بدأ مجلس مراجعة السلامة السيبرانية في دراسة اختراق أنظمة البريد الإلكتروني للحكومة الأمريكية التي تقدمها شركة مايكروسوفت، وقد أثارت طريقة تعاملها مع هذا الحادث غضب المشرعين الفيدراليين والمجتمع الأمني.
تشمل المراجعة المشاكل المتعلقة بنظام الهوية المستندة إلى السحابة والبنية التحتية للمصادقة، وتشمل تقييمًا للثغرة التي أدت إلى سرقة رسائل البريد الإلكتروني من وكالات حكومية أمريكية، بما في ذلك بريد وزيرة التجارة الأمريكية جينا ريموندو وعدد من المسؤولين في وزارة الخارجية الأمريكية ومنظمات أخرى.
وصرحت وزارة الأمن الوطني قائلة: "تهدف المراجعة إلى دراسة الاستهداف الخبيث لبيئات الحوسبة السحابية، حيث تعتمد المؤسسات بشكل متزايد على الحوسبة السحابية لتقديم الخدمات للشعب الأمريكي، وبالتالي فإنه من الضروري أن نفهم نقاط الضعف في هذه التكنولوجيا".
وتمت مراجعة مايكروسوفت بشكل مكثف بعد الكشف عن سرقة المتسللين المدعومين من الصين لمفتاح توقيع حساس، مما أتاح لهم الوصول غير المصرح به إلى صناديق البريد الإلكتروني للمؤسسات والحكومة التي تستضيفها الشركة التكنولوجية العملاقة.
وقد سمح هذا المفتاح المسروق، جنبًا إلى جنب مع ثغرة في التعليمات البرمجية التي تم إصلاحها من قبل مايكروسوفت منذ ذلك الحين، بتزوير رموز المصادقة التي استخدمها المتسللون للوصول إلى نظام البريد الإلكتروني السحابي للشركة وسرقة حسابات البريد الإلكتروني الحكومية.
بدأت الاختراقات في منتصف شهر مايو، ولكن لم يتم اكتشافها إلا بعد مرور شهر، عندما اكتشف مسؤولو وزارة الخارجية الهجوم وأبلغوا شركة مايكروسوفت.
تأتي المراجعة استجابةً لانتقادات السيناتور الأمريكي رون وايدن لمايكروسوفت في رسالة وجهها إلى الوكالات الحكومية. طالب فيها بإجراء تحقيق للتحقق مما إذا كانت ممارسات أمان الشركة التي تراخت فيها سمحت للمتسللين الصينيين بالتجسس على كبار المسؤولين الحكوميين الفيدراليين. ودعا وايدن إلى إجراء تحقيق واتخاذ إجراءات ضد مايكروسوفت.
وصرحت وزارة الأمن الوطني قائلة: "تقدم المراجعة توصيات قابلة للتنفيذ لمساعدة جميع المؤسسات في تأمين بياناتها المستندة إلى السحابة بشكل أفضل وزيادة المرونة الإلكترونية".
يجدر بالذكر أن هذه هي المراجعة الثالثة التي يقوم بها مجلس مراجعة السلامة السيبرانية منذ إنشائه بأمر تنفيذي من الرئيس بايدن في عام 2021. يقوم المجلس، الذي يضم ممثلين من الحكومة وخبراء أمن السيبراني في القطاع الخاص، بمراجعة الأحداث الرئيسية في مجال الأمن السيبراني وتقديم توصيات لمنع وقوع حوادث مستقبلية.
إرسال تعليق