Microsoft ogranicza dostęp chińskich firm do programu wczesnego ostrzegania

Microsoft zdecydował się ograniczyć dostęp wybranych chińskich firm do swojego systemu wczesnego ostrzegania o lukach w zabezpieczeniach. Decyzja ta zapadła po spekulacjach, że Pekin mógł wykorzystać poufne informacje do przeprowadzenia kampanii hakerskiej wymierzonej w serwery SharePoint. Więcej o tym pisaliśmy TUTAJ. 

O co chodzi?

Sprawa dotyczy programu Microsoft Active Protections Program (MAPP). To inicjatywa, w ramach której Microsoft dzieli się z wybranymi partnerami, (również tymi chińskimi), szczegółowymi informacjami o lukach w zabezpieczeniach. I to jeszcze przed oficjalnym ich ujawnieniem. Jaki jest cel takich działań? Ma to pomóc, np. firmom zajmującym się cyberbezpieczeństwem w lepszej i szybszej ochronie klientów.

Problem w tym, że zaufanie mogło zostać nadszarpnięte. Reuters podaje, że 24 czerwca, 3 lipca i 7 lipca Microsoft przekazywał partnerom dane dotyczące luk w SharePoint. Z kolei już 7 lipca firma zaobserwowała próby ich wykorzystania w atakach. Eksperci nie wykluczają więc, że jeden z członków MAPP wykorzystał otrzymane informacje w niewłaściwy sposób.

Oskarżenia wobec Pekinu i odpowiedź Chin

Ataki na SharePoint miały masowy charakter, (o czym więcej TUTAJ). Część firm zajmujących się cyberbezpieczeństwem, a także sam Microsoft, wskazała, że za incydentami mogą stać grupy powiązane z Chinami, m.in.: Linen Typhoon, Violet Typhoon czy Storm-2603. Pekin kategorycznie zaprzeczył, że miał jakikolwiek udział w kampanii hakerskiej.

W reakcji na podejrzenia Microsoft zdecydował, że niektóre chińskie firmy nie będą już otrzymywać tzw. kodów proof of concept. To fragmenty testowego oprogramowania, które symulują zachowanie prawdziwego malware.

Firma podkreśliła też, że stale monitoruje uczestników programu MAPP i zawiesza ich lub usuwa, jeśli naruszą regulamin.

Co dalej?

Microsoft nie ujawnił, które konkretnie chińskie firmy zostały objęte ograniczeniami ani na jakim etapie znajduje się wewnętrzne śledztwo. Jednak sprawa wywołała dyskusję w branży. Zasadne wydaje się być pytanie, jak daleko mogą posuwać się globalne korporacje w dzieleniu się informacjami o zagrożeniach, jeśli istnieje ryzyko ich wykorzystania w cyberatakach?