Microsoft, um problema de segurança para os EUA

A Microsoft é uma das mais benquistas prestadoras de serviços do governo dos Estados Unidos, com contratos em vários departamentos, inclusive os mais sensíveis. É correto imaginar que o departamento de Segurança da Informação (SI) da companhia é bastante sólido, ao menos para atender um cliente tão importante, mas não é bem isso o que acontece.

• Hacker que derrubou Coreia do Norte: "EUA precisam melhorar"
• As Sereias Transgênero e a Segurança da Informação

Na verdade, o próprio governo classificou a cultura de SI da Microsoft como "falha" e passível de revisão urgente, mas talvez por conveniência, Washington continua passando a mão na cabeça de Satya Nadella, mesmo após vários ataques hacker e vazamentos.

Segurança da Microsoft deixa a desejar

Em janeiro de 2024, a Microsoft e a HP revelaram terem sido vítimas de mais um ataque de hackers russos, especificamente o grupo Midnight Blizzard, o mesmo por trás de grandes ataques de 2020 (em que a gigante de Redmond também foi um dos alvos) e 2016, e tem ligações diretas com o Kremlin, segundo as agências de segurança norte-americanas.

A situação da Microsoft em especial é delicada, visto que ela mantém acordos e contratos sensíveis com diversos departamentos e agências governamentais, o que em tese, implica em ela ser proativa e cuidar com mais afinco de seus assets, a fim de não incorrer em falhas que afetem a Segurança Nacional.

Só que Redmond gozaria de alguns privilégios, talvez por pura má-vontade de todos os envolvidos. Ao longo dos anos, a companhia nunca foi punida, não levou uma multa, nem um puxão de orelha, nada. Todos os contratos foram mantidos, como se tudo estivesse na mais santa paz, mas um relatório recente aponta exatamente o contrário.

Em 2 de abril de 2024, um documento publicado pelo Conselho de Revisão de Segurança Cibernética (Cyber Safety Review Board, ou CSRB), órgão do Departamento de Segurança Interna criado em 2021 pelo presidente dos EUA Joe Biden, cuja função é analisar eventos de ameaça a segurança digital interna, classificou as falhas da Microsoft como "um problema de cultura interna".

O relatório diz que uma "cascata" de erros em série, cometidos pelos profissionais de SI da empresa, permitiram hackers do grupo Storm-0558, ligado à China, invadirem contas de e-mail de membros do alto escalão do governo, incluindo o de Gina Raimondo, secretária do Departamento de Comércio, e roubarem mais de 60 mil mensagens.

O documento não só diz que o ataque poderia ser evitado, como descasca o departamento de Segurança da Informação da Microsoft, de alto a baixo:

"O relatório da CSRB identificou uma série de decisões, operacionais e estratégicas, que apontam coletivamente para uma cultura corporativa que desprioriza investimentos em segurança corporativa e gerenciamento rigoroso de riscos, em desacordo com a centralidade no ecossistema tecnológico, e com o nível de confiança que seus clientes colocam na companhia, para proteger seus dados e operações."

E conclui:

"O conselho recomenda que a Microsoft desenvolva e compartilhe publicamente um plano com prazos específicos, a fim de realizar reformas fundamentais voltadas à segurança, em toda a companhia e seus produtos."

Punição? Que punição?

A CSRB não é a única que aponta falhas crassas no que tange à Segurança da Informação dos EUA. "P4x", o hacker que derrubou a rede da Coreia do Norte em 2022, revelou recentemente sua identidade, como forma de chamar a atenção de que os burocratas do governo são reativos, e não fazem por onde para proteger dados sensíveis em primeiro lugar.

Essa cultura do "depois eu vejo" estaria se alastrando para fora das agências e contaminando prestadoras de serviços, o que explica a Microsoft ter hoje uma cultura que apenas reage quando tudo bate no ventilador, ao invés de fazer por onde, reforçando suas bases. Nesse cenário, o relatório do CSRB pouco adianta, visto que Redmond não recebeu até hoje, e nem receberá, nenhuma reprimenda.

No caso específico da Microsoft, isso acontece por esta ser sua principal fornecedora de produtos e serviços essenciais em TI, a praticamente toda a malha burocrática e sensível, do Departamento de Defesa ao Pentágono e o FBI. A empresa tem acesso de alto nível a atividades suspeitas de grupos hackers monitoradas pelo governo dos EUA, e meios de frear ataques e reagir a eles... se se esforçasse para isso.

Isso coloca Washington em uma sinuca de bico: a Microsoft tem acesso demais, o governo depende da empresa para praticamente tudo, e nem tocamos na questão do lobby junto ao Congresso, e temos um cenário onde os burocratas preferem fazer vista grossa, a engrossar para o lado da companhia, conforme apontado por ex-funcionários, ex-membros do governo, profissionais de SI, e especialistas em Direito Digital.

Não obstante, a Microsoft cobra por camadas extras de segurança de seus clientes, e em janeiro de 2023, a companhia anunciou que o departamento de SI ultrapassou a marca de US$ 20 bilhões em receita anual, quase como quem diz "insegurança dá lucro".

Só que agora, essa "mono dependência" da Microsoft está incomodando. No dia 8 de abril de 2024, o senador Ron Wyden (DEM/Oregon) apresentou um projeto, visando banir soluções inseguras em até 4 anos, no que o Office estaria incluído, por "não se adequar" às necessidades em Segurança do governo, e por "não se integrarem" com produtos competidores.

Especialistas em segurança dizem que a situação atual, em que os EUA só reagem a ataques, não pode continuar assim, independente do motivo, pois em algum momento, o golpe será mais forte, e os estragos maiores, do que a Microsoft poderá remendar, se o fizer.

Fonte: WIRED