SG.hu
Mit csinál a Microsoft Kínában?
Republikánus törvényhozók kikérdezték a Microsoft elnökét, Brad Smith-et a vállalat kínai jelenlétéről, körülbelül egy évvel azután, hogy kínai hackerek a technológiai óriás rendszereit használták a szövetségi kormányzati hálózatokba való beszivárgáshoz.
A képviselőház belbiztonsági bizottságának több tagja egy többórás meghallgatás során arról kérdezte Brad Smith-et, a Microsoft elnökét, hogy egy olyan kritikus fontosságú amerikai kormányzati vállalkozó, mint a Microsoft, hogyan tarthat fenn kereskedelmi üzletágat Kínában, ha az Smith szerint csak a vállalat eladásainak mintegy 1,4-1,5 százalékát teszi ki. "Tényleg megéri?" - kérdezte Carlos Gimenez képviselő, floridai republikánus képviselő. Smith azzal érvelt, hogy a Microsoft kínai üzleti tevékenysége az amerikai érdekeket szolgálja, mivel védi a Microsoft ott működő amerikai ügyfeleinek üzleti titkait, és tanul a világ többi részén zajló eseményekből. Hozzátette, hogy a Microsoft elutasította a kínai kormány kérését, hogy átadjon érzékeny információkat. "Vannak napok, amikor a Microsofthoz intézett kérdések az asztalomra kerülnek, és én azt mondom, hogy nem" - mondta.
A meghallgatás válasz volt a belbiztonsági minisztérium kiberbiztonsági felülvizsgálati bizottságának márciusi, megsemmisítő jelentésére. A jelentés részletezte, hogy "a Microsoft biztonsági hibáinak sorozata" hogyan tette lehetővé, hogy a Storm-0558 nevű hackercsoport - amely a jelentés szerint a kínai kormányhoz kötődő kémcsoport - tavaly májusban és júniusban beszivárogjon a Microsoft e-mail rendszereibe. A jelentés bírálta a Microsoftot, amiért "olyan vállalati kultúrája volt, amely mind a vállalati biztonsági beruházásokat, mind a szigorú kockázatkezelést háttérbe szorította", és azt állítja, hogy a vállalat kiberbiztonsági gyakorlatai kritikus nemzetbiztonsági jelentőségűek voltak, mivel "a Microsoft termékei és szolgáltatásai mindenütt jelen vannak".
A hackerek valahogyan megszerezték a Microsoft belső vállalati hálózatán lévő crash dump fájlból a kriptográfiai kulcsot - amit a jelentés "kriptográfiai koronaékszernek" nevez -, amellyel meghamisíthatták más felhasználók belépési adatait. Világszerte 22 szervezet és több mint 500 magánszemély fiókját veszélyeztették, köztük Gina M. Raimondo kereskedelmi miniszter és Nicholas Burns, az Egyesült Államok kínai nagykövetének hozzáférését. Több mint 60 ezer e-mailt töltöttek le csak a külügyminisztérium számítógépes hálózatáról, amely felfedezte a betörést. A behatolásnak "soha nem lett volna szabad megtörténnie" - áll a jelentésben. A jelentés szerint a Microsoft még azt sem tudja, hogyan jutottak a hackerek a digitális kulcshoz. A jelentés azt is kifogásolta, hogy a Microsoft ősszel pontatlan nyilvános nyilatkozatokat tett a hackerrel kapcsolatban.
Más kongresszusi tagok a Microsoft kínai jelenlétéről faggatták Smitht, és arról, hogy a pekingi nemzetbiztonsági törvényeknek való megfelelés érdekében Redmondot kényszeríthetik-e kódok vagy ügyfelek érzékeny adatainak átadására. Smith elmondta a törvényhozóknak, hogy a Microsoft kényes helyzetben van Kínában, és hogy nemrégiben mintegy 800 mérnököt értesítettek arról, hogy el kell költözniük az országból, ha meg akarják tartani az állásukat. A vállalat felsővezetői - köztük Smith és a vezérigazgató, Satya Nadella - vitatkoztak a kutatólabor jövőjéről, és olyan intézkedéseket vezettek be, amelyek korlátozzák a kutatókat a politikailag érzékeny munkákban. A cég egyes üzletágakat - például a LinkedIn szakmai közösségi hálózatot - bezárt, de felhőalapú számítástechnikai szolgáltatásokat továbbra is kínál.
A Microsoft biztonsági hiányosságairól szóló kemény jelentés ellenére a meghallgatáson részt vevő törvényhozók nem tettek fel agresszív kérdéseket Smithnek, és inkább arra összpontosítottak, hogy a kormány és a magánszektor hogyan tudna együttműködni. "Ez nem egy kihallgatás" - mondta nyitóbeszédében Bennie Thompson mississippi képviselő, a bizottság rangidős demokrata képviselője. "A Microsoft vállalja a felelősséget a CSRB jelentésében említett minden egyes problémáért" - mondta Smith a képviselőház belbiztonsági bizottsága előtt tett nyitóbeszédében. De aztán kérdésekre válaszolva Smith azt is megpróbálta elmondani, hogy az, hogy az amerikai külügyminisztérium - és nem a Microsoft - fedezte fel a digitális behatolást a tisztviselői postafiókjaiba, nem éppen biztonsági hiba a redmondiak részéről, hanem inkább "így kell működnie".
Bennie Thompson képviselő ezt kifogásolva azt mondta Smith-nek: "Nem a Microsoft találta meg a problémát. A Külügyminisztérium találta meg a problémát. Segítsen nekünk". Smith úgy válaszolt, hogy szemtelenül megpróbálta másokra hárítani a felelősséget: "Ez egy nagyszerű kérdés. És az egyetlen dolog, amin mindannyiunkat megkérnék, hogy gondolkodjunk el, hogy ennek így kellene működnie. Az ökoszisztémában egyetlen entitás sem lát mindent, ezért mindannyiunknak együtt kell dolgoznunk." Thompson nem hagyta annyiban a választ, és rámutatott, hogy a Microsoft biztosítja a szövetségi kormányzat által használt irodai szoftverek mintegy 85 százalékát, ráadásul Redmond a szövetségiek egyik fő biztonsági és felhőszolgáltatója. "Mivel önök a kormányzat ilyen nagy beszállítói, nagyban támaszkodunk a termékeikre, és nem a mi dolgunk, hogy megtaláljuk a bűnösöket" - mondta a rangidős bizottsági tag. "Ezért fizetünk önöknek."
Carlos Gimenez képviselő rámutatott egy 2017-es nemzeti hírszerzési törvényre, amely arra kényszerítheti az országban működő embereket és szervezeteket, hogy segítsék a kínai hírszerző ügynökségeket. A szóváltásuk ezután zanzásítva így zajlott:
Gimenez: Önök Kínában tevékenykednek?
Smith: Igen, így van.
Gimenez: Betartják ezt a törvényt?
Smith: Nem, nem tartjuk be.
Gimenez: Hogy lehet, hogy megúszták, hogy nem tartják be a törvényt? Van felmentésük a kínai kormánytól, hogy nem kell betartaniuk ezt a törvényt?
Smith: Nem, nincs.
"Egyszerűen nem bízom abban, amit mondanak nekem" - mondta Gimenez. "Ön Kínában tevékenykedik. Kellemes kapcsolatokat ápolnak az országgal. Ott vannak. Engedélyezik, hogy ott legyenek, és nem hiszem, hogy azt mondanák: 'Igen, oké, semmi gond. Nem kell betartanotok a mi törvényeinket, amelyeket mindenki más is betart.' Minden más külföldi cégnek meg kell tennie, de a Microsoftnak nem".
Smith megdöbbentette a törvényhozókat, amikor leírta a kihívás nagyságrendjét. Elmondta, hogy a Microsoft naponta több mint 300 millió támadást észlel ügyfelei ellen. Novemberben a Microsoft bejelentette biztonsági gyakorlatának teljes körű átdolgozását, amely az elmúlt két évtized legnagyobb biztonsági kezdeményezése, és májusban közölte, hogy a felsővezetők javadalmazását a felülvizsgálat előrehaladásához köti. Smith elmondta, hogy a vállalat igazgatótanácsa jóváhagyta azt a tervet, hogy a felsővezetők egyéni teljesítménybónuszának egyharmadát a kiberbiztonsághoz kössék. Azt is elmondta, hogy a Microsoft minden alkalmazottját a kiberbiztonság szempontjából is értékelni fogják az évente kétszer esedékes teljesítményértékelés során.
A Microsoft versenytársai rávetették magukat a cég gyenge pontjára. A NetChoice - egy kereskedelmi csoport, amelynek támogatói közé tartozik a Google, az Amazon és a Meta - közvélemény-kutatást végzett a szavazók körében, amelyben kritizálta a kormány Microsoftra való támaszkodását. A NetChoice és több más, versenytársak által támogatott szakmai csoport levelet küldött a Biden-kormány tisztviselőinek, amelyben azt követelték, hogy a kormányzat a technológiai szállítók szélesebb körét használja. Egy PR-cég, amely a Google-t is ügyfélként tartja nyilván, rendszeresen küld e-maileket az újságíróknak, amikor negatív hírek jelennek meg a Microsoft hackereiről, és időnként szakértőket ajánl fel, akikkel beszélhetnek. Ezen a héten a Salesforce üzleti szoftvercég küldött egy kommentárt a biztonsági kultúráját népszerűsítő újságíróknak. Andy Jassy, az Amazon vezérigazgatója április végén azt mondta a befektetőknek, hogy a biztonság kritikus fontosságú lesz azon ügyfelek számára, akik kiválasztják, hogy milyen MI-szolgáltatásokat vegyenek igénybe. "Ha csak arra figyelünk, hogy mi történt az elmúlt egy-két évben" - mondta -, "nem minden szolgáltatónak van ugyanolyan előélete".
A képviselőház belbiztonsági bizottságának több tagja egy többórás meghallgatás során arról kérdezte Brad Smith-et, a Microsoft elnökét, hogy egy olyan kritikus fontosságú amerikai kormányzati vállalkozó, mint a Microsoft, hogyan tarthat fenn kereskedelmi üzletágat Kínában, ha az Smith szerint csak a vállalat eladásainak mintegy 1,4-1,5 százalékát teszi ki. "Tényleg megéri?" - kérdezte Carlos Gimenez képviselő, floridai republikánus képviselő. Smith azzal érvelt, hogy a Microsoft kínai üzleti tevékenysége az amerikai érdekeket szolgálja, mivel védi a Microsoft ott működő amerikai ügyfeleinek üzleti titkait, és tanul a világ többi részén zajló eseményekből. Hozzátette, hogy a Microsoft elutasította a kínai kormány kérését, hogy átadjon érzékeny információkat. "Vannak napok, amikor a Microsofthoz intézett kérdések az asztalomra kerülnek, és én azt mondom, hogy nem" - mondta.
A meghallgatás válasz volt a belbiztonsági minisztérium kiberbiztonsági felülvizsgálati bizottságának márciusi, megsemmisítő jelentésére. A jelentés részletezte, hogy "a Microsoft biztonsági hibáinak sorozata" hogyan tette lehetővé, hogy a Storm-0558 nevű hackercsoport - amely a jelentés szerint a kínai kormányhoz kötődő kémcsoport - tavaly májusban és júniusban beszivárogjon a Microsoft e-mail rendszereibe. A jelentés bírálta a Microsoftot, amiért "olyan vállalati kultúrája volt, amely mind a vállalati biztonsági beruházásokat, mind a szigorú kockázatkezelést háttérbe szorította", és azt állítja, hogy a vállalat kiberbiztonsági gyakorlatai kritikus nemzetbiztonsági jelentőségűek voltak, mivel "a Microsoft termékei és szolgáltatásai mindenütt jelen vannak".
A hackerek valahogyan megszerezték a Microsoft belső vállalati hálózatán lévő crash dump fájlból a kriptográfiai kulcsot - amit a jelentés "kriptográfiai koronaékszernek" nevez -, amellyel meghamisíthatták más felhasználók belépési adatait. Világszerte 22 szervezet és több mint 500 magánszemély fiókját veszélyeztették, köztük Gina M. Raimondo kereskedelmi miniszter és Nicholas Burns, az Egyesült Államok kínai nagykövetének hozzáférését. Több mint 60 ezer e-mailt töltöttek le csak a külügyminisztérium számítógépes hálózatáról, amely felfedezte a betörést. A behatolásnak "soha nem lett volna szabad megtörténnie" - áll a jelentésben. A jelentés szerint a Microsoft még azt sem tudja, hogyan jutottak a hackerek a digitális kulcshoz. A jelentés azt is kifogásolta, hogy a Microsoft ősszel pontatlan nyilvános nyilatkozatokat tett a hackerrel kapcsolatban.
Más kongresszusi tagok a Microsoft kínai jelenlétéről faggatták Smitht, és arról, hogy a pekingi nemzetbiztonsági törvényeknek való megfelelés érdekében Redmondot kényszeríthetik-e kódok vagy ügyfelek érzékeny adatainak átadására. Smith elmondta a törvényhozóknak, hogy a Microsoft kényes helyzetben van Kínában, és hogy nemrégiben mintegy 800 mérnököt értesítettek arról, hogy el kell költözniük az országból, ha meg akarják tartani az állásukat. A vállalat felsővezetői - köztük Smith és a vezérigazgató, Satya Nadella - vitatkoztak a kutatólabor jövőjéről, és olyan intézkedéseket vezettek be, amelyek korlátozzák a kutatókat a politikailag érzékeny munkákban. A cég egyes üzletágakat - például a LinkedIn szakmai közösségi hálózatot - bezárt, de felhőalapú számítástechnikai szolgáltatásokat továbbra is kínál.
A Microsoft biztonsági hiányosságairól szóló kemény jelentés ellenére a meghallgatáson részt vevő törvényhozók nem tettek fel agresszív kérdéseket Smithnek, és inkább arra összpontosítottak, hogy a kormány és a magánszektor hogyan tudna együttműködni. "Ez nem egy kihallgatás" - mondta nyitóbeszédében Bennie Thompson mississippi képviselő, a bizottság rangidős demokrata képviselője. "A Microsoft vállalja a felelősséget a CSRB jelentésében említett minden egyes problémáért" - mondta Smith a képviselőház belbiztonsági bizottsága előtt tett nyitóbeszédében. De aztán kérdésekre válaszolva Smith azt is megpróbálta elmondani, hogy az, hogy az amerikai külügyminisztérium - és nem a Microsoft - fedezte fel a digitális behatolást a tisztviselői postafiókjaiba, nem éppen biztonsági hiba a redmondiak részéről, hanem inkább "így kell működnie".
Bennie Thompson képviselő ezt kifogásolva azt mondta Smith-nek: "Nem a Microsoft találta meg a problémát. A Külügyminisztérium találta meg a problémát. Segítsen nekünk". Smith úgy válaszolt, hogy szemtelenül megpróbálta másokra hárítani a felelősséget: "Ez egy nagyszerű kérdés. És az egyetlen dolog, amin mindannyiunkat megkérnék, hogy gondolkodjunk el, hogy ennek így kellene működnie. Az ökoszisztémában egyetlen entitás sem lát mindent, ezért mindannyiunknak együtt kell dolgoznunk." Thompson nem hagyta annyiban a választ, és rámutatott, hogy a Microsoft biztosítja a szövetségi kormányzat által használt irodai szoftverek mintegy 85 százalékát, ráadásul Redmond a szövetségiek egyik fő biztonsági és felhőszolgáltatója. "Mivel önök a kormányzat ilyen nagy beszállítói, nagyban támaszkodunk a termékeikre, és nem a mi dolgunk, hogy megtaláljuk a bűnösöket" - mondta a rangidős bizottsági tag. "Ezért fizetünk önöknek."
Carlos Gimenez képviselő rámutatott egy 2017-es nemzeti hírszerzési törvényre, amely arra kényszerítheti az országban működő embereket és szervezeteket, hogy segítsék a kínai hírszerző ügynökségeket. A szóváltásuk ezután zanzásítva így zajlott:
Smith megdöbbentette a törvényhozókat, amikor leírta a kihívás nagyságrendjét. Elmondta, hogy a Microsoft naponta több mint 300 millió támadást észlel ügyfelei ellen. Novemberben a Microsoft bejelentette biztonsági gyakorlatának teljes körű átdolgozását, amely az elmúlt két évtized legnagyobb biztonsági kezdeményezése, és májusban közölte, hogy a felsővezetők javadalmazását a felülvizsgálat előrehaladásához köti. Smith elmondta, hogy a vállalat igazgatótanácsa jóváhagyta azt a tervet, hogy a felsővezetők egyéni teljesítménybónuszának egyharmadát a kiberbiztonsághoz kössék. Azt is elmondta, hogy a Microsoft minden alkalmazottját a kiberbiztonság szempontjából is értékelni fogják az évente kétszer esedékes teljesítményértékelés során.
A Microsoft versenytársai rávetették magukat a cég gyenge pontjára. A NetChoice - egy kereskedelmi csoport, amelynek támogatói közé tartozik a Google, az Amazon és a Meta - közvélemény-kutatást végzett a szavazók körében, amelyben kritizálta a kormány Microsoftra való támaszkodását. A NetChoice és több más, versenytársak által támogatott szakmai csoport levelet küldött a Biden-kormány tisztviselőinek, amelyben azt követelték, hogy a kormányzat a technológiai szállítók szélesebb körét használja. Egy PR-cég, amely a Google-t is ügyfélként tartja nyilván, rendszeresen küld e-maileket az újságíróknak, amikor negatív hírek jelennek meg a Microsoft hackereiről, és időnként szakértőket ajánl fel, akikkel beszélhetnek. Ezen a héten a Salesforce üzleti szoftvercég küldött egy kommentárt a biztonsági kultúráját népszerűsítő újságíróknak. Andy Jassy, az Amazon vezérigazgatója április végén azt mondta a befektetőknek, hogy a biztonság kritikus fontosságú lesz azon ügyfelek számára, akik kiválasztják, hogy milyen MI-szolgáltatásokat vegyenek igénybe. "Ha csak arra figyelünk, hogy mi történt az elmúlt egy-két évben" - mondta -, "nem minden szolgáltatónak van ugyanolyan előélete".