Vernietigend, dat is het oordeel van de DHS over Microsoft nu duidelijk is hoe de succesvolle cyberaanval op de online Exchange van afgelopen zomer kon plaatsvinden. 34 pagina’s het haarscherpe analyses laten aan duidelijkheid niets te wensen over.
DHS, het Amerikaanse superministerie van binnenlandse veiligheid heeft voor de derde keer in het bestaan de Cyber Safety Review Board (CSRB) aan het werk gezet. Opdracht was de onderste steen boven te krijgen ban de Exchange aanval. De andere keren dat de CSRB werd ingezet was om de Log4j en Log4shell “affaires” door te lichten.
De CSRB heeft vastgesteld dat de beveiligingscultuur van Microsoft zwaar te wensen overlaat. Letterlijk schrijft het het : “Microsoft’s security culture was inadequate and requires an overhaul.”
Zeven vermijbare fouten
Er is sprake van een opeenstapeling van zeven vermijdbare fouten die het de aanvallers makkelijk hebben gemaakt. Dat het bedrijf niet in staat is geweest de compromittering van de eigen kroonjuwelen vast te stellen is pijnlijk. Het is een klant geweest die Microsoft informeerde over “anomalies the customer had observed”.
Een van de andere zeven blunders die de aanvaller benutte was het aanwezig zijn van een besmette laptop. Die laptop hoorde bij een werknemer van een in 2021 door Micorsoft overgenomen bedrijf. Hier staat dus met zoveel woorden dat Microsoft mensen en inventaris overneemt en daar geen noemenswaardige controle op loslaat.
Prioriteit security verlaagd
De ander blunders zijn minstens zo tenenkrommend. Daarom ook een vernietigende conclusie. Tel daarbij het oordeel dat volgens CSRB de hoogste directie van Microsoft bewust “enterprise security investments and rigorous risk management” een lagere prioriteit heeft gegeven (letterlijk: deprioritized).
Het is opvallend dat deze bevindingen nog niet hebben geleid tot ingrepen in de directie van het bedrijf of het opleggen van boetes. Wie weet is dat een Amerikaans verschijnsel. In de EU kan het rapport reden zijn voor toezichthouders zelfstandig stappen te nemen, voor het geval de schade van de aanval niet beperkt is gebleven tot data van Amerikaanse instellingen of burgers. Want aangetoond is dat sprake is van verwijtbaar en bewust verkeerd handelen.