ABD Başkanı’nın siber güvenliği geliştirmeye yönelik bir yürütme emri vesilesiyle ABD, Siber Güvenlik İnceleme Kurulu’nu (CSRB) kurdu. “Büyük siber olayları gözden geçirmek ve özel önerilerde bulunmak” amaçlanmıştır. Böylesine “büyük” bir siber olay, muhtemelen Çinli saldırganların Microsoft’un bulutuna girmesiydi. Ne de olsa, iki ABD yetkilisinin e-postalarını gözetlediler ve en azından potansiyel olarak tüm bulut müşterilerinin verilerine erişimleri oldu. Bu nedenle, CSRB artık bu olayı ve genel olarak bulut güvenliğini üstleniyor. Bu soruşturma, ABD Başkanı Biden ve Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) başkanı Jen Easterly’ye sunulacak somut eylem önerileri içeren bir raporla sonuçlanacak.
Reklamcılık
Bu duyuru, Microsoft’un bu göze batan olayı küçümseme girişimlerine yönelik büyük bir gerilemedir. Bulut devi, kendi güvenlik önlemlerindeki başarısızlığın belirli ayrıntılarını açıklamayı hâlâ inatla reddediyor. Şimdiye kadar, ana anahtarın nasıl ve nerede çalındığı ya da onu çalıştıran uğursuz “doğrulama hatasının” ne olduğu bilinmiyor. Microsoft’un hafifletildiği iddia edilen saldırılarla ilgili orijinal açıklamasından sonra ortaya çıktığı üzere, Microsoft bulutunun neredeyse tamamına yetkisiz erişim izni verdi.
En azından CISA’nın olayı son derece ciddiye aldığı erkenden anlaşıldı. Microsoft’un gelecekte en azından bu tür saldırıların tespit edilebileceği günlük dosyalarını hiçbir ek ücret ödemeden sağlayacağı konusundaki ısrarınız sayesinde. Bu CSRB soruşturmasının artık daha fazla netliğe yol açıp açmayacağı ve her şeyden önce Microsoft üzerinde güvenlik konusunu daha şeffaf bir şekilde ele alması için baskı yapıp yapmayacağı henüz belli değil.
Avrupa’dan tepkiler? Hiçbiri!
Ancak bu duyuru, şimdiden tüm Avrupa güvenlik ve veri koruma yetkilileri için suratına bir tokat anlamına geliyor. Microsoft’a göre, saldırının birincil kurbanları şunlardı: Avrupa devlet kurumları. Bu nedenle, artık arka ayakları üzerinde duracakları ve Microsoft’tan böyle bir başarısızlığın nasıl olabileceğine dair tam açıklama talep edecekleri oldukça açık olacaktır. Microsoft ve diğer bulut hizmetlerini kullanımlarının yeniden değerlendirilmesi aslında gündemin üst sıralarında yer almalı.
Ama hiçbiri: “Olay […] ancak BSI tarafından bulut bilgi işlemin güvenliğinin temelden yeniden değerlendirilmesine yol açmaz.” Haberler Security’den bu konuda gelen bir talebe cevaben BSI, konuyla ilgili Microsoft ile yakın bir şekilde çalıştıklarını, ancak şu anda “federal yönetim kurumlarının etkilendiğine dair hiçbir belirtiye sahip olmadıklarını” söyledi. “20 yıllık Blaster Wurm: Bir sonraki süper erime bulutta bekliyor” Biraz kışkırtıcı bir şekilde buna “tolerans katılığı” adını verdim.
(Evet)
Haberin Sonu
Reklamcılık
Bu duyuru, Microsoft’un bu göze batan olayı küçümseme girişimlerine yönelik büyük bir gerilemedir. Bulut devi, kendi güvenlik önlemlerindeki başarısızlığın belirli ayrıntılarını açıklamayı hâlâ inatla reddediyor. Şimdiye kadar, ana anahtarın nasıl ve nerede çalındığı ya da onu çalıştıran uğursuz “doğrulama hatasının” ne olduğu bilinmiyor. Microsoft’un hafifletildiği iddia edilen saldırılarla ilgili orijinal açıklamasından sonra ortaya çıktığı üzere, Microsoft bulutunun neredeyse tamamına yetkisiz erişim izni verdi.
En azından CISA’nın olayı son derece ciddiye aldığı erkenden anlaşıldı. Microsoft’un gelecekte en azından bu tür saldırıların tespit edilebileceği günlük dosyalarını hiçbir ek ücret ödemeden sağlayacağı konusundaki ısrarınız sayesinde. Bu CSRB soruşturmasının artık daha fazla netliğe yol açıp açmayacağı ve her şeyden önce Microsoft üzerinde güvenlik konusunu daha şeffaf bir şekilde ele alması için baskı yapıp yapmayacağı henüz belli değil.
Avrupa’dan tepkiler? Hiçbiri!
Ancak bu duyuru, şimdiden tüm Avrupa güvenlik ve veri koruma yetkilileri için suratına bir tokat anlamına geliyor. Microsoft’a göre, saldırının birincil kurbanları şunlardı: Avrupa devlet kurumları. Bu nedenle, artık arka ayakları üzerinde duracakları ve Microsoft’tan böyle bir başarısızlığın nasıl olabileceğine dair tam açıklama talep edecekleri oldukça açık olacaktır. Microsoft ve diğer bulut hizmetlerini kullanımlarının yeniden değerlendirilmesi aslında gündemin üst sıralarında yer almalı.
Ama hiçbiri: “Olay […] ancak BSI tarafından bulut bilgi işlemin güvenliğinin temelden yeniden değerlendirilmesine yol açmaz.” Haberler Security’den bu konuda gelen bir talebe cevaben BSI, konuyla ilgili Microsoft ile yakın bir şekilde çalıştıklarını, ancak şu anda “federal yönetim kurumlarının etkilendiğine dair hiçbir belirtiye sahip olmadıklarını” söyledi. “20 yıllık Blaster Wurm: Bir sonraki süper erime bulutta bekliyor” Biraz kışkırtıcı bir şekilde buna “tolerans katılığı” adını verdim.
(Evet)
Haberin Sonu