拜登行政当局任命的网络安全审查委员会(Cyber Safety Review Board)周二(4月2日)发布了一份报告,严厉批评微软公司(Microsoft)的安全和透明度,称这家科技巨头的“一系列错误”让中国国家支持的网络运营商侵入了包括商务部长吉娜·雷蒙多(Gina Raimondo)在内的美国高级官员的电子邮件帐户。
该委员会于2021年根据行政命令成立,它在报告中描述了劣质的网络安全做法、松懈的企业文化,以及该公司在有针对性的入侵问题上不尽诚实,这些入侵影响了多个与中国打交道的美国联邦机构。
报告的结论是,鉴于微软在全球技术生态系统中的普遍性和关键作用,“微软的安全文化不够充分,必须彻底改革”。微软产品“支撑着支持国家安全、我们经济基础以及公共健康和安全的基本服务。”
该委员会表示,美国国务院去年6月发现的、可追溯至去年5月的这次入侵“是可以预防的,根本不应该发生”,并将其黑客入侵得逞归咎于“一系列可以避免的错误”。委员会表示,更严重的是,微软仍然不知道黑客是如何进入的。
该委员会提出了广泛的建议,包括敦促微软暂停向其云计算环境添加功能,直到“做出实质性的安全改进”。
报告称,微软首席执行官和董事会应实施“快速文化变革”,包括公开分享“一项具有具体时间表的计划,以便在整个公司及其全套产品中进行根本性的、以安全为重点的改革”。
微软在一份声明中表示,它对该委员会的调查表示赞赏,并将“继续强化我们所有的系统以抵御攻击,并设置更强大的传感器和日志,以帮助我们侦测和击退对手的网络大军。
这份34页的报告称,受中国国家支持的黑客总共侵入了全球22个组织和500多人的Microsoft Exchange Online电子邮件,其中包括美国驻华大使尼古拉斯·伯恩斯(Nicholas Burns)的邮件,他们访问了一些基于云的电子邮箱至少六周,仅从美国国务院就下载了约6万封电子邮件。报告称,三个智库和外国政府实体,包括一些英国的组织,都遭到了入侵。
国土安全部部长亚历杭德罗·马约卡斯(Alejandro Mayorkas)去年8月召集了该委员会。该委员会指责微软就黑客入侵事件发表了不准确的公开声明——包括发表声明称相信公司已经确定了入侵的可能根本原因,但“事实上,它还没有确定。”该委员会表示,直到3月中旬,在该委员会多次询问是否计划发布更正后,微软才更正了去年9月发布的这篇具有误导性的博客文章。
另外,该委员会还对这家位于华盛顿州雷德蒙德的公司1月份披露的另一起黑客攻击事件表示了关切,该黑客攻击的电子邮件帐户包括数量不详的微软高级管理人员和数量不详的微软客户的电子邮件帐户,攻击者为俄罗斯国家支持的黑客。
委员会对微软“既不重视企业安全投资也不重视严格风险管理的企业文化”表示遗憾。
此次中国黑客攻击最初由微软于去年7月份在一篇博客文章中披露,称攻击由该公司称为Storm-0558(风暴-0588)的组织实施。网络安全审查委员会指出,该组织至少从2009年起就一直从事类似的入侵活动——攻击云提供商或窃取身份验证密钥以侵入用户账户,目标包括谷歌(Google)、雅虎(Yahoo)、奥多比(Adobe)、陶氏化学(Dow Chemical)和摩根士丹利(Morgan Stanley)等公司。
微软在声明中指出,有关黑客是“资源充足的民族国家威胁行为体,他们持续行动而没有受到有意义的遏阻”。
该公司表示,它认识到最近发生的事件“表明需要在我们自己的网络中采用一种新的工程安全文化”,并补充说这一事件“推动我们的工程团队来识别和消除老旧基础设施,改进流程并执行安全基准。”(本文依据了美联社的报道。)
