2 juli 2024

Cyberweerbaarheid

Cybersecurity

Big tech

De onthulling komt zes maanden na de eerste melding van de inbraak en lijdt tot gezichtsverlies bij Microsoft. Het softwarebedrijf stond al onder verscherpt toezicht van de Amerikaanse overheid vanwege de veiligheid van haar software en systemen tegen buitenlandse dreigingen (2). De hackers, bekend als Midnight Blizzard, wisten toegang te krijgen tot “een zeer klein percentage” van de zakelijke e-mailaccounts van Microsoft. Hoewel het bedrijf heeft aangegeven de gecompromitteerde e-mails met de getroffen klanten te delen, blijft het onduidelijk hoeveel klanten precies getroffen zijn en om hoeveel e-mails het gaat.

Winst boven veiligheid

De onthulling volgt op een rapport van ProPublica (3). Volgens dit rapport was Microsoft al sinds 2017 op de hoogte van een ernstige beveiligingsfout in Active Directory Federation Services (AD FS), een product dat door miljoenen gebruikers wordt gebruikt om in te loggen op hun werkcomputers. Door deze fout konden aanvallers zich voordoen als werknemers en toegang te krijgen tot gevoelige gegevens.

In het rapport stelt voormalig Microsoft-engineer Andrew Harris dat het bedrijf zijn herhaaldelijke waarschuwingen over de kwetsbaarheid negeerde (4). Productmanagers zouden zijn bezorgdheid hebben afgedaan als een bedreiging voor de zakelijke doelstellingen van Microsoft, met name voor het binnenhalen van overheidscontracten en het verslaan van concurrenten.

Hoorzitting in het Amerikaanse Congres

De onthullingen van ProPublica leidde tot een hoorzitting in het Amerikaanse Congres, waar Microsoft President Brad Smith werd ondervraagd over de aanpak van het bedrijf ten aanzien van cyberbeveiliging. Smith’s verdediging: Microsoft zou bezig zijn met een herziening van haar beveiligingsprocedures en -cultuur. Hij benadrukte dat het bedrijf streeft naar een cultuur waarin elke werknemer wordt aangemoedigd om problemen te melden en op te lossen. (5)

Toch waren de Congresleden kritisch op Microsoft. Delia Ramirez, Lid van het Huis van Afgevaardigden van de V.S., noemde het ProPublica-rapport een “bom” en de hoorzitting een “moment van afrekening” voor het bedrijf. Microsoft zou volgens Congres leden herhaaldelijk haar rol in de SolarWinds-hack in 2020 hebben gebagatelliseerd (6). De vraag is nu of de beloften van Microsoft om de beveiligingscultuur te veranderen voldoende zullen zijn om het vertrouwen van klanten en overheden te herstellen.

(1) https://www.reuters.com/technology/cybersecurity/microsoft-tells-clients-russian-hackers-viewed-emails-bloomberg-news-reports-2024-06-27/

(2) https://www.theregister.com/2024/04/21/microsoft_national_security_risk/

(3) https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers

(4) https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers

(5) https://www.propublica.org/article/microsoft-solarwinds-cybersecurity-house-homeland-security-hearing

(6) https://www.techtarget.com/whatis/feature/SolarWinds-hack-explained-Everything-you-need-to-know

Over de auteurs

  • Christian Cordoba Lenis

    Christian Cordoba Lenis is nieuwsredacteur voor PONT | Data & Privacy. Cordoba Lenis is geïntrigeerd door het raakvlak tussen technologie en recht. Cordoba Lenis heeft zowel een juridische als een technische achtergrond en waagt zich nu aan het journalistieke vak.

    PONT | Data & Privacy

Gerelateerd nieuws

Public cloud en de Rijksoverheid in de praktijk

We kunnen niet meer om het onderwerp heen: public cloud zoals aangeboden door onder andere Microsoft (Azure), Amazon (AWS) en Google (GCP) wordt door de Rijksoverheid steeds meer gebruikt. De komende jaren zullen we tijdens onze onderzoeken steeds vaker informatiesystemen tegenkomen die gebruik maken van de public cloud en gevraagd worden om hier iets van te vinden.

Data & Privacy

Onderzoek naar informatiebeveiliging is ‘wake up-call’

Een ADR-onderzoek naar de omgang met vertrouwelijke informatie bij de politie toont aan dat de beveiliging van die informatie onvoldoende op orde is. Het korps is te kwetsbaar voor kwaadwillenden die op zoek zijn naar politie-informatie. Naar aanleiding van het rapport heeft de politie direct maatregelen genomen.

Data & Privacy

Het belang van meer aandacht voor IT en cybersecurity voor de jeugd

De digitalisering van onze samenleving verloopt in een razend tempo. Informatie en operationele technologieën zijn niet meer weg te denken uit ons leven. Het samenkomen van computers, wereldwijde connectiviteit, mobiele apparatuur, robotisering, cloud technologie en Artificiële Intelligentie (AI) transformeert onze wereld. Daarin ligt een potentiële belofte dat alles sneller, efficiënter, beter en gemakkelijker wordt, overal en continue. Deze digitalisering en technologische ontwikkelingen bieden kansen en mogelijkheden voor zowel organisaties als de samenleving.

Data & Privacy

Nederland wil met 8 landen EU-regels digitale economie vereenvoudigen

Meer dan 10 nieuwe EU-wetten voor de digitale economie zijn van kracht of komen eraan. Die verbeteren concurrentie en consumentenbescherming op terreinen als digitale platforms, kunstmatige intelligentie, productveiligheid en data. Al deze regels bij elkaar kunnen echter ook onsamenhangend of overlappend zijn en zo onnodig mkb-ondernemers belemmeren. Minister Dirk Beljaarts (Economische Zaken) heeft vandaag bij de EU Telecomraad in Brussel met België, Duitsland, Estland, Finland, Griekenland, Ierland, Slowakije en Zweden de Europese Commissie opgeroepen om dit aan te pakken.

Data & Privacy

Meer nieuws