Whistleblower mengklaim Microsoft memprioritaskan keuntungan di atas keamanan

 (propublica.org)
1 poin oleh GN⁺ 2024-06-14 | 1 komentar | Bagikan ke WhatsApp

Whistleblower mengklaim Microsoft memilih keuntungan di atas keamanan sehingga membuat pemerintah AS rentan terhadap peretasan Rusia

Peringatan dari mantan karyawan diabaikan

  • Poin utama: Andrew Harris, mantan karyawan Microsoft, mengklaim bahwa perusahaan mengabaikan cacat keamanan penting. Cacat ini digunakan oleh peretas Rusia untuk menyusupi sejumlah lembaga, termasuk National Nuclear Security Administration (NNSA) milik AS.
  • Temuan Harris: Harris menemukan cacat serius dalam aplikasi yang digunakan di aplikasi cloud Microsoft untuk memungkinkan pengguna masuk ke program berbasis cloud. Cacat ini memungkinkan peretas menyamar sebagai karyawan sah dan mencuri data penting.
  • Respons perusahaan: Harris memberi tahu rekan-rekannya tentang cacat ini, tetapi perusahaan mengabaikannya karena khawatir akan kehilangan bisnis pemerintah. Microsoft mengatakan akan menyiapkan solusi jangka panjang, tetapi selama itu layanan cloud tetap berada dalam kondisi rentan.

Insiden peretasan SolarWinds

  • Terjadinya peretasan: Setelah Harris meninggalkan perusahaan, peretas Rusia mencuri data sensitif dari berbagai lembaga federal melalui insiden peretasan SolarWinds. Peretasan ini tercatat sebagai salah satu serangan siber terbesar dalam sejarah AS.
  • Metode peretasan: Para peretas menggunakan cacat yang ditemukan Harris untuk mencuri data dari berbagai lembaga federal, dan tindakan ini digambarkan sebagai aktivitas spionase untuk pengumpulan intelijen jangka panjang.

Tanggapan Microsoft

  • Posisi resmi: Microsoft menyatakan bahwa perlindungan pelanggan adalah prioritas utama dan bahwa semua masalah keamanan ditinjau secara menyeluruh. Namun, Harris mengkritik perusahaan karena memprioritaskan keuntungan di atas pelanggan.
  • Budaya keamanan: Microsoft mendapat kritik karena kurangnya budaya keamanan, dan bahkan di dalam perusahaan sendiri, budaya yang mengutamakan keuntungan di atas keamanan disebut sebagai masalah.

Opini GN⁺

  • Keseimbangan antara keamanan dan keuntungan: Jika perusahaan memprioritaskan keuntungan di atas keamanan, dalam jangka panjang mereka bisa kehilangan kepercayaan pelanggan. Pada akhirnya, hal ini dapat berdampak negatif pada reputasi dan pendapatan perusahaan.
  • Hubungan dengan pemerintah: Mengabaikan masalah keamanan demi mempertahankan kontrak dengan pemerintah mungkin menguntungkan dalam jangka pendek, tetapi dalam jangka panjang dapat menjadi ancaman besar bagi keamanan nasional.
  • Perlu perbaikan budaya keamanan: Perusahaan besar seperti Microsoft perlu memperbaiki budaya keamanan dan membangun sistem untuk menyelesaikan masalah keamanan dengan cepat. Ini penting untuk menjaga kepercayaan pelanggan dan menjamin keberhasilan jangka panjang.
  • Produk pesaing: Produk pesaing seperti Okta juga ada, dan produk-produk ini lebih menekankan keamanan. Perusahaan perlu mempertimbangkan berbagai opsi untuk memilih solusi keamanan yang paling tepat.
  • Hal yang perlu dipertimbangkan saat mengadopsi teknologi: Saat mengadopsi teknologi baru, masalah keamanan harus ditinjau secara menyeluruh dan potensi kerentanan harus diidentifikasi lebih dulu untuk menyiapkan langkah penanganan. Ini penting untuk mencegah serangan siber seperti peretasan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-14
Opini Hacker News

  • Model Zero Trust: Penting untuk memperlakukan jaringan internal organisasi seolah-olah seperti jaringan eksternal dan tidak memberikan kepercayaan penuh. Google menerapkannya melalui BeyondCorp untuk mencegah pelanggaran dari dalam.

  • Ketidaksesuaian antara keamanan dan keuntungan: Ketidaksesuaian antara keamanan dan keuntungan sulit diselesaikan tanpa perubahan budaya. Saat ini belum jelas apa yang bisa memicunya.

  • Realitas keamanan siber: Industri keamanan siber cenderung lebih fokus pada kepatuhan daripada keamanan yang sebenarnya. Standar kepatuhan kurang memadai atau tidak ditegakkan dengan baik.

  • Hubungan pemerintah dan perusahaan: Perusahaan yang menjual produk kepada pemerintah bisa menghasilkan banyak uang, dan demi itu terkadang menyembunyikan sisi negatif. Ini menyebabkan terkikisnya etika dasar dan kejujuran.

  • Insentif keamanan: Insentif untuk keamanan masih kurang. Staf penjualan diberi imbalan berdasarkan kinerja, tetapi staf keamanan dipecat jika tidak ada hasil. Ini merusak budaya keamanan.

  • Mengutamakan keamanan: Ucapan eksekutif seperti "utamakan keamanan" tidak terlalu berarti. Jika budaya keamanan tidak dihargai, karyawan akan mengoptimalkan diri untuk prioritas lain.

  • Pendekatan keamanan Microsoft: CEO Microsoft Satya Nadella mengatakan bahwa keamanan diprioritaskan, tetapi pada praktiknya perusahaan lebih berfokus pada iklan dan pelacakan aktivitas pengguna.

  • Penggunaan smart card oleh pemerintah: Pemerintah AS menggunakan autentikasi smart card untuk memperkuat keamanan. Namun, jika Seamless SSO dinonaktifkan, pengguna akan kesulitan mengakses cloud.

  • Mengutamakan keuntungan: Sebagian besar perusahaan menempatkan keuntungan di atas keamanan. Ini bukan hanya masalah Microsoft.

  • Serangan Golden SAML: Golden SAML bukan kerentanan, melainkan jenis serangan. Jika infrastruktur SSO disusupi, semuanya menjadi berisiko.

  • Penjelasan dengan analogi: Dijelaskan dengan analogi perusahaan pembuat jembatan yang mengabaikan cacat struktural hingga jembatan runtuh, bahwa hal serupa juga terjadi di industri TI.

  • Perlunya regulasi hukum: Diperlukan regulasi hukum untuk keamanan jaringan. Semakin berkembang pandangan bahwa teknologi tidak bisa mengatur dirinya sendiri. Jika pemerintah AS tidak lagi mempercayai cloud Microsoft, tidak banyak alternatif yang tersedia.