Estados Unidos y el Reino Unido dicen que los piratas informáticos atacaron a políticos, periodistas y críticos de Beijing en una extensa campaña de ciberespionaje. (imagen de archivo)
Foto: Xose Bouzas / Hans Lucas / Hans Lucas vía AFP
Microsoft, que posee los datos de millones de neozelandeses que le proporcionó el gobierno, ha sido castigado en Estados Unidos por su falta de seguridad cibernética que, según dice, permitió la entrada de piratas informáticos chinos.
Health New Zealand Te Whatu Ora dijo que estaba buscando “garantías” del gigante tecnológico y, con otras agencias públicas, estaba “monitoreando estos desarrollos”.
El Departamento de Seguridad Nacional de EE.UU. en una nueva investigación dijo que Microsoft tenía una cultura de seguridad general laxa, lo que llevó a “una cascada de errores evitables” en el hackeo de correos electrónicos de los gobiernos de EE.UU. y el Reino Unido el año pasado.
La actitud de Microsoft hacia la seguridad estaba “en desacuerdo con la centralidad de la compañía en el ecosistema tecnológico y el nivel de confianza que los clientes depositan en él”, dijo la junta de Revisión de Seguridad Cibernética del DHS.
“Microsoft todavía no sabe cómo entraron los piratas informáticos”, aunque durante meses había fingido que sí, afirmó.
Esto se suma a la alarma por un ataque exitoso al correo electrónico corporativo de Microsoft por parte del grupo Midnight Blizzard, respaldado por Rusia, vinculado a ataques exitosos que tuvieron como objetivo las elecciones presidenciales de EE. UU. en 2016.
Microsoft dice que acepta las conclusiones del informe de EE. UU. y promete hacerlo mejor (imagen de archivo).
Foto: Xose Bouzas / Hans Lucas / Hans Lucas vía AFP
El gobierno estadounidense está expuesto porque tiene más contratos con Microsoft que cualquier otra empresa tecnológica. La exposición de Nueva Zelanda también ha aumentado a medida que los sucesivos gobiernos han fomentado una migración masiva de datos públicos a sistemas en la nube administrados principalmente por Microsoft y su rival Amazon, desde la policía, la salud, los pasaportes y decenas de otras agencias, y posiblemente pronto los tribunales. .
Te Whatu Ora dijo que trabajaría en un “enfoque de todo el gobierno” con el Director Digital del gobierno (GCDO).
Microsoft no había informado de ningún incidente de seguridad o ciberataque “que comprometiera nuestros sistemas o datos”, dijo la agencia de salud.
“Tampoco tenemos conocimiento de ninguna intrusión de este tipo que aproveche las vulnerabilidades de Microsoft”.
La GCDO no dijo nada directamente relevante a las conclusiones de Estados Unidos.
El Centro Nacional de Seguridad Cibernética del GCSB dijo que los hallazgos de Estados Unidos aún se estaban considerando, “junto con otras aportaciones”.
Estos “se reflejarán en los estándares y directrices que publicamos en línea… y en la dirección proporcionada al gobierno a través de la oficina del Director de Seguridad de la Información del Gobierno”.
El edificio GCSB.
Foto: RNZ / Samuel Rillstone
Nueva Zelanda fue el primer país en colocar los registros de autenticación de sus ciudadanos en el extranjero, en los servidores de computación en la nube Azure de Microsoft en Australia en 2021.
Los funcionarios y expertos cibernéticos sostienen que la seguridad es mejor con las grandes empresas tecnológicas estadounidenses, y será aún más segura una vez que las empresas transfieran los datos de Australia a los nuevos grandes centros de datos que están construyendo aquí.
Los investigadores estadounidenses instaron a Microsoft a publicar un plan claro para realizar mejoras de seguridad “fundamentales”.
La compañía dijo que aceptó los hallazgos y prometió hacerlo mejor.
Emitió una declaración repetitiva a RNZ, diciendo que apreciaba la investigación federal sobre “el impacto de los actores de amenazas de estados nacionales con buenos recursos que operan de manera continua y sin una disuasión significativa”.
“Los acontecimientos recientes han demostrado la necesidad de adoptar una nueva cultura de ingeniería de seguridad en nuestras propias redes”.
Había “movilizado” a sus ingenieros para “reforzar todos nuestros sistemas contra ataques”, para encontrar sistemas antiguos, mejorar procesos y hacer cumplir los puntos de referencia de seguridad, dijo Microsoft, citando su Iniciativa Futuro Seguro lanzada a finales del año pasado.
Desde la izquierda, el diputado conservador británico Tim Loughton, el ex líder conservador Iain Duncan Smith y el ex portavoz de defensa del SNP Stewart McDonald de la Alianza Interparlamentaria sobre China, celebran una conferencia de prensa en el centro de Londres el 25 de marzo de 2024 sobre acusaciones contra China de ciberespionaje. .
Foto: AFP
Te Whatu Ora dijo que estaba al tanto de la investigación y, “al igual que otras organizaciones del sector público en Nueva Zelanda que utilizan productos de Microsoft, está monitoreando estos desarrollos y trabajará con el Director Digital del Gobierno para ayudar a informar un enfoque de todo el gobierno. y cualquier revisión posterior”.
Acaba de ampliar la cantidad de información del paciente que se puede guardar en su nueva aplicación web My Health Record, a la que los pacientes acceden a través de un verificador de autenticación llamado My Health Account alojado principalmente en servidores Microsoft Azure en Sydney. Su objetivo es ampliar lo que las personas pueden verificar para incluir sus “medicamentos y resultados de laboratorio actuales y pasados”.
El año pasado, la agencia le dijo a RNZ que eligió a Microsoft y Amazon para sus movimientos en la nube porque tenían mejor “escala, seguridad y solidez” que las empresas de nube locales.
Inicialmente, dijo que esto se produjo después de “una licitación competitiva”, pero luego admitió a RNZ que esto “era incorrecto; nos disculpamos sinceramente por este error”; de hecho, los eligió de una lista de proveedores de nube preaprobados.
El año pasado, el gobierno redobló su política de “la nube primero”, básicamente prohibiendo a las agencias construir sus propios sistemas, aunque informes recientes lamentan que el impulso no haya ido lo suficientemente lejos o lo suficientemente rápido.
Los tribunales y el Ministerio de Justicia se encuentran entre los últimos en embarcarse en esto y no han descartado que se guarden datos confidenciales en Australia.
Los tribunales y el Ministerio de Justicia no han descartado que se guarden datos confidenciales en Australia. (imagen de archivo)
Foto: RNZ / Cole Eastham-Farrelly
La seguridad sería clave para el diseño del sistema Te Au Reka (Gestión de flujo de casos) en los próximos meses, dijo el ministerio.
“En la actualidad, el poder judicial no ha tomado ninguna decisión final sobre el alojamiento de datos judiciales en servicios en la nube con sede fuera de Nueva Zelanda.
“La preferencia del poder judicial sigue siendo que toda la información judicial y judicial contenida en Te Au Reka (Caseflow Management) permanezca en Nueva Zelanda”.
Ha firmado un acuerdo con la empresa estadounidense DXC Technology en torno al alcance y la fase uno que cubre los datos del Tribunal de Familia.
El dilema de optar por las Big Tech
El cambio a la nube plantea un dilema; Las grandes tecnologías tienen un alto nivel de seguridad, pero son un imán para los piratas informáticos.
“La fusión de servicios de seguridad en manos de unos pocos proveedores basados en la nube ha proporcionado ganancias de seguridad e, igualmente, incentivos y oportunidades para los actores de amenazas cibernéticas”, dijo el año pasado el Centro Nacional de Seguridad Cibernética.
“Los ciberactores maliciosos probablemente prefieran estos servicios para extraer grandes volúmenes de datos de forma rápida y sin ser detectados.
“El almacenamiento en la nube a menudo incluye almacenamiento escalable y ancho de banda entrante rápido y gratuito.
“Las conexiones entre las organizaciones de Aotearoa Nueva Zelanda y los grandes proveedores de almacenamiento o computación en la nube no son infrecuentes y es posible que inicialmente no generen alarmas”.
Además, el centro advirtió: “Recuerden, la complejidad es enemiga de la seguridad”.
Te Whatu Ora tiene sistemas complejos, como el nuevo sistema nacional de gestión de enfermedades (NDMS) que está construyendo para reemplazar el rastreo de contactos de Covid.
Utiliza la nube de Amazon, no Microsoft, pero “con cualquier sistema complejo y conectado a la red como el NDMS, habrá riesgos de divulgación de información accidental o intencional, como una mala configuración accidental del sistema que exponga datos, o un atacante decidido y sofisticado. quién es capaz de eludir las medidas de seguridad para acceder a información que no debería tener”, según una evaluación de impacto sobre la privacidad en febrero.
Sin embargo, una vez más respaldó a las Big Tech, defendiendo “el uso de grandes proveedores globales de nube establecidos y experimentados que sean responsables de mantener la seguridad de sus entornos. Estos proveedores de nube tienen amplios intereses en mantener la seguridad de sus plataformas y, a menudo, pasan por extensos procesos de certificación regulares”.
En la policía, un informe interno sobre el uso de la nube registró seis “riesgos nuevos y mayores”, pero también dijo que la tecnología antigua tenía riesgos diferentes y que había una “gran cantidad de beneficios potenciales” con la nube.
Otro riesgo es el costo. Los proveedores ofrecieron descuentos, pero “la navegación por los descuentos y la gestión continua de los costos se ha convertido en uno de los aspectos más complejos y que requieren más mano de obra del uso de servicios en la nube, mientras que muchas organizaciones han recurrido a grandes compromisos iniciales a largo plazo que en lugar de aumentar su flexibilidad futura reducen .” “Dijo el informe policial.
