نقلت رويترز عن مصادر أن مايكروسوفت تستعد لتلقي ما يقرب من ربع أموال إغاثة كوفيد المخصصة للمدافعين عن الأمن السيبراني في الولايات المتحدة، مما أثار غضب بعض المشرعين الذين لا يرغبون في زيادة التمويل لشركة كان برنامجها مؤخرًا في قلب عمليتي اختراق كبيرين.
وثالت رويترز إن الكونجرس خصص الأموال محل الخلاف في مشروع قانون الإغاثة الخاص بـ COVID الذي تم توقيعه يوم الخميس الماضى، بعد هجومين إلكترونيين هائلين استفادا من نقاط الضعف في منتجات Microsoft للوصول إلى شبكات الكمبيوتر في الوكالات الفيدرالية والمحلية وعشرات الآلاف من الشركات. استهدف الإختراق المنسوب إلى روسيا في ديسمبر رسائل بريد إلكتروني من وزارة العدل ووزارة التجارة ووزارة الخزانة.
وتشكل عمليات الاختراق تهديدًا كبيرًا للأمن القومي، مما يحبط المشرعين الذين يقولون إن برامج Microsoft المعيبة تجعلها أكثر ربحية.
قال عضو مجلس الشيوخ عن ولاية أوريجون رون وايدن، وهو ديمقراطي بارز في مجال الاستخبارات: "إذا كان الحل الوحيد لخرق كبير استغل فيه المتسللون عيبًا في التصميم تجاهلته Microsoft لفترة طويلة هو منح Microsoft المزيد من الأموال، فإن الحكومة بحاجة إلى إعادة تقييم اعتمادها على Microsoft".
و"لا ينبغي للحكومة أن تكافئ الشركة التي باعتها برمجيات غير آمنة بعقود حكومية أكبر."
وقالت Microsoft سابقًا إنها تعطي الأولوية لإصلاح الهجمات التي تراها شائعة الاستخدام.
ويخصص مشروع خطة الإنفاق من قبل وكالة أمن البنية التحتية للأمن السيبراني أكثر من 150 مليون دولار من تمويلها الجديد البالغ 650 مليون دولار لـ"منصة سحابية آمنة"، وفقًا لوثائق قالت رويترز إنها أطلعت عليها وأشخاص أخرون مطلعون على الأمر.
وتم وضع الأموال في ميزانية Microsoft ، وفقًا لأربعة أشخاص تم إطلاعهم على الاختيار، إلى حد كبير لمساعدة الوكالات الفيدرالية الأخرى على ترقية صفقات Microsoft الحالية لتحسين أمان أنظمتها السحابية.
وامتنع متحدث باسم CISA عن التعليق.
إحدى الخدمات الرئيسية التي تقدمها Microsoft ، والمعروفة باسم تسجيل النشاط، تسمح لعملائها بمراقبة حركة مرور البيانات داخل الجزء الخاص بهم من السحابة وتحديد التناقضات التي يمكن أن تكشف عن المتسللين في العمل.
وسعى المسئولون إلى الوصول إلى قدرة التتبع المتميزة من Microsoft بعد اكتشافهم أن عدم وجود سجلات جعل من الصعب للغاية التحقيق في عمليات الاختراق الأخيرة.
وصرحت Microsoft يوم الأحد الماضى أنه على الرغم من أن جميع منتجاتها السحابية تحتوى على ميزات أمان، "قد تتطلب المؤسسات الأكبر إمكانات أكثر تقدمًا مثل عمق أكبر لسجلات الأمان والقدرة على التحقيق في تلك السجلات واتخاذ الإجراءات".
وبينما يشعر بعض كبار المسؤولين الإلكترونيين الأمريكيين أنه ليس لديهم خيار سوى الدفع، أثار وايدن وثلاثة مشرعين آخرين مخاوف بشأن الخطة علنًا.
وتم اختراق معظم البرامج الرئيسية من قبل فرق قراصنة جيدة التمويل في وقت أو آخر، ولكن انتشار منتجات Microsoft يجعلها هدفًا رئيسيًا.
وأصاب التجسس الروسي المزعوم، المعروف باستغلال برامج من شركة SolarWinds، تسع وكالات حكومية و100 شركة خاصة، تم استغلال العديد منها من خلال التلاعب بنظام مايكروسوفت.
اعتمدت عمليات الاختراق الأكثر حداثة على عشرات الآلاف من الخوادم حول العالم التي تشغل Microsoft Exchange من قبل عدد قليل من المهاجمين، بما في ذلك البعض المرتبط بالحكومة الصينية، على أربعة عيوب غير معروفة سابقًا في الطريقة التي تعاملت بها هذه الخوادم مع إصدارات الويب من بريد Outlook الإلكتروني. ونفت الصين دعمها للهجمات.
وفي جلسة استماع بشأن خرق SolarWinds في 26 فبراير، تحدى عضو الكونجرس من ولاية رود آيلاند، جيم لانجيفين، رئيس Microsoft براد سميث بشأن فرض رسوم إضافية على التسجيل، متسائلاً: "هل هذا مركز ربح لشركة Microsoft ، أم أنه خدمة يتم تقديمها بسعر التكلفة للعملاء ؟ "
أجاب سميث: "نحن شركة هادفة للربح"، "كل ما نقوم به مصمم لتحقيق عائد، بخلاف عملنا الخيري."
وحولت Microsoft عروض الأمان إلى مصدر كبير للإيرادات، حيث حققت الشركة 10 مليارات دولار سنويًا، بزيادة 40% عن العام السابق.
قال النائب الهولندي Ruppersberger من لجنة الاعتمادات في مجلس النواب إنه يجب على الكونجرس النظر في "سبب كون الأمن فكرة لاحقة في عملية الشراء" والابتعاد عن الموافقة على أصحاب العطاءات الأقل فقط.
قال كورتيس دوكس، الرئيس السابق للمهمة الدفاعية في وكالة الأمن القومي الآن في المركز غير الربحي لأمن الإنترنت، والذي يعمل بشكل وثيق مع CISA، إن الحكومة يمكن أن تفرض لوائح جديدة، "ربما مع حجم إضافي، يجب على البائعين بذل المزيد."