Microsoft не раскрыла ключевые детали об использовании китайских инженеров в оборонных работах США

Автор Рене Дадли с исследованиями Дорис Берк через ProPublica,

Microsoft, как поставщик облачных услуг для правительства США, обязана регулярно представлять планы безопасности чиновникам, описывающим, как компания будет защищать федеральные компьютерные системы.

Тем не менее, в 2025 году технический гигант оставил без внимания ключевые детали, включая использование сотрудников, базирующихся в Китае. Главный кибер-противник США, работающий над высокочувствительными системами управления, согласно копии, полученной ProPublica. На самом деле, план Microsoft, рассмотренный ProPublica, не имеет никакого отношения к операциям компании в Китае или иностранным инженерам.

Документ опровергает неоднократные утверждения Microsoft о том, что она раскрыла соглашение федеральному правительству, показывая, что именно было исключено, поскольку она продала свой план безопасности Министерству обороны.. Пентагон расследует использование иностранного персонала ИТ-подрядчиками после сообщений ProPublica в прошлом месяце, которые раскрыли практику Microsoft.

Наша работа подробно описывает, как Microsoft полагается на «цифровое сопровождение» — персонал США с допусками безопасности — для наблюдения за иностранными инженерами, которые поддерживают облачные системы Министерства обороны. Департамент требует, чтобы люди, обрабатывающие конфиденциальные данные, были гражданами США или постоянными жителями.

План безопасности Microsoft, датированный 28 февраля и представленный ИТ-агентству департамента. Различают персонал, прошедший и прошедший фоновые проверки для доступа к облачной платформе Azure Government, и тех, кто этого не сделал. Но он не учитывает тот факт, что работники, которые не прошли проверку, включают граждан, не являющихся гражданами США, проживающих в зарубежных странах. «Всякий раз, когда непроверенный персонал запрашивает доступ к правительству Azure, оператор, который прошел проверку и имеет доступ к правительству Azure, обеспечивает сопровожденный доступ», — говорится в плане компании.

В документе также не раскрывается, что экранированные цифровые эскорты могут быть подрядчиками, нанятыми штатной компанией, а не сотрудниками Microsoft. ProPublica обнаружила, что эскорты, во многих случаях бывшие военнослужащие, отобранные из-за того, что они обладают активными допусками безопасности, часто не имеют опыта, необходимого для наблюдения за инженерами с гораздо более продвинутыми техническими навыками. Microsoft заявила ProPublica, что сопровождение «предоставляется специальное обучение по защите конфиденциальных данных» и предотвращению вреда.

Ссылка Microsoft на модель сопровождения занимает две трети пути в 125-страничном документе, известном как «План безопасности системы». в нескольких абзацах под заголовком «Сопровождаемый доступ». Предполагается, что правительственные чиновники должны оценить эти планы, чтобы определить, являются ли меры безопасности, раскрытые в них, приемлемыми.

В интервью ProPublica Microsoft утверждала, что раскрыла схему цифрового сопровождения и что правительство одобрило ее. Но Министр обороны Пит Хегсет и другие правительственные чиновники выразили шок и возмущение по поводу модели. Возникают вопросы о том, что именно компания раскрыла, пытаясь выиграть и сохранить государственные контракты на облачные вычисления.

Ни одна из сторон, включая Microsoft и Министерство обороны, не прокомментировала упущения в плане безопасности этого года. Но бывшие федеральные чиновники теперь говорят, что наклонность раскрытия, о котором ProPublica сообщает впервые, может объяснить этот разрыв и, вероятно, способствовала принятию правительством этой практики. Ранее Microsoft сообщила ProPublica, что ее документация по безопасности для правительства, начиная с прошлых лет, содержала аналогичные формулировки в отношении сопровождения.

Бывший директор по информации Министерства обороны Джон Шерман, который сказал, что он не знаком с процессом цифрового сопровождения до того, как ProPublica сообщила об этом. a) "случай, когда продавец не задает идеальный вопрос с указанием всех возможных запрещенных условий. "

В соединенном В посте о расследовании ProPublica Шерман сказал, что такой вопрос «выкурил бы эту сумасшедшую практику цифрового сопровождения». Его пост продолжал: «Доктора обороны нельзя разоблачать таким образом. Компания должна признать, что это было неправильно, и взять на себя обязательство не делать вещи, которые не проходят проверку на здравый смысл. "

Эксперты заявили, что разрешение китайскому персоналу выполнять техническую поддержку и техническое обслуживание правительственных компьютерных систем США создает серьезные риски для безопасности.. Законы Китая предоставляют чиновникам страны широкие полномочия по сбору данных, и эксперты говорят, что любому китайскому гражданину или компании трудно осмысленно противостоять прямому запросу со стороны сил безопасности или правоохранительных органов. Управление директора национальной разведки назвало Китай «самой активной и постоянной киберугрозой правительству США, частному сектору и критически важным инфраструктурным сетям». "

После сообщения ProPublica в прошлом месяце Microsoft заявила, что перестала использовать китайских инженеров для поддержки облачных вычислительных систем Министерства обороны. Компания не ответила напрямую на вопросы ProPublica о плане безопасности и вместо этого выступила с заявлением в защиту практики сопровождения.

"Сопровождаемые сессии тщательно контролировались и дополнялись мерами по снижению уровня безопасности.- говорится в заявлении. «Основываясь на полученных нами отзывах, мы обновили наши процессы, чтобы предотвратить любое участие инженеров из Китая. "

Сенатор Том Коттон, республиканец, который возглавляет специальный комитет Сената по разведке, написал Хегсету в прошлом месяце, предполагая, что Министерству обороны необходимо усилить надзор за своими подрядчиками и что текущие процессы «не учитывают растущую китайскую угрозу». "

По мере того, как мы узнаем больше об этих «цифровых эскортах» и других неразумных и возмутительных практиках, используемых некоторыми партнерами из Министерства обороны, Очевидно, что Конгрессу и Конгрессу необходимо принять дальнейшие меры.- написал Коттон. Он продолжил: «Мы должны внедрить протоколы и процессы для быстрого, эффективного и безопасного внедрения инновационных технологий. "

С 2011 года правительство использовало Федеральную программу управления рисками и разрешениями, известную как FedRAMP, для оценки практики безопасности коммерческих компаний, которые хотят продавать облачные услуги федеральному правительству. Министерство обороны также имеет свои собственные руководящие принципы, которые включают требование гражданства для людей, обрабатывающих конфиденциальные данные.

Как FedRAMP, так и Министерство обороны полагаются на «сторонние организации по оценке», чтобы оценить, соответствуют ли поставщики требованиям правительства по облачной безопасности. Хотя правительство считает эти организации «независимыми», они нанимаются и оплачиваются непосредственно оцениваемой компанией. Microsoft, например, сообщила ProPublica, что она привлекла компанию Kratos, чтобы провести ее через первоначальные процессы авторизации FedRAMP и Министерства обороны и обрабатывать ежегодные оценки после выигрыша федеральных контрактов.

На своем веб-сайте Kratos называет себя «руководящим светом» для организаций, стремящихся выиграть правительственные облачные контракты, и говорит, что он «повышает историю успешных оценок безопасности». "

В заявлении для ProPublica Кратос сказал, что его работа определяет, «точно ли задокументированы средства контроля безопасности», но компания не сказала, сделала ли Microsoft это в плане безопасности, который она представила ИТ-агентству Министерства обороны.

Microsoft сообщила ProPublica, что она провела демонстрации процесса сопровождения в Кратосе, но не напрямую федеральным чиновникам. В плане безопасности нет никаких ссылок на такую демонстрацию. Кратос не ответил на вопросы о том, знают ли его оценщики, что непроверенный персонал может включать иностранных работников.

Бывший сотрудник Microsoft, который работал с Kratos через несколько аккредитаций FedRAMP, сравнил роль Microsoft в этом процессе с «приведением свидетеля» к желаемому результату.. «Правительство одобрило то, что мы заплатили Кратосу, чтобы он сказал правительству одобрить. Вы платите за результат, который хотите, - сказал бывший сотрудник, который попросил анонимность, чтобы обсудить конфиденциальное разбирательство.

Кратос заявил, что «яростно отрицает характеристику из неназванного источника, что услуги Кратоса оплачиваются за игру». В своем заявлении Кратос сказал, что он был «аккредитован и проверен независимой некоммерческой отраслевой группой» по факторам, которые «включают беспристрастность, компетентность и независимость». "

«Kratos нанимает и удерживает самых технически продвинутых, сертифицированных экспертов по безопасности и технологиям», — говорится в заявлении компании, добавив, что ее персонал «безупречен в своей работе». "

Со своей стороны, Microsoft заявила, что наем Кратоса был просто частью процесса оценки облачных вычислений. «В соответствии с требованиями FedRAMP, Microsoft полагается на этого сертифицированного эксперта для проведения независимых оценок от нашего имени под наблюдением FedRAMP», — говорится в заявлении Microsoft.

Тем не менее, критики не согласны с самим процессом FedRAMP, заявляя, что организация компании, выплачивающей своим аудиторам, представляет собой неотъемлемый конфликт интересов. Один бывший чиновник из Администрации общих служб США, в которой находится FedRAMP, сравнил его с наймом ресторана и оплатой собственного инспектора здравоохранения, а не с городом.

GSA не ответила на запросы о комментариях.

Агентство оборонных информационных систем, ИТ-агентство Министерства обороны, рассмотрело и приняло план безопасности Microsoft. Среди участников были высокопоставленные чиновники DISA Роджер Гринвелл и Джеки Снуфер, по словам людей, знакомых с ситуацией. Представители DISA и Министерства обороны не ответили на просьбу ProPublica дать им интервью.

Представитель DISA отказался комментировать эту статью, заявив, что «любые ответы будут поступать от Управления министра обороны по связям с общественностью. "

Офис министра обороны не ответил на вопросы о том, понимают ли Гринвелл и Снуфер или кто-либо из DISA, что китайские сотрудники Microsoft будут поддерживать облако Министерства обороны. Пресс-секретарь также не ответил напрямую на вопросы о плане безопасности системы Microsoft, но в заявлении по электронной почте говорится, что информация в таких планах считается собственностью. «Любой процесс, который не соответствует» ограничениям департамента, запрещающим иностранцам доступ к чувствительным системам департамента, «представляет неприемлемый риск для инфраструктуры Министерства обороны». "

Это говорит, Офис оставил открытой дверь для дальнейшего использования иностранных инженеров с цифровым сопровождением для «поддержки инфраструктуры», заявив, что это «может считаться приемлемым риском». в зависимости от факторов, которые включают в себя страну происхождения иностранного гражданина, сопровождаемого. В ведомстве заявили, что в таких сценариях иностранные работники будут иметь «только обзорные» возможности, а не «практический» доступ. Помимо Китая, Microsoft работает в Индии, Европейском союзе и других странах мира.

В заявлении для ProPublica в пятницу офис Хегсета заявил, что расследование Пентагона в отношении использования иностранным персоналом технологических компаний завершено, и мы определили ряд возможных действий, которые может предпринять министерство. Представитель отказался описать эти действия или сказать, будет ли департамент выполнять их. Неясно, был ли план безопасности Microsoft или роль DISA в его утверждении частью обзора.

«Как и во всех договорных отношениях, Департамент работает непосредственно с поставщиком для решения проблем, включая те, которые стали известны благодаря процессу цифрового сопровождения Microsoft», — говорится в заявлении офиса Хегсета.

h/t Capital.news