Por... Joseph Menn , Christopher Bing , Raphael Satter
Microsoft recibirá casi una cuarta parte de los fondos de ayuda de Covid destinados a los defensores de la ciberseguridad de Estados Unidos, dijeron fuentes a Reuters, lo que enfureció a algunos legisladores que no quieren aumentar los fondos para una empresa cuyo software estuvo recientemente en el centro. de dos grandes trucos.
El Congreso asignó los fondos en cuestión en el proyecto de ley de alivio de COVID firmado el jueves después de que dos enormes ataques cibernéticos aprovecharon las debilidades de los productos de Microsoft para llegar a las redes informáticas de las agencias federales y locales y decenas de miles de empresas. Una infracción atribuida a Rusia en diciembre tomó correos electrónicos del Departamento de Justicia, el Departamento de Comercio y el Departamento del Tesoro.
Los hackeos representan una importante amenaza para la seguridad nacional, frustrando a los legisladores que dicen que el software defectuoso de Microsoft lo está haciendo más rentable.
"Si la única solución a una infracción importante en la que los piratas informáticos explotaron una falla de diseño ignorada durante mucho tiempo por Microsoft es darle más dinero a Microsoft, el gobierno debe reevaluar su dependencia de Microsoft", dijo el senador de Oregon Ron Wyden, un líder demócrata en inteligencia comité.
"El gobierno no debería recompensar a una empresa que vendió software inseguro con contratos gubernamentales aún mayores".
Microsoft dijo anteriormente que prioriza la reparación de ataques que considera de uso generalizado.
Un borrador del plan de gastos de la Agencia de Seguridad de Infraestructura de Ciberseguridad asigna más de $ 150 millones de su nuevo financiamiento de $ 650 millones para una "plataforma segura en la nube", según documentos vistos por Reuters y personas familiarizadas con el asunto.
Más precisamente, el dinero ha sido presupuestado para Microsoft, según cuatro personas informadas sobre la elección, en gran parte para ayudar a otras agencias federales a actualizar sus acuerdos existentes con Microsoft para mejorar la seguridad de sus sistemas en la nube.
Un portavoz de CISA declinó hacer comentarios.
Un servicio clave que ofrece Microsoft, conocido como registro de actividad, permite a sus clientes vigilar el tráfico de datos dentro de su parte de la nube y detectar inconsistencias que podrían revelar a los piratas informáticos en el trabajo.
Los funcionarios han buscado acceso a la capacidad de seguimiento premium de Microsoft después de descubrir que la falta de registros dificultaba mucho la investigación de ataques recientes vinculados a estados nacionales.
Microsoft dijo el domingo que si bien todos sus productos en la nube tienen características de seguridad, "las organizaciones más grandes pueden requerir capacidades más avanzadas, como una mayor profundidad de registros de seguridad y la capacidad de investigar esos registros y tomar medidas". No abordó las cuestiones de equidad planteadas por los legisladores.
Si bien algunos altos funcionarios cibernéticos de EE. UU. Sienten que no tienen más remedio que pagar, Wyden y otros tres legisladores han expresado públicamente su preocupación por el plan.
'INJUSTICIA'
La mayoría del software importante ha sido penetrado por equipos de piratas informáticos bien financiados en un momento u otro, pero la ubicuidad de los productos de Microsoft lo convierte en un objetivo principal.
El supuesto espionaje ruso, conocido por explotar software de SolarWinds, afectó a nueve agencias gubernamentales y 100 empresas privadas, muchas de las cuales fueron explotadas mediante la manipulación de un sistema de Microsoft.
Los ataques en expansión más recientes a decenas de miles de servidores en todo el mundo que ejecutan Microsoft Exchange por parte de un puñado de atacantes, incluidos algunos vinculados al gobierno chino, se basaron en cuatro fallas previamente desconocidas en la forma en que esos servidores manejaban las versiones web del correo electrónico de Outlook. China ha negado respaldar los ataques.
En una audiencia sobre la violación de SolarWinds el 26 de febrero, el congresista de Rhode Island, Jim Langevin, desafió al presidente de Microsoft, Brad Smith, sobre cobrar más por el registro, preguntando: "¿Es esto un centro de ganancias para Microsoft o es un servicio que se brinda a un costo para los clientes? ? "
“Somos una empresa con fines de lucro”, respondió Smith. "Todo lo que hacemos está diseñado para generar un retorno, además de nuestro trabajo filantrópico".
Microsoft ha convertido las ofertas de seguridad en una importante fuente de ingresos, con la empresa generando $ 10 mil millones al año, un 40% más que el año anterior.
El representante holandés Ruppersberger del comité de asignaciones de la Cámara de Representantes dijo que el Congreso debe analizar "por qué la seguridad es una ocurrencia tardía en el proceso de adquisiciones" y dejar de aprobar solo a los postores más bajos.
El gobierno podría imponer nuevas regulaciones, dijo Curtis Dukes, exjefe de la misión defensiva de la Agencia de Seguridad Nacional, ahora en el Centro para la Seguridad de Internet sin fines de lucro, que trabaja en estrecha colaboración con CISA. "Quizás con un tamaño adicional, los proveedores deberían tener que hacer más".
