir soluções inseguras em até 4 anos, no que o Office estaria incluído, por “não se adequar” às necessidades em Segurança do governo, e por “não se integrarem” com produtos competidores.

Especialistas em segurança dizem que a situação atual, em que os EUA só reagem a ataques, não pode continuar assim, independente do motivo, pois em algum momento, o golpe será mais forte, e os estragos maiores, do que a Microsoft poderá remendar, se o fizer.

Fonte: WIRED


Por: Ronaldo Gogoni
Fonte/URL: https://meiobit.com/463976/microsoft-problemas-seguranca-informacao-governo-eua/

Artigos Relacionados

Resenha: O Ministério da Guerra Não-Cavalheiresca

O Ministério da Guerra Não-Cavalheiresca é um filme de guerra das antigas,...

UE: X e Meta na mira por desinformação e vício de menores

A União Europeia (UE) não dá trégua para as grandes companhias de...

NASA JPL quer instalar um maglev na Lua

A NASA sabe que, em algum momento no futuro, a humanidade será...