Sebuah laporan pedas dari pemerintah Amerika Serikat menyatakan bahwa penyusupan ke server-server Microsoft oleh kelompok peretas China, yang meretas sejumlah email milik pejabat-pejabat senior AS, terjadi karena “rangkaian kesalahan yang sebenarnya bisa dihindari” oleh perusahaan raksasa teknologi itu.
Badan Peninjau Keamanan Siber (CSRB), yang dipimpin oleh Kementerian Keamanan Dalam Negeri, telah melakukan investigasi selama tujuh bulan atas insiden tersebut yang melibatkan aktor mata-mata siber yang berafilisasi dengan China, Storm-0558.
Operasi tersebut, yang pertama kali ditemukan oleh Kementerian Luar Negeri AS pada Juni 2023, termasuk peretasan kotak surat resmi dan pribadi milik Menteri Perdagangan Gina Raimondo dan Duta Besar AS untuk China, Nicholas Burns.
Bisnis utama Microsoft adalah menyediakan layanan komputasi awan, seperti Azure atau Office360, yang menyimpan data sensitif serta mendukung operasional bisnis serta pemerintah di seluruh sektor utama ekonomi.
Laporan itu, yang dirilis pada Senin, mengkritik budaya perusahaan Microsoft yang “bertentangan dengan sentralitas perusahaan dalam ekosistem teknologi dan tingkat kepercayaan pelanggan yang diberikan kepada perusahaan itu”.
“Komputasi awan adalah salah satu infrastruktur paling penting yang kita miliki, karena itu menyimpan data sensitif dan mendukung operasi bisnis di seluruh perekonomian kita,” kata Ketua CSRB, Robert Silvers.
“Sangat penting bahwa penyedia layanan komputasi awan memprioritaskan keamanan dan membangunnya sesuai dengan desainnya,” tambah dia.
Peninjauan ini mengidentifikasi serangkaian keputusan operasional dan strategis oleh Microsoft, yang membuka pintu untuk peretasan itu, termasuk kegagalan untuk mengidentifikasi laptop karyawan baru yang diretas, setelah akuisisi perusahaan pada 2021.
Peninjauan ini juga menemukan bahwa Microsoft tidak memenuhi standar keamanan yang terlihat pada pesaing perusahaan-perusahaan komputasi awan, termasuk Google, Amazon dan Oracle.
“Badan ini menemukan bahwa penyusupan tersebut dapat dicegah dan seharusnya tidak pernah terjadi,” papar tinjauan itu. Laporan ini juga menunjukkan “rangkaian kesalahan Microsoft yang sebenarnya bisa dihindari yang menyebabkan penyusupan itu berhasil dilakukan.”
Laporan tersebut juga merekomendasikan bahwa Microsoft mengembangkan dan merilis secara terbuka, sebuah rencana dengan lini masa untuk menerapkan reformasi keamanan dalam skala luas di seluruh produk-produk dan praktik-praktik mereka.
Wakil Ketua CSRB, Dmitri Alperovitch menyebut Storm-0558 dan sejumlah pelaku serupa sebagai “ancaman yang merusak dan terus ada” yang memiliki “kemampuan dan niat untuk mengkompromikan sistem identitas untuk mengakses data sensitif, termasuk email-email orang-orang yang diincar pemerintah China.”
Pemerintah berterimakasih kepada Microsoft karena bekerja sama sepenuhnya dalam tinjauan ini. Microsoft tidak segera merespons permintaan komentar.
Microsoft telah menyatakan bahwa pihaknya sedang melakukan perombakan terhadap keamanan perangkat lunaknya, setelah peretasan itu dan serangan-serangan keamanan siber serupa dalam beberapa tahun terakhir.
CSRB yang ditunjuk oleh Gedung Putih, bekerja sebagai penyelidik independen untuk insiden siber besar yang berdampak pada infrastruktur penting AS. [ns/ka]