ผู้แจ้งเบาะแสอ้างว่า Microsoft ให้ความสำคัญกับผลกำไรมากกว่าความปลอดภัย

ผู้แจ้งเบาะแสอ้างว่า Microsoft เลือกผลกำไรมากกว่าความปลอดภัย จนทำให้รัฐบาลสหรัฐฯ เสี่ยงต่อการแฮ็กจากรัสเซีย

เพิกเฉยต่อคำเตือนของอดีตพนักงาน

• ประเด็นหลัก: แอนดรูว์ แฮร์ริส อดีตพนักงานของ Microsoft อ้างว่าบริษัทเพิกเฉยต่อช่องโหว่ด้านความปลอดภัยที่สำคัญ ช่องโหว่นี้ถูกใช้โดยแฮ็กเกอร์รัสเซียเพื่อเจาะหน่วยงานหลายแห่ง รวมถึง National Nuclear Security Administration (NNSA) ของสหรัฐฯ
• การค้นพบของแฮร์ริส: แฮร์ริสพบช่องโหว่ร้ายแรงในแอปพลิเคชันของ Microsoft บนคลาวด์ที่ใช้ช่วยให้ผู้ใช้ล็อกอินเข้าสู่โปรแกรมบนคลาวด์ ช่องโหว่นี้ทำให้แฮ็กเกอร์สามารถปลอมตัวเป็นพนักงานที่ถูกต้องตามกฎหมายและขโมยข้อมูลสำคัญได้
• ปฏิกิริยาของบริษัท: แฮร์ริสแจ้งเพื่อนร่วมงานเกี่ยวกับช่องโหว่นี้ แต่บริษัทเพิกเฉยเพราะกังวลว่าจะสูญเสียธุรกิจกับภาครัฐ Microsoft ระบุว่าจะจัดทำแนวทางแก้ไขระยะยาว แต่ในช่วงเวลานั้นบริการคลาวด์ยังคงอยู่ในสภาพที่เปราะบาง

เหตุการณ์แฮ็ก SolarWinds

• เกิดเหตุแฮ็กขึ้น: หลังจากแฮร์ริสลาออกจากบริษัท แฮ็กเกอร์รัสเซียได้ขโมยข้อมูลอ่อนไหวจากหน่วยงานรัฐบาลกลางหลายแห่งผ่านเหตุการณ์แฮ็ก SolarWinds ซึ่งถูกบันทึกว่าเป็นหนึ่งในการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์สหรัฐฯ
• วิธีการแฮ็ก: แฮ็กเกอร์ใช้ช่องโหว่ที่แฮร์ริสค้นพบเพื่อขโมยข้อมูลจากหน่วยงานรัฐบาลกลางหลายแห่ง โดยถูกอธิบายว่าเป็นปฏิบัติการสอดแนมเพื่อเก็บรวบรวมข่าวกรองระยะยาว

การตอบสนองของ Microsoft

• จุดยืนอย่างเป็นทางการ: Microsoft ยืนยันว่าการปกป้องลูกค้าเป็นสิ่งสำคัญสูงสุด และระบุว่าบริษัทตรวจสอบปัญหาด้านความปลอดภัยทุกกรณีอย่างละเอียด อย่างไรก็ตาม แฮร์ริสวิจารณ์ว่าบริษัทให้ความสำคัญกับผลกำไรมากกว่าลูกค้า
• วัฒนธรรมด้านความปลอดภัย: Microsoft ถูกวิจารณ์ว่าขาดวัฒนธรรมด้านความปลอดภัย และภายในบริษัทเองก็มีการชี้ว่าปัญหาคือวัฒนธรรมที่ให้ความสำคัญกับผลกำไรมากกว่าความปลอดภัย

ความเห็นของ GN⁺

• สมดุลระหว่างความปลอดภัยกับผลกำไร: หากบริษัทให้ความสำคัญกับผลกำไรมากกว่าความปลอดภัย ในระยะยาวอาจสูญเสียความเชื่อมั่นจากลูกค้า ซึ่งท้ายที่สุดอาจส่งผลเสียต่อชื่อเสียงและรายได้ของบริษัท
• ความสัมพันธ์กับภาครัฐ: การเพิกเฉยต่อปัญหาความปลอดภัยเพื่อรักษาสัญญากับภาครัฐอาจให้ผลดีในระยะสั้น แต่ในระยะยาวอาจเป็นภัยคุกคามร้ายแรงต่อความมั่นคงของชาติ
• จำเป็นต้องปรับปรุงวัฒนธรรมด้านความปลอดภัย: บริษัทขนาดใหญ่อย่าง Microsoft ควรปรับปรุงวัฒนธรรมด้านความปลอดภัยและสร้างระบบที่แก้ไขปัญหาความปลอดภัยได้อย่างรวดเร็ว เรื่องนี้สำคัญต่อการรักษาความเชื่อมั่นของลูกค้าและความสำเร็จในระยะยาว
• ผลิตภัณฑ์คู่แข่ง: ยังมีผลิตภัณฑ์คู่แข่งอย่าง Okta ซึ่งให้ความสำคัญกับความปลอดภัยมากกว่า องค์กรควรพิจารณาทางเลือกต่าง ๆ เพื่อเลือกโซลูชันด้านความปลอดภัยที่เหมาะสมที่สุด
• ข้อควรพิจารณาเมื่อนำเทคโนโลยีใหม่มาใช้: เมื่อนำเทคโนโลยีใหม่มาใช้ ควรตรวจสอบประเด็นด้านความปลอดภัยอย่างรอบคอบ และระบุช่องโหว่ที่อาจเกิดขึ้นล่วงหน้าเพื่อเตรียมมาตรการรับมือ ซึ่งเป็นเรื่องสำคัญต่อการป้องกันการโจมตีทางไซเบอร์ เช่น การแฮ็ก