Verbaasd over Microsoft

Security specialisten hebben zich de laatste dagen meer dan verbaasd over Microsoft. Men buigt zich nog steeds over de details van de datalekken bij de software maker uit Redmond. Een ding is nu al duidelijk. Er is meer nodig dan een “simpele” 8-K melding bij de beurswaakhond SEC.

Eind december 2023 is HPE verteld dat in ieder geval vanaf mei van dat jaar cybercriminelen toegang hadden tot “een klein aantal” postbussen. Op die manier was informatie achterover gedrukt. Als beursgenoteerd bedrijf heeft HPE dat voorval aan de SEC gemeld. Daarbij is schijnbaar ook een mogelijke dader genoemd. Het gaat om cybercriminele activiteiten die te linken zijn aan de Russische staat.

Enige tijd later, om precies te zijn een week geleden, heeft Microsoft bekend gemaakt dat diezelfde Russische staatshackers daar hebben huisgehouden. De 8-K melding is nog niet gedeeld, maar die zal wel volgen.

De link tussen deze twee ernstige incidenten ligt voor de hand. HPE is klant van de Microsoft clouddiensten. Microsoft maar daar zelf uiteraard ook gebruik van. Wat is gebeurd, is waar iedereen al langer voor vreesde, de mailomgeving van een partij met een enorme footprint in elke voorstelbare markt, is met succes aangevallen en opengebroken.

Dat de twee partijen waarvan nu bekend is dat ze slachtoffer zijn spreken over geringe aantallen om de impact kleiner te laten lijken is kwalijke onzin. Bij datalekken gaat het niet om de aantal postbussen of het volume van de data, het gaat om de kwaliteit. De inhoud van de mailbox van de CEO of het hoofd van de afdeling die overheidsklanten bedient is ontelbaar vele malen waardevoller dan die alle duizenden mailboxen van helpdeskmedewerkers.

Pittige gesprekken

Het kan daarom niet anders, dan dat van overheidszijde pittige gesprekken met Microsoft gevoerd worden. Omdat inmiddels bekend is dat de aanval is gelopen over “testaccounts” en dat voor die omgeving geen MFA verplichting gold is er nog meer slecht nieuws te verwachten. Daar komt ook de zorg en verbazing van de security experts vandaan. Microsoft heeft honderden mensen in dienst om de platformen en diensten veilig te maken en houden. Niemand daarvan is het ontbreken van MFA opgevallen, de extra laag die door bijvoorbeeld overheden verplicht is gesteld?

Niemand had ook in de gaten dat er iets was als een testomgeving die van buiten af benaderd kon worden en die volledig buiten de scope van de verplichte security regels viel?

Ophef?

Zelfs een beginnend cybersecurity specialist, die nog geen tientallen diploma’s heeft behaald, valt verbaasd van zijn/ haar stoel bij het lezen van wat nu bekend is over de regels die Microsoft intern hanteert. Wat ook verbaasd is dat deze incidenten in Nederland voor zo weinig ophef zorgen. Waarom is er meer ophef over de DAC7 regels dan het feit dat het mailcloudplatform waar ook een grote leverancier van overheidshardware gebuikt van maakt maanden lek is geweest?