Intrusi negara China tahun lalu dari teknologi Microsoft Corp. yang memungkinkan peretas mengumpulkan email pejabat AS “seharusnya tidak pernah terjadi,” menurut sebuah laporan yang dirilis pada hari Selasa dari dewan peninjau cyber pemerintah.

Cyber Safety Review Board, sebuah kelompok yang diamanatkan Gedung Putih yang dirancang untuk memeriksa serangan cyber besar, mengatakan Microsoft menampilkan praktik perusahaan yang “tidak memprioritaskan investasi keamanan perusahaan dan manajemen risiko yang ketat.” Budaya keamanan perusahaan “tidak memadai” dan “membutuhkan perbaikan,” kata laporan itu.

Dewan peninjau memeriksa peretasan kotak masuk Microsoft Exchange Online 2023, di mana orang luar melanggar 22 organisasi dan ratusan individu. Menteri Perdagangan AS Gina Raimondo; duta besar AS untuk China, Nicholas Burns; dan Perwakilan Don Bacon, seorang Republikan Nebraska, termasuk di antara mereka yang terjerat dalam kampanye.

Sebuah kelompok peretas yang terkait dengan pemerintah China yang dikenal sebagai Storm-0558 berada di balik upaya itu, kata laporan itu. Microsoft masih belum menentukan bagaimana penyerang menyusup ke perusahaan, menurut laporan itu.

Peninjau juga menetapkan bahwa perusahaan lambat memperbarui pengungkapan yang menyesatkan atau tidak akurat tentang insiden tersebut. Dalam satu kasus, Microsoft menyarankan pada September 2023 bahwa peretas telah menggunakan alat yang dikenal sebagai sertifikat digital untuk mencuri email. Baru pada bulan November perusahaan mengakui kepada dewan bahwa pengungkapan September “tidak akurat,” menurut laporan itu.

Microsoft mengatakan akan meninjau laporan untuk rekomendasi tambahan.

“Meskipun tidak ada organisasi yang kebal terhadap serangan cyber dari musuh yang memiliki sumber daya yang baik, kami telah memobilisasi tim teknik kami untuk mengidentifikasi dan mengurangi infrastruktur warisan, meningkatkan proses dan menegakkan tolok ukur keamanan,” kata juru bicara Microsoft.

Sementara Microsoft terutama dikenal dengan perangkat lunaknya untuk perusahaan dan konsumen, perusahaan yang berbasis di Redmond, Washington telah muncul sebagai penyedia produk cybersecurity terbesar dalam beberapa tahun terakhir – area bisnis yang berkembang menjadi sekitar US $ 20 miliar per tahun.

02:44

AS, Inggris dan Uni Eropa menuduh China mensponsori peretasan server email Microsoft besar-besaran

AS, Inggris dan Uni Eropa menuduh China mensponsori peretasan server email Microsoft besar-besaran

Senator AS Ron Wyden, yang menyerukan penyelidikan, mengatakan bahwa agen-agen federal berbagi beberapa kesalahan atas pelanggaran “karena menghujani Microsoft dengan miliaran dolar dalam kontrak pemerintah, tanpa menuntut perusahaan memenuhi standar keamanan siber minimum.”

“Ketergantungan pemerintah pada Microsoft menimbulkan ancaman keamanan nasional yang serius, yang membutuhkan tindakan tegas,” kata Demokrat dari Oregon dalam sebuah pernyataan.

“Pemerintah harus menetapkan standar keamanan siber minimum yang ketat untuk vendor teknologi, kepatuhan terhadap standar tersebut harus diverifikasi melalui audit independen, dan perusahaan serta eksekutif senior mereka yang melanggar standar tersebut harus dimintai pertanggungjawaban.”