گزارش جنجالی: مایکروسافت به مهندسان مستقر در چین اجازه دسترسی به سیستم‌های حساس را داده است

یک گزارش تحقیقاتی جدید و جنجالی ادعا می‌کند که شرکت مایکروسافت به صدها مهندس مستقر در چین اجازه دسترسی به اطلاعات حساس و سیستم‌های داخلی خود، از جمله کدهای منبع (Source Code) نرم‌افزارهای کلیدی را داده است. این گزارش که توسط سازمان غیرانتفاعی ProPublica منتشر شده، نگرانی‌های عمیقی را در مورد امنیت ملی ایالات متحده و پتانسیل جاسوسی توسط دولت چین برانگیخته و واکنش‌های گسترده‌ای را در پی داشته است.

ادعاهای اصلی گزارش چیست؟

بر اساس این گزارش تحقیقی، مایکروسافت برای سال‌ها به مهندسان شاغل در چین، دسترسی‌های سطح بالایی اعطا کرده است که شامل موارد زیر می‌شود:

• دسترسی به کدهای منبع: این مهندسان به پایگاه داده حاوی کدهای منبع محصولات اصلی مایکروسافت، از جمله ویندوز، دسترسی داشته‌اند.

• دسترسی به سیستم‌های احراز هویت: گزارش ادعا می‌کند که برخی از این مهندسان می‌توانستند به سیستم‌های مدیریت هویت و دسترسی مایکروسافت (مانند Azure Active Directory) دسترسی داشته باشند.

• نظارت ناکافی: این گزارش مایکروسافت را متهم می‌کند که نظارت کافی بر فعالیت‌های این مهندسان نداشته و ریسک‌های امنیتی ناشی از قوانین ملی اطلاعات چین را نادیده گرفته است.

ریسک‌های امنیتی این اقدام چیست؟

نگرانی اصلی از این واقعیت ناشی می‌شود که بر اساس قوانین امنیت ملی چین، دولت این کشور می‌تواند هر فرد یا شرکتی را ملزم به همکاری با نهادهای اطلاعاتی خود کند. این موضوع ریسک‌های جدی زیر را به همراه دارد:

• جاسوسی و سرقت اطلاعات: امکان سرقت اطلاعات حساس دولتی و شرکتی مشتریان مایکروسافت.

• کارگذاشتن درب‌های پشتی (Backdoors): پتانسیل برای افزودن کدهای مخرب یا درهای پشتی به محصولات مایکروسافت که می‌تواند در آینده برای حملات سایبری مورد استفاده قرار گیرد.

• افشای آسیب‌پذیری‌ها: مهندسان می‌توانند آسیب‌پذیری‌های امنیتی را پیش از کشف عمومی، به دولت چین گزارش دهند.

واکنش‌ها به این گزارش چه بوده است؟

• پاسخ مایکروسافت: مایکروسافت در واکنش به این گزارش اعلام کرده است که یک برنامه امنیت داخلی قدرتمند دارد و تمام مهندسان، صرف‌نظر از موقعیت جغرافیایی‌شان، تحت بررسی‌های دقیق قرار می‌گیرند. این شرکت تأکید کرده که از یک مدل "اعتماد صفر" (Zero Trust) استفاده می‌کند و دسترسی‌ها به صورت محدود و بر اساس نیاز تعریف می‌شوند تا از سوءاستفاده جلوگیری شود.

• واکنش مقامات آمریکایی: چندین تن از مقامات و قانون‌گذاران آمریکایی، از جمله اعضای کمیته‌های اطلاعاتی و امنیت داخلی کنگره، این گزارش را "بسیار نگران‌کننده" خوانده و خواستار تحقیقات فوری از سوی دولت در مورد شیوه‌های امنیتی مایکروسافت و قراردادهای این شرکت با نهادهای دولتی شده‌اند.

چرا این خبر مهم است؟

اهمیت این خبر فراتر از یک گزارش ساده است و چندین موضوع حیاتی را در بر می‌گیرد:

1. اعتماد به زنجیره تأمین نرم‌افزار: این موضوع، اعتماد به امنیت محصولات نرم‌افزاری را که توسط تیم‌های بین‌المللی توسعه داده می‌شوند، به طور جدی به چالش می‌کشد. این سؤال مطرح می‌شود که آیا شرکت‌های بزرگ آمریکایی می‌توانند امنیت مشتریان دولتی و حساس خود را در یک مدل کسب‌وکار جهانی تضمین کنند؟

2. تنش‌های ژئوپلیتیکی: این گزارش به تنش‌های فزاینده فناوری و امنیت سایبری بین ایالات متحده و چین دامن می‌زند و می‌تواند منجر به اعمال محدودیت‌های بیشتر بر روی شرکت‌های فناوری شود.

3. مسئولیت‌پذیری غول‌های فناوری: این حادثه فشارها بر روی شرکت‌های بزرگ فناوری را برای شفاف‌سازی در مورد شیوه‌های امنیتی و مدیریت ریسک‌های مرتبط با فعالیت در کشورهای رقیب، افزایش می‌دهد.