Штаб-квартира Microsoft в Редмонде, штат Вашингтон Кредит:Грег Кан, специально для ProPublica
После того, как российская разведка предприняла одну из самых разрушительных в истории кибершпионских атак против правительственных агентств США, администрация Байдена создала новый совет и поручила ему выяснить, что произошло, и рассказать об этом общественности.
Государственные хакеры проникли в SolarWinds, американскую компанию-разработчика программного обеспечения, которая обслуживает правительство США и тысячи американских компаний. Злоумышленники использовали вредоносный код и уязвимость в продукте Microsoft, чтобы украсть разведданные из Национальной администрации по ядерной безопасности, Национальных институтов здравоохранения и Министерства финансов в том, что президент Microsoft Брэд Смит назвал «крупнейшей и самой сложной атакой, которую когда-либо видел мир».
В мае 2021 года президент издал указ о создании Совета по надзору за кибербезопасностью и поручил ему начать работу с рассмотрения атаки SolarWinds.
Однако по причинам, которые эксперты считают неясными, этого так и не произошло. Правление также не стало проверять SolarWinds по ее второму отчету.
В рамках третьего расследования комиссия расследовала отдельную атаку 2023 года, в ходе которой китайские государственные хакеры воспользовались рядом уязвимостей безопасности Microsoft, чтобы получить доступ к почтовым ящикам электронной почты высших федеральных чиновников.
Полный публичный отчет о том, что произошло в случае с Solar Winds, был бы разрушительным для Microsoft. ProPublica недавно сообщила, что Microsoft давно знала об уязвимости, использованной при взломе, но отказалась ее устранить. Бездействие технологической компании отражает корпоративную культуру, которая ставит прибыль выше безопасности и оставляет правительство США уязвимым, сказал осведомитель.
Совет был создан для оказания помощи в устранении серьезной угрозы, которую представляют для экономики и национальной безопасности США опытные хакеры, которые постоянно проникают в правительственные и корпоративные системы, похищая огромные объемы конфиденциальной разведывательной информации, корпоративных секретов и персональных данных.
На протяжении десятилетий сообщество кибербезопасности призывало к созданию киберэквивалента Национального совета по безопасности на транспорте, независимого агентства, которое по закону обязано расследовать и выпускать публичные отчеты о причинах и уроках, извлеченных из каждой крупной авиационной катастрофы, среди прочих инцидентов. NTSB финансируется Конгрессом и укомплектован экспертами, которые работают вне отрасли и других государственных учреждений. Его публичные слушания и отчеты стимулируют изменения в отрасли и действия регулирующих органов, таких как Федеральное управление гражданской авиации.
Пока что Совет по надзору за кибербезопасностью наметил другой путь.
Совет не является независимым — он находится в Министерстве внутренней безопасности. Роб Сильверс, председатель совета, является заместителем министра внутренней безопасности. Его заместитель — топ-менеджер по безопасности в Google. Совет не имеет постоянного персонала, полномочий по вызову в суд или выделенного финансирования.
Сильверс сообщил ProPublica, что Министерство внутренней безопасности решило, что совету не нужно проводить собственную проверку SolarWinds по указанию Белого дома, поскольку атака уже была «тщательно изучена» государственным и частным секторами.
«Мы хотим сосредоточить внимание совета на обзорах, в которых еще предстоит почерпнуть много информации и извлечь много уроков в ходе расследования», — сказал он.
В результате правительство не провело публичного расследования нерешенной проблемы безопасности в Microsoft, которая была использована российскими хакерами. Ни в одном из отчетов SolarWinds не был указан или не был опрошен осведомитель, который раскрыл проблемы внутри Microsoft.
Как сообщили ProPublica эксперты по кибербезопасности и избранные должностные лица, отказавшись проводить проверку SolarWinds, совет директоров не смог выявить центральную роль, которую слабая культура безопасности Microsoft сыграла в атаке, и не смог инициировать изменения, которые могли бы смягчить или предотвратить китайский взлом в 2023 году.
«Возможно, последний взлом можно было бы предотвратить с помощью настоящего надзора», — заявил в своем заявлении сенатор Рон Уайден, демократический член сенатского комитета по разведке. Уайден призвал совет директоров провести проверку SolarWinds, а правительство — улучшить свою киберзащиту.
В своем заявлении представитель DHS отверг идею о том, что проверка SolarWinds могла бы выявить недостатки Microsoft вовремя, чтобы остановить или смягчить китайскую государственную атаку прошлым летом. «В этом отношении эти два инцидента были совершенно разными, и мы не считаем, что проверка SolarWinds обязательно выявила бы пробелы, указанные в последнем отчете Совета», — заявили они.
Остальные члены совета отказались от комментариев, перенаправили запросы в Министерство внутренней безопасности или не ответили ProPublica.
В прошлых заявлениях Microsoft не оспаривала рассказ осведомителя, но подчеркивала свою приверженность безопасности. «Защита клиентов всегда является нашим наивысшим приоритетом», — ранее заявил представитель ProPublica . «Наша группа реагирования на проблемы безопасности серьезно относится ко всем проблемам безопасности и уделяет каждому случаю должное внимание с тщательной ручной оценкой, а также перекрестным подтверждением с партнерами по проектированию и безопасности».
Неспособность совета провести расследование в отношении SolarWinds также подчеркивает вопрос, который критики, включая Уайдена, поднимали с момента его создания: может ли совет, в котором большинство составляют федеральные чиновники, привлекать правительственные учреждения к ответственности за их неспособность предотвратить кибератаки.
«Я по-прежнему глубоко обеспокоен тем, что ключевая причина, по которой Совет никогда не рассматривал SolarWinds — как поручил ему президент — заключалась в том, что это потребовало бы от Совета изучить и задокументировать серьезную халатность со стороны правительства США», — сказал Уайден. Среди его опасений — правительственная система киберзащиты, которая не смогла обнаружить атаку SolarWinds.
Сильверс заявил, что, хотя совет директоров не проводил расследование в отношении SolarWinds, независимая Счетная палата США дала ему добро на проведение проверки, заявив в апрельском исследовании, посвященном изучению реализации указа, что совет директоров выполнил свои полномочия по проведению проверки.
Решение GAO озадачило экспертов по кибербезопасности. «Роб Сильверс долгое время заявлял, что CSRB выполнил свою работу в отношении SolarWinds, но простое заявление чего-либо как такового не делает это правдой», — сказала Тара Уилер, генеральный директор Red Queen Dynamics, фирмы по кибербезопасности, которая была соавтором отчета Гарвардской школы Кеннеди, в котором описывалось, как должен работать «киберNTSB» .
Сильверс заявил, что первый и второй отчеты совета, хотя и не касались SolarWinds, привели к важным изменениям в правительстве, таким как новые правила Федеральной комиссии по связи, касающиеся мобильных телефонов.
«Ощутимые результаты работы совета на сегодняшний день говорят сами за себя и подтверждают мудрость решений, принятых советом при рассмотрении вопросов», — сказал он.
«Мы полностью выполнили указ»
Атака SolarWinds стала тревожным сигналом для федерального правительства и частного сектора. Исполнительный указ Белого дома был разработан, чтобы позволить чиновникам быстро внедрять новые методы кибербезопасности.
Однако указ президента ограничил полномочия нового совета по кибербезопасности: президент не может выделять финансирование из Конгресса или выдавать полномочия на выдачу повесток.
Когда в начале 2022 года плата была запущена, она мало напоминала кибердоску, которую Уилер и ее соавторы описали в своем гарвардском отчете.
«Ни одна из наших рекомендаций не была принята», — сказала она.
Совет, размещенный в Агентстве кибербезопасности и безопасности инфраструктуры DHS, состоит из 15 неоплачиваемых волонтеров — восемь из государственных учреждений и семь из частного сектора. Сильверс сказал, что это гарантирует совету передовые знания и способность следовать своим рекомендациям.
Хотя первым поручением совета было расследование деятельности SolarWinds, министр внутренней безопасности Алехандро Майоркас и директор CISA Джен Истерли поручили совету вместо этого рассмотреть недавно обнаруженную уязвимость в Log4j — программном обеспечении, используемом миллионами компьютеров, которое может позволить злоумышленникам взломать системы по всему миру, в том числе некоторые из систем, используемых правительством США.
Сильверс заявил, что это «идеальный вариант использования» для первого обзора совета директоров, и Белый дом с ним согласился.
Отчет совета Log4j , опубликованный в июле 2022 года, показал, что не было никаких существенных атак на критически важные инфраструктурные системы из-за этой уязвимости. Он предложил 19 рекомендаций для компаний, государственных органов и разработчиков программного обеспечения с открытым исходным кодом.
Сильверс продолжал сталкиваться с вопросами относительно решения не проверять SolarWinds, но утверждал, что Log4j был более актуальной темой для проверки.
«Мы полностью выполнили указ президента», — заявил Сильверс журналистам во время телефонного разговора в том же месяце.
Сначала правительственный надзорный орган не согласился с этим. Когда GAO провело проверку реализации указа, оно обнаружило, что совет не выполнил свой мандат. В своем проекте отчета оно рекомендовало Министерству внутренней безопасности поручить совету провести проверку SolarWinds, как поручил президент. Это не понравилось DHS, которому была предоставлена возможность рассмотреть и прокомментировать проект в рамках стандартного процесса GAO. DHS утверждало в письме, что «намерение» проверки SolarWinds советом было встречено ссылками на взлом в отчете Log4j совета и предыдущим исследованием SolarWinds агентством DHS, которое администрирует совет.
Министерство внутренней безопасности также отметило, что указ установил 90-дневный срок для завершения проверки SolarWinds советом директоров, что, по его словам, «невыполнимо». Поручение совету директоров провести такую проверку сейчас, по его мнению, было бы «дублированием предыдущей работы и неразумным использованием ресурсов».
«Мы просим GAO считать данную рекомендацию решенной и закрытой, поскольку она выполнена», — говорится в письме.
GAO согласилось. В своем последнем исследовании оно заявило, что мандат на проверку SolarWinds советом директоров был «полностью выполнен». GAO приняло два правительственных отчета вместо одного от совета директоров: обзор Log4j и обзор SolarWinds от 2021 года Советом национальной безопасности, который не является публичным.
Помощник Уайдена сказал, что сенатор не видел обзора СНБ. Также его не видело и GAO. Вместо этого GAO сообщило ProPublica, что оно «опросило ключевых участников» обзора совета безопасности. Офис также обобщил три рекомендации, которые СНБ посчитал приемлемыми для публичного обнародования, включая призыв к улучшению обмена информацией между федеральными агентствами. Представитель совета безопасности отказался от комментариев.
GAO заявило, что приняло обзор Log4j, подготовленный советом, поскольку он включал «информацию об инциденте с SolarWinds». Однако, помимо сносок, в отчете SolarWinds упоминается только один раз.
Отчет совета был бы более полезен для сообщества кибербезопасности, поскольку он бы предоставил подробный публичный отчет о крупной атаке, сказал Стивен Белловин, профессор компьютерных наук в Колумбийском университете, который написал статьи и выступил с презентациями о необходимости независимого совета по кибербезопасности . «Секретный отчет не решает этой задачи», — сказал он.
Трей Херр, доцент кафедры внешней политики и глобальной безопасности Американского университета, который был соавтором отчетов по CSRB и SolarWinds , также раскритиковал решение GAO. «Я не знаю, почему GAO считает, что частная проверка NSC и другой рабочий продукт CSRB эквивалентны, учитывая их совершенно разные полномочия, сферу деятельности, операции и ожидания прозрачности», — сказал он.
На просьбу объяснить, почему Министерство внутренней безопасности приписало завершение проверки, которая так и не была проведена, Марисоль Круз-Кейн, директор отдела информационных технологий и кибербезопасности GAO, заявила, что управление «поддерживает заявления и оценки».
«GAO считает, что правительство предприняло достаточные шаги для расследования инцидента с SolarWinds», — сказала она, в том числе посредством сотрудничества с несколькими федеральными агентствами и частным сектором, а также «путем распространения соответствующих рекомендаций относительно SolarWinds».
GAO также провело собственное исследование SolarWinds , которое было опубликовано в 2022 году. Как и другие правительственные обзоры, оно не исследовало роль Microsoft в атаке. Представитель GAO сказал, что GAO сосредоточилось на влиянии взлома на федеральное правительство, поэтому «мы не взаимодействовали с Microsoft».
«Это вторжение никогда не должно было произойти»
После того, как в 2023 году китайцы взломали системы США, используя уязвимости Microsoft, совет директоров тщательно изучил роль технологического гиганта в атаке.
Отчет был уничтожающим. «Совет пришел к выводу, что это вторжение никогда не должно было произойти», — говорится в отчете, ссылаясь на «каскад сбоев безопасности в Microsoft». Совет призвал к пересмотру «неадекватной» культуры безопасности Microsoft и перечислил семь областей, в которых компания не смогла применить надлежащие методы обеспечения безопасности или обнаружить или устранить недостатки или риски.
Компания Microsoft объявила о ряде изменений и заявила, что выполнит все рекомендации совета.
Отчет спровоцировал слушания в Комитете по внутренней безопасности Палаты представителей с президентом Microsoft Смитом в прошлом месяце. Смит сказал, что компания делает безопасность своим главным приоритетом.
Он также выразил обеспокоенность по поводу конфликта интересов в совете директоров. В то время как Уайден и другие эксперты критиковали роль федеральных чиновников, Смит жаловался на членов совета директоров из частного сектора, включая руководителей Google и других конкурентов Microsoft. «Я думаю, что было бы ошибкой включать в совет директоров конкурентов компании, которая является предметом проверки», — сказал он. Смит предупредил, что другие компании могут не так сотрудничать с советом директоров, как, по его словам, Microsoft.
Трое членов совета директоров из частного сектора, включая заместителя председателя совета директоров Хизер Эдкинс, руководителя Google, отказались от участия в подготовке отчета Microsoft, как и два члена Управления национального кибердиректора и один из ФБР, которых заменили по одному коллеге из каждого агентства.
Представитель DHS отказался сообщить, почему члены совета от государственного сектора взяли самоотвод, но заявил, что члены совета обязаны отстраниться, если проверка включает «проверку продукции их работодателей или конкурентов» или если у члена совета есть «финансовые интересы, связанные с рассматриваемыми вопросами».
Сильверс сказал, что каждый член совета директоров, включая членов государственного сектора, проходит «жесткую» проверку на предмет конфликта интересов. Он сказал, что текущая модель доказала свою эффективность и обходится дешевле, чем создание независимого агентства.
«Создание совершенно нового агентства с профессиональными кадрами будет чрезвычайно дорогим, займет много лет и может поглотить дефицитные киберталанты, которые есть в правительстве США», — сказал он. «В эпоху скудных бюджетов, затягивания поясов, конкуренции за таланты это действительно потрясающая модель».
Тем не менее, DHS признает, что совету нужно больше ресурсов и следственной силы. В прошлом году департамент опубликовал законопроект, который сделает совет постоянным , с выделенным финансированием, ограниченными полномочиями по выдаче повесток и штатным персоналом.
Сильверс заявил, что законопроект пользуется поддержкой администрации Байдена, но он не был внесен и не имеет спонсора.
Уилер, руководитель отдела кибербезопасности, заявила, что понимает, насколько сложными будут любые реформы, но она и другие будут продолжать выступать за то, чтобы совет стал независимым правительственным агентством.
«Я, честно говоря, удивлена, что они вообще сделали [доску], — сказала она. — Теперь я хочу, чтобы они сделали ее лучше».
Обновление от 8 июля 2024 г.: После публикации этой истории Министерство внутренней безопасности пояснило, что и министр Алехандро Майоркас, и директор Агентства по кибербезопасности и безопасности инфраструктуры Джен Истерли поручили Совету по рассмотрению кибербезопасности рассмотреть недавно обнаруженную уязвимость в Log4j.
Автор: Крейг Сильверман. Крейг Сильверман — национальный репортер ProPublica, освещающий вопросы голосования, платформ, дезинформации и онлайн-манипуляций.
Крейг.Сильверман@propublica.org @CraigSilverman Сигнал: 647-949-7610
У вас есть совет для ProPublica? Помогите нам заняться журналистикой. У вас есть история, которую мы должны услышать? Вы готовы стать источником информации для истории о вашем сообществе, вашей школе или вашем рабочем месте? Свяжитесь с нами.