Pada hari Kamis, di minggu terakhir masa jabatannya, Presiden Joe Biden mengeluarkan keputusan perintah eksekutif dimaksudkan untuk memperkuat pertahanan dunia maya suatu negara, salah satunya dengan mewajibkan penyedia perangkat lunak seperti Microsoft untuk memberikan bukti bahwa mereka memenuhi standar keamanan tertentu sebelum dapat menjual produknya kepada pemerintah federal.
Tindakan ini menyusul gencarnya serangan siber dalam beberapa tahun terakhir di mana peretas yang terkait dengan Rusia, Tiongkok, dan musuh lainnya mengeksploitasi kerentanan perangkat lunak untuk mencuri dokumen sensitif dari lembaga federal.
Dalam menuntut akuntabilitas yang lebih besar dari para pembuat perangkat lunak, Biden menunjuk pada contoh-contoh di mana kontraktor “berkomitmen untuk mengikuti praktik keamanan siber, namun tidak memperbaiki kerentanan yang dapat dieksploitasi dalam perangkat lunak mereka, sehingga menempatkan Pemerintah pada risiko kompromi.”
Pada bulan Juni, ProPublica melaporkan kasus yang melibatkan Microsoft, vendor TI terbesar kepada pemerintah federal. Dalam apa yang disebut serangan SolarWinds, yang ditemukan sesaat sebelum Biden menjabat, peretas yang disponsori negara Rusia mengeksploitasi kelemahan produk Microsoft untuk mencuri data sensitif dari Administrasi Keamanan Nuklir Nasional dan lembaga lainnya. ProPublica menemukan bahwa, selama bertahun-tahun, para pemimpin Microsoft mengabaikan peringatan dari salah satu insinyur mereka tentang kelemahan tersebut karena mereka khawatir jika mengakui kelemahan tersebut secara terbuka akan mengasingkan pemerintah federal dan menyebabkan perusahaan tersebut kalah bersaing dengan para pesaingnya.
Budaya profit-over-security sebagian besar didorong oleh keinginan untuk menguasai pasar komputasi awan bernilai miliaran dolar, organisasi berita tersebut melaporkan. Salah satu mantan supervisor Microsoft menggambarkan sikap tersebut sebagai, “Lakukan apa pun untuk menang karena Anda harus menang.”
Microsoft telah mempertahankan keputusannya untuk tidak mengatasi kelemahan tersebut, dengan mengatakan kepada ProPublica pada bulan Juni bahwa penilaian perusahaan pada saat itu melibatkan “beberapa tinjauan” dan mempertimbangkan beberapa faktor ketika membuat keputusan keamanan, termasuk “potensi gangguan pelanggan, eksploitasi, dan mitigasi yang tersedia. ” Namun dalam beberapa bulan dan tahun setelah peretasan SolarWinds, kelemahan keamanan Microsoft berkontribusi terhadap serangan lain terhadap pemerintah, termasuk serangan pada tahun 2023 di mana peretas yang terhubung dengan pemerintah Tiongkok memperoleh akses ke email pejabat tinggi AS. Dewan Peninjau Keamanan Siber federal kemudian menemukan bahwa perusahaan tersebut telah menurunkan prioritas investasi keamanan dan manajemen risiko, sehingga mengakibatkan “serangkaian… kesalahan yang dapat dihindari.”
Jurnalisme yang baik membawa perbedaan:
Ruang berita kami yang nirlaba dan independen mempunyai satu tugas: meminta pertanggungjawaban pihak yang berkuasa. Berikut cara penyelidikan kami mendorong perubahan dunia nyata:
Kami sedang mencoba sesuatu yang baru. Apakah itu membantu?
Microsoft telah berjanji untuk menempatkan keamanan “di atas segalanya.”
Yang pasti, Microsoft bukan satu-satunya perusahaan yang produknya memberikan akses bagi peretas ke jaringan pemerintah. Peretas Rusia dalam serangan SolarWinds memperoleh akses ke jaringan korban melalui pembaruan perangkat lunak tercemar yang disediakan oleh perusahaan SolarWinds yang berbasis di Texas sebelum mengeksploitasi produk Microsoft yang cacat.
Untuk membantu mencegah peretasan di masa depan, pemerintah ingin perusahaan IT memberikan bukti bahwa mereka menggunakan “praktik pengembangan perangkat lunak yang aman untuk mengurangi jumlah dan tingkat keparahan kerentanan” pada produk mereka, menurut perintah tersebut. Selain itu, pemerintah “perlu menerapkan praktik manajemen risiko pihak ketiga yang lebih ketat” untuk memverifikasi penggunaan praktik tersebut, kata Biden. Dia meminta perubahan pada Peraturan Akuisisi Federal, aturan kontrak pemerintah, untuk melaksanakan rekomendasinya. Jika diberlakukan sepenuhnya, pelanggar persyaratan baru dapat dirujuk ke jaksa agung untuk mengambil tindakan hukum.
Biden juga mengatakan bahwa memperkuat keamanan “sistem manajemen identitas” federal adalah hal yang penting
“sangat penting” untuk meningkatkan keamanan siber negara. Memang benar, produk Microsoft yang menjadi fokus artikel ProPublica bulan Juni adalah apa yang disebut produk “identitas” yang memungkinkan pengguna mengakses hampir semua program yang digunakan di tempat kerja dengan satu logon. Dengan mengeksploitasi kelemahan produk identitas selama serangan SolarWinds, para peretas Rusia dapat dengan cepat menyedot email dari jaringan korban.
Pada bulan November, ProPublica melaporkan bahwa Microsoft memanfaatkan SolarWinds setelah serangan tersebut, menawarkan uji coba gratis produk keamanan siber kepada lembaga federal. Langkah ini secara efektif mengunci lembaga-lembaga tersebut ke dalam lisensi perangkat lunak yang lebih mahal dan memperluas jejak Microsoft di seluruh pemerintahan federal. Perusahaan tersebut mengatakan kepada ProPublica bahwa tawarannya merupakan tanggapan langsung terhadap “permintaan mendesak dari Pemerintah untuk meningkatkan postur keamanan lembaga-lembaga federal.” Dalam perintah eksekutifnya, Biden membahas dampak dari permintaan tahun 2021 tersebut, dengan mengarahkan pemerintah federal untuk memitigasi risiko yang ditimbulkan oleh “konsentrasi vendor dan layanan TI,” sebuah referensi terselubung terhadap meningkatnya ketergantungan Washington pada Microsoft, yang dirujuk oleh beberapa anggota parlemen. sebagai “monokultur keamanan siber.”
Meskipun perintah tersebut menandai sikap yang lebih tegas terhadap perusahaan teknologi yang memasok pemerintah, penegakan hukum akan berada di tangan pemerintahan Trump. Tidak jelas apakah presiden mendatang akan menyetujui perubahan dalam perintah eksekutif tersebut. Presiden terpilih Donald Trump telah menekankan deregulasi bahkan ketika ia telah mengindikasikan bahwa pemerintahannya akan mengambil sikap keras terhadap Tiongkok, salah satu musuh dunia maya terbesar di Amerika.
Baik Microsoft maupun tim transisi Trump tidak menanggapi permintaan komentar mengenai perintah tersebut.
Perintah eksekutif yang dikeluarkan pada hari Kamis adalah yang terbaru dari serangkaian upaya regulasi yang berdampak pada Microsoft di hari-hari terakhir pemerintahan Biden. Bulan lalu, ProPublica melaporkan bahwa Komisi Perdagangan Federal sedang menyelidiki perusahaan tersebut dalam penyelidikan yang akan memeriksa apakah praktik bisnis perusahaan tersebut telah melanggar undang-undang antimonopoli. Pengacara FTC telah melakukan wawancara dan mengatur pertemuan dengan pesaing Microsoft, dan salah satu bidang utama yang menarik adalah bagaimana perusahaan mengemas produk Office populer bersama dengan keamanan siber dan layanan komputasi awan.
Apa yang disebut bundling ini adalah subjek investigasi ProPublica pada bulan November, yang merinci bagaimana, mulai tahun 2021, Microsoft menggunakan praktik tersebut untuk mengeluarkan pesaing dari kontrak federal yang menguntungkan. FTC memandang fakta bahwa Microsoft telah memenangkan lebih banyak bisnis federal meskipun membuat pemerintah rentan terhadap peretasan sebagai contoh kekuatan perusahaan yang bermasalah terhadap pasar, kata seseorang yang mengetahui penyelidikan tersebut kepada ProPublica.
Microsoft menolak mengomentari secara spesifik penyelidikan tersebut namun mengatakan kepada organisasi berita tersebut bulan lalu bahwa permintaan FTC terhadap informasi baru-baru ini “luas, luas cakupannya, dan meminta hal-hal yang di luar kemungkinan bahkan menjadi logis.”
Kepemimpinan baru komisi tersebut, yang dipilih oleh Trump, akan menentukan masa depan penyelidikan tersebut.
