Microsoft-beveiligingsondersteuning
Microsoft-ondersteuning voor overheden

Amerikaans overheidsrapport beveelt grondige herziening van Microsoft Cloud Security aan.

Een rapport van de Amerikaanse regering roept op tot een grondige herziening van de cloudbeveiliging van Microsoft na een grootschalige inbreuk door Chinese hackers die door de staat worden gesteund.
Mike Jones
Geschreven door:
Mike Jones
Gepubliceerd op 20, 2024
Amerikaans overheidsrapport beveelt grondige herziening van Microsoft Cloud Security aan

CSRB bekritiseert Microsoft en roept op tot hervorming van cloudbeveiliging

Een recent rapport van de Amerikaanse overheid heeft aanzienlijke bezorgdheid aan het licht gebracht over de manier waarop Microsoft omgaat met cloudbeveiliging, na een grootschalige inbreuk door Chinese hackers die door de staat worden gesteund.

Het rapport, uitgegeven door de Amerikaanse Cyber Safety Review Board (CSRB), belicht een reeks operationele fouten en strategische beslissingen van Microsoft waardoor deze hackers konden infiltreren in de e-mailaccounts van hoge Amerikaanse functionarissen. Het rapport bekritiseert niet alleen Microsoft, maar roept ook op tot bredere hervormingen op het gebied van cloudbeveiliging.

Amerikaans overheidsrapport beveelt grondige herziening van Microsoft Cloud Security aan

De inbreuk en de gevolgen ervan

Zakenman die zijn gezicht met zijn handen voor zijn laptop bedekt en er gestrest uitziet.
Leidinggevenden maken zich zorgen over inbreuken op de cyberbeveiliging.

De beveiligingsinbreuk, die voor het eerst werd gemeld in juli 2023, betrof een hackersgroep die bekend staat als Storm-0588 en waarvan wordt aangenomen dat deze banden heeft met de Chinese overheid. Deze groep wist het bedrijfsaccount van een Microsoft-ingenieur te compromitteren, waardoor ze vervolgens toegang kregen tot gevoelige systemen van de Amerikaanse overheid.

Het rapport beschrijft dit incident als "te voorkomen" en wijst op een reeks fouten in de beveiligingsprotocollen van Microsoft.

De hackers hebben toegang gekregen tot e-mails van 22 organisaties en meer dan 500 personen, waaronder prominente figuren zoals de Amerikaanse ambassadeur in China. Daarnaast zijn ongeveer 60.000 e-mails gedownload van het Amerikaanse ministerie van Buitenlandse Zaken.

Deze inbreuk onderstreept de cruciale rol die Microsoft speelt in het wereldwijde technologie-ecosysteem en het vertrouwen dat klanten in het bedrijf stellen om hun gegevens en activiteiten te beveiligen.

Bevindingen van de Amerikaanse Cyber Safety Review Board

Het CSRB-rapport was ondubbelzinnig in zijn kritiek op de cloudbeveiligingspraktijken van Microsoft. Het benadrukte verschillende gebieden waarop Microsoft tekortschoot:

  • Ontoereikende identiteitsbeveiligingsmaatregelen: Het rapport merkte op dat Microsoft niet beschikte over de identiteitsbeveiligingsmaatregelen die bij andere cloudserviceproviders standaard zijn.
  • Verouderde cryptografische praktijken: Hackers maakten gebruik van een cryptografische sleutel uit 2016 om ongeoorloofde toegang te verkrijgen, wat wijst op verouderde praktijken voor het rouleren van sleutels.
  • Tekortkomingen in organisatorische controles en governance: Het rapport bekritiseerde het feit dat Microsoft onvoldoende prioriteit gaf aan beveiliging en suggereerde dat er een cultuuromslag binnen de organisatie nodig was.

De CSRB heeft het management van Microsoft aanbevolen een plan te ontwikkelen en uit te voeren om fundamentele, op veiligheid gerichte hervormingen door te voeren in al zijn producten en diensten.

Het stelde ook voor dat cloudserviceproviders zouden moeten stoppen met het in rekening brengen van beveiligingslogboeken aan klanten, die essentieel zijn voor het detecteren en voorkomen van inbraken.

Belangrijkste bevindingen uit het CSRB-rapport

Vinding Beschrijving
Zwakke identiteitsbeveiliging Microsoft beschikte niet over algemene identiteitsbeveiligingsmaatregelen.
Verouderde cryptografie Hackers gebruikten een oude cryptografische sleutel uit 2016.
Slechte beveiligingsgovernance Microsoft moet meer aandacht besteden aan beveiliging.

Reactie en initiatieven van Microsoft

Als reactie op de bevindingen van de CSRB heeft Microsoft het "Secure Future Initiative" gelanceerd, dat tot doel heeft de tekortkomingen op het gebied van beveiliging aan te pakken. Het bedrijf heeft toegezegd de aanbevelingen van de raad uit te voeren en heeft al een aantal beveiligingslogboeken beschikbaar gesteld als onderdeel van zijn standaard cloudservicepakket.

Brad Smith, vicevoorzitter en president van Microsoft, getuigde voor het House Homeland Security Committee en benadrukte dat het bedrijf zich inzet om zijn cyberbeveiliging te verbeteren.

Twee logo's: links het logo van de Cyber Safety Review Board met een adelaarskop in een schild. Rechts het Microsoft-logo met het vierkleurige vierkant en de bedrijfsnaam.
Amerikaans overheidsrapport beveelt grondige herziening van Microsoft Cloud Security aan.

Microsoft heeft zich ertoe verbonden alle 16 aanbevelingen van de CSRB die op het bedrijf van toepassing zijn, te implementeren. Deze omvatten specifieke maatregelen om identiteiten en geheimen te beschermen, de netwerkbeveiliging te verbeteren en de mogelijkheden voor het detecteren van en reageren op bedreigingen te vergroten. Het initiatief benadrukt drie kernprincipes op het gebied van beveiliging: veilig door ontwerp, veilig door standaardinstellingen en veilige bedrijfsvoering.

Deze principes vormen de leidraad voor de ontwikkeling en implementatie van de producten en diensten van Microsoft, zodat beveiliging vanaf het begin is ingebouwd en voortdurend wordt verbeterd om aan veranderende bedreigingen te kunnen voldoen.

Reactie van Microsoft op aanbevelingen van CSRB

Initiatief Details
Plan voor een veilige toekomst Beoogt beveiligingsproblemen op te lossen, waaronder betere logboeken en identiteitsbescherming.
16 belangrijke acties Verbetering van de netwerkbeveiliging en verbetering van de detectie van bedreigingen.
Kernbeginselen van beveiliging "Veilig door ontwerp", "veilig door standaardinstellingen" en "veilige werking".
Digitale illustratie van een schild en stapels munten in evenwicht op een wip, blauw oplichtend tegen een donkere achtergrond.
Een evenwicht vinden tussen cyberbeveiliging en winst.

Naast deze technische maatregelen richt Microsoft zich ook op culturele en organisatorische veranderingen om zijn 'security-first'-benadering te versterken. Dit omvat onder meer het koppelen van beveiligingsdoelstellingen aan de beloning van leidinggevenden, wat zorgt voor verantwoordingsplicht en de doelstellingen van het bedrijf in lijn brengt met zijn beveiligingsverplichtingen.

Microsoft heeft ook het Cybersecurity and Infrastructure Security Agency (CISA) uitgenodigd op zijn hoofdkantoor voor een gedetailleerde technische briefing over de implementatie van de aanbevelingen van de CSRB, waarmee het blijk geeft van transparantie en bereidheid om samen te werken met overheidsinstanties om de veiligheidsmaatregelen te verbeteren.

Uitdagingen en kritiek

Ondanks de inspanningen van Microsoft staat het bedrijf voor grote uitdagingen om het vertrouwen te herstellen en robuuste beveiliging te garanderen:

Winst versus veiligheid

Uit onderzoek van ProPublica bleek dat Microsoft eerder winst boven veiligheid had gesteld en waarschuwingen over kritieke gebreken zou hebben genegeerd om overheidscontracten binnen te halen. Dit heeft geleid tot scepsis over de toewijding van het bedrijf aan veiligheid.

Aanhoudende kwetsbaarheden

Het CSRB-rapport en daaropvolgende onderzoeken hebben de voortdurende kwetsbaarheden in de clouddiensten van Microsoft aan het licht gebracht, waardoor voortdurende verbeteringen en waakzaamheid noodzakelijk zijn.

Implicaties voor de hele sector

Het rapport van de CSRB heeft bredere implicaties voor de cloud computing-sector en roept op tot een herziening van de beveiligingspraktijken bij alle cloudserviceproviders, niet alleen bij Microsoft. Het rapport beveelt aan dat het Cybersecurity and Infrastructure Security Agency (CISA) het voortouw neemt bij het definiëren en invoeren van minimumnormen voor auditlogging in clouddiensten.

Dit zou ervoor zorgen dat klanten toegang hebben tot essentiële beveiligingslogboeken zonder extra kosten, waardoor ze beveiligingsincidenten effectiever kunnen detecteren en erop kunnen reageren.

Deze aanbeveling onderstreept de noodzaak van transparantie en verantwoordingsplicht in de cloud computing-sector. Door gestandaardiseerde beveiligingspraktijken in te voeren, kunnen cloudserviceproviders het vertrouwen van klanten vergroten en het risico op inbreuken verminderen.

Het rapport benadrukt ook het belang van samenwerking tussen overheidsinstanties en particuliere bedrijven om deze normen te ontwikkelen en te handhaven, zodat een uniforme aanpak van cyberbeveiliging in de hele sector wordt gewaarborgd.

De weg vooruit

Voor Microsoft houdt de weg vooruit niet alleen in dat de directe veiligheidsproblemen moeten worden aangepakt, maar ook dat er een veiligheidscultuur moet worden bevorderd die elk aspect van de bedrijfsvoering doordringt. Dit omvat:

  • Verbetering van de beveiligingscultuur: Microsoft moet prioriteit geven aan beveiliging op alle niveaus, van productontwerp tot operationele praktijken.
  • Implementatie van best practices: Het bedrijf moet voor al zijn diensten de beste beveiligingsnormen hanteren, zoals meervoudige authenticatie en toegangsmodellen met minimale rechten.

Verhoging van transparantie en verantwoordingsplicht: Door beveiligingsdoelstellingen te koppelen aan de beloning van leidinggevenden, wil Microsoft verantwoordingsplicht en transparantie in zijn beveiligingsinitiatieven waarborgen.

De beste keuze

Het is duidelijk dat het landschap van cloud computing snel evolueert. In deze context onderscheidt US Cloud zich als een uitstekend alternatief ten opzichte van andere providers. Wij bieden oplossingen op maat die voldoen aan de specifieke behoeften van uw bedrijf en tegelijkertijd voldoen aan de strengste wettelijke vereisten.

Met transparante prijzen, geen verborgen kosten en toegewijde ondersteuningsteams die 24 uur per dag beschikbaar zijn, zet US Cloud zich onverminderd in voor klanttevredenheid. Voor organisaties die op zoek zijn naar een cloudprovider die hun unieke uitdagingen echt begrijpt en hun beveiligingsbehoeften vooropstelt, is US Cloud niet alleen een alternatief, maar een superieure keuze op de markt voor clouddiensten.

Terwijl u zich een weg baant door de complexe wereld van cloud computing en cyberbeveiliging, biedt een samenwerking met US Cloud u de gemoedsrust en op maat gemaakte oplossingen die nodig zijn om te gedijen in het digitale landschap van vandaag.

Mike Jones
Mike Jones
Mike Jones onderscheidt zich als een vooraanstaande autoriteit op het gebied van Microsoft-bedrijfsoplossingen en wordt door Gartner erkend als een van 's werelds beste experts op het gebied van Microsoft Enterprise Agreements (EA) en Unified (voorheen Premier) Support-contracten. Dankzij zijn uitgebreide ervaring in de particuliere sector, bij partners en bij de overheid is Mike in staat om de unieke behoeften van Fortune 500-Microsoftomgevingen vakkundig te identificeren en aan te pakken. Zijn ongeëvenaarde inzicht in het aanbod van Microsoft maakt hem van onschatbare waarde voor elke organisatie die haar technologielandschap wil optimaliseren.

Gerelateerde berichten

Wilt u meer weten? De onderstaande berichten hebben betrekking op de inhoud die u zojuist hebt gelezen.
GCC High Readiness voor Microsoft Copilot: een handleiding voor een veilige lancering

GCC High Readiness voor Microsoft Copilot: een handleiding voor een veilige lancering

Gepubliceerd op 16, 2025
Microsoft Copilot is er nu ook voor GCC High. Ontdek hoe u veilig kunt starten, uw gegevens kunt voorbereiden en tegen lagere kosten kunt voldoen aan de Microsoft-ondersteuning.
Microsoft Teams-update om niet-Microsoft-gebruikers te verbinden: hoe IT-teams samenwerking veilig kunnen houden

Microsoft Teams-update om niet-Microsoft-gebruikers te verbinden: hoe IT-teams samenwerking veilig kunnen houden

Gepubliceerd op 25, 2025
Vanaf november 2025 kunnen leden van Microsoft Teams chatten of bellen met iedereen die een e-mailadres heeft. Hieronder leest u waarom dit de productiviteit verhoogt en de veiligheid vergroot.
Vraag een offerte aan bij US Cloud om Microsoft te laten besluiten de prijzen voor Unified Support te verlagen.

Onderhandel niet blindelings met Microsoft

In 91% van de gevallen krijgen bedrijven die een schatting van de Amerikaanse cloudkosten aan Microsoft voorleggen, onmiddellijk kortingen en snellere concessies.

Zelfs als u nooit overstapt, biedt een schatting van US Cloud u:

  • Echte marktprijzen om Microsofts 'slikken of stikken'-houding aan te vechten
  • Concrete besparingsdoelen – onze klanten besparen 30-50% ten opzichte van Unified
  • Onderhandelen over munitie – bewijs dat je een legitiem alternatief hebt
  • Risicovrije informatie – geen verplichtingen, geen druk

 

"US Cloud was de hefboom die we nodig hadden om onze Microsoft-factuur met $ 1,2 miljoen te verlagen."
— Fortune 500, CIO