Microsoft ist als Anbieter von Cloud -Diensten für die US -Regierung verpflichtet, Sicherheitsplänen regelmäßig an Beamte vorzulegen, die beschreiben, wie das Unternehmen föderale Computersysteme schützen wird.
In einer Einreichung von 2025 beim Verteidigungsministerium ließ der Tech -Riese jedoch die wichtigsten Details aus, einschließlich der Verwendung von Mitarbeitern in China, dem Top -Cyber -Gegner der USA, um an hochempfindlichen Abteilungssystemen zu arbeiten, so eine von ProPublica erhaltene Kopie. Tatsächlich bezieht sich der von ProPublica angesehene Microsoft-Plan nicht auf die in China ansässigen Operationen oder ausländischen Ingenieure des Unternehmens.
Das Dokument glättet die wiederholten Behauptungen von Microsoft, dass es der Bundesregierung die Vereinbarung offenbarte, und zeigte genau, was ausgelassen wurde, als es seinen Sicherheitsplan an das Verteidigungsministerium verkaufte. Das Pentagon hat den Einsatz ausländischer Mitarbeiter durch IT -Auftragnehmer nach der Berichterstattung durch ProPublica im letzten Monat untersucht, der die Praxis von Microsoft enthüllte.
In unserer Arbeit wurde festgestellt, wie sich Microsoft auf „digitale Escorts“ – US -Mitarbeiter mit Sicherheitsüberprüfungen – angewiesen hat, um die ausländischen Ingenieure zu überwachen, die die Cloud -Systeme des Verteidigungsministeriums unterhalten. Die Abteilung verlangt, dass Menschen, die sensible Daten bearbeiten, US -Bürger oder ständige Bewohner sind.
Der Sicherheitsplan von Microsoft vom 28. Februar und übermittelt der IT -Agentur der Abteilung zwischen Mitarbeitern, die Hintergrundvorführungen unterzogen haben, um auf seine Azure Government Cloud -Plattform zuzugreifen, und diejenigen, die dies nicht getan haben. Aber es lässt die Tatsache aus, dass Arbeitnehmer, die nicht untersucht wurden, nicht US-amerikanische Bürger, die im Ausland ansässig sind. “Immer wenn nicht geprägte Personal den Zugang zu Azure Government fordert, bietet ein Betreiber, der überprüft wurde und Zugang zu Azure Government hat, einen escortierten Zugang”, sagte das Unternehmen in seinem Plan.
Das Dokument gibt außerdem nicht bekannt, dass die überprüften digitalen Escorts von einem Personalunternehmen, nicht von Microsoft -Mitarbeitern eingestellt werden können. ProPublica stellte fest, dass Escorts in vielen Fällen, in denen das ehemalige Militärpersonal ausgewählt wurde, weil sie aktive Sicherheitsüberprüfungen besitzen, häufig das Fachwissen fehlt, das für die Überwachung von Ingenieuren mit weitaus fortgeschritteneren technischen Fähigkeiten erforderlich ist. Microsoft hat ProPublica mitgeteilt, dass Escorts „spezifische Schulungen zum Schutz der sensiblen Daten anbieten“ und Schäden verhindern.
Der Verweis von Microsoft auf das Escort-Modell kommt zwei Drittel des Weges in das 125-seitige Dokument, das als „Systemsicherheitsplan“ bezeichnet wird, in mehreren Absätzen unter der Überschrift „Escorted Access“. Regierungsbeamte sollen diese Pläne bewerten, um festzustellen, ob die darin enthaltenen Sicherheitsmaßnahmen akzeptabel sind.
In Interviews mit ProPublica hat Microsoft behauptet, dass es die digitale Escorting -Vereinbarung im Plan offengelegt habe und dass die Regierung dies genehmigt habe. Der Verteidigungsminister Pete Hegseth und andere Regierungsbeamte haben jedoch Schock und Empörung über das Modell zum Ausdruck gebracht und Fragen darüber aufgeworfen, was genau das Unternehmen offenbarte, als es versuchte, staatliche Cloud -Computing -Verträge zu gewinnen und zu halten.
Keiner der beteiligten Parteien, einschließlich Microsoft und dem Verteidigungsministerium, kommentierte die Auslassungen im diesjährigen Sicherheitsplan. Aber ehemalige Bundesbeamte sagen nun, dass die Schrägheit der Offenlegung, die ProPublica zum ersten Mal meldet, erklären könnte, dass die Trennung der Regierung beigetragen hat und wahrscheinlich zur Akzeptanz der Regierung der Praxis beigetragen hat. Microsoft teilte ProPublica zuvor mit, dass ihre Sicherheitsdokumentation für die Regierung, die Jahre zurückging, ähnliche Formulierungen in Bezug auf Escorts enthielt.
Der ehemalige Informationsbeauftragte des Verteidigungsministeriums, John Sherman, der sagte, er sei mit dem digitalen Escorting -Prozess vor der Berichterstattung von ProPublica nicht vertraut, nannte es einen Fall, dass er dem Verkäufer nicht die perfekte Frage gestellt hat, wobei jeder denkbare verbotene Zustand geschrieben wurde. “
In einer LinkedIn -Post über ProPublicas Untersuchung sagte Sherman, dass eine solche Frage “diese verrückte Praxis von” digitalen Escorts “geraucht hätte. Sein Beitrag fuhr fort:” Der DOD kann nicht auf diese Weise entlarvt werden. Das Unternehmen muss zugeben, dass dies falsch war, und verpflichten sich, keine Dinge zu tun, die keinen gesunden Menschenverstand bestehen. “
Experten haben gesagt, dass das in China ansässige Mitarbeiter in China die technische Unterstützung und Wartung für Computersysteme der US-Regierung durchführen können. Die Gesetze in China erteilen den Beamten des Landes die breite Befugnis, Daten zu sammeln, und Experten sagen, dass es für jeden chinesischen Staatsbürger oder Unternehmen schwierig ist, sich einem direkten Antrag von Sicherheitskräften oder Strafverfolgungsbehörden sinnvoll zu widersetzen. Das Büro des Direktors des Nationalen Geheimdienstes hat China als „aktivste und anhaltendste Cyber-Bedrohung für US-Regierung, Privatsektor und kritische Infrastrukturnetzwerke“ eingestuft.
Nach der Berichterstattung von ProPublica im letzten Monat sagte Microsoft, dass es aufgehört habe, in China ansässige Ingenieure zur Unterstützung des Verteidigungsministeriums Cloud Computing-Systeme zu verwenden. Das Unternehmen antwortete nicht direkt auf Fragen von ProPublica zum Sicherheitsplan und gab stattdessen eine Erklärung ab, in der die Escort -Praxis verteidigt wurde.
“Escortierte Sitzungen wurden durch Sicherheitsminderungen fest überwacht und ergänzt”, heißt es in der Erklärung. “Basierend auf dem Feedback, das wir erhalten haben, haben wir jedoch unsere Prozesse aktualisiert, um eine Beteiligung von in China ansässigen Ingenieuren zu verhindern.”
Senator Tom Cotton, ein Republikaner, der den Vorsitz des Auswahlausschusses des Senats ausgewählt hat, schrieb im vergangenen Monat an Hegseth und schlug vor, dass das Verteidigungsministerium die Aufsicht über seine Auftragnehmer stärken müsse und dass die aktuellen Prozesse „die wachsende chinesische Bedrohung nicht berücksichtigen“.
“Wenn wir mehr über diese” digitalen Escorts “und andere unklug – und empörende – Praktiken einiger DOD -Partner erfahren, ist klar, dass die Abteilung und der Kongress weitere Maßnahmen ergreifen müssen”, schrieb Cotton. Er fuhr fort: „Wir müssen die Protokolle und Prozesse einrichten, um innovative Technologien schnell, effektiv und sicher einzusetzen.“
Seit 2011 nutzt die Regierung das als Fedramp bezeichnete Bundesrisiko- und Autorisierungsmanagementprogramm, um die Sicherheitspraktiken von Handelsunternehmen zu bewerten, die Cloud -Dienste an die Bundesregierung verkaufen möchten. Das Verteidigungsministerium hat auch seine eigenen Richtlinien, darunter die Staatsbürgerschaftsanforderung für Personen, die sensible Daten bearbeiten.
Sowohl Fedramp als auch das Verteidigungsministerium stützen sich auf „Bewertungsorganisationen Dritter“, um zu bewerten, ob Anbieter den Cloud -Sicherheitsanforderungen der Regierung erfüllen. Während die Regierung diese Organisationen als „unabhängig“ betrachtet, werden sie von dem Unternehmen, das bewertet wird, eingestellt und direkt bezahlt. Zum Beispiel teilte Microsoft ProPublica mit, dass es ein Unternehmen namens Kratos einbezogen habe, um es durch die ersten Autorisierungsprozesse von Fedramp und Verteidigungsministerium zu schirmen und nach dem Gewinn des Bundesverträges jährliche Bewertungen zu bearbeiten.
Auf seiner Website nennt sich Kratos das „Leitlicht“ für Organisationen, die staatliche Cloud -Verträge gewinnen möchten, und sagte, es gebe “eine Geschichte der Durchführung erfolgreicher Sicherheitsbewertungen”.
In einer Erklärung gegenüber ProPublica sagte Kratos, dass seine Arbeit feststellt, dass „Sicherheitskontrollen genau dokumentiert werden“, aber das Unternehmen sagte nicht, ob Microsoft dies in dem Sicherheitsplan der IT -Agentur des Verteidigungsministeriums getan habe.
Microsoft teilte ProPublica mit, dass es Kratos Demonstrationen des Escort -Prozesses, aber nicht direkt an Bundesbeamte gegeben habe. Der Sicherheitsplan bezieht sich nicht auf eine solche Demonstration. Kratos antwortete nicht auf Fragen darüber, ob seine Gutachter wissen, dass nicht gescreentes Personal ausländische Arbeitnehmer einbeziehen konnten.
Ein ehemaliger Mitarbeiter von Microsoft, der mit Kratos über mehrere Fedramp -Akkreditierungen zusammengearbeitet hat, verglich die Rolle von Microsoft im Prozess, um den Zeugen zu dem gewünschten Ergebnis zu führen. “Die Regierung genehmigte das, was wir Kratos bezahlt haben, um der Regierung zu genehmigen.
Kratos sagte, es verweigert “die Charakterisierung einer unbenannten Quelle vehement, dass die Dienste von Kratos für das Spiel gelten”. In seiner Erklärung sagte Kratos, dass es “von einer unabhängigen, gemeinnützigen Branchengruppe akkreditiert und geprüft wurde”, um „Unparteilichkeit, Kompetenz und Unabhängigkeit zu umfassen“.
“Kratos stellt und behält die technisch hoch entwickelten, zertifizierten Sicherheits- und Technologieexperten ein”, sagte das Unternehmen und fügte hinzu, dass sein Personal “in ihrer Arbeit überlegt”.
Microsoft sagte seinerseits, dass die Einstellung von Kratos einfach Teil des Cloud -Bewertungsprozesses der Regierung war. “Nach Ansicht von Fedramp ist Microsoft auf diesen zertifizierten Beurteiler angewiesen, unabhängige Bewertungen in unserem Namen nach der Aufsicht von Fedramp durchzuführen”, sagte Microsoft in seiner Erklärung.
Kritiker haben jedoch Probleme mit dem Fedramp -Prozess selbst und sagen, dass die Vereinbarung eines Unternehmens, das seinen Wirtschaftsprüfer zahlt, einen inhärenten Interessenkonflikt darstellt. Ein ehemaliger Beamter der US -amerikanischen General Services Administration, in dem Fedramp untergebracht war, verglich es mit einem Restaurant, das ein mietendes Restaurant einstellt und für seinen eigenen Gesundheitsinspektor und nicht für die Stadt bezahlt hat.
Die GSA antwortete nicht auf Anfragen nach Kommentaren.
Die Agentur der Verteidigungsinformationssysteme, die IT -Agentur des Verteidigungsministeriums, überprüfte und akzeptierte den Sicherheitsplan von Microsoft. Unter den beteiligten DISA -Beamten Roger Greenwell und Jackie Snouffer waren laut Laut Leuten, die mit der Situation vertraut waren. Weder antworteten telefonische Nachrichten, die einen Kommentar suchten, und Sprecher des Disa- und Verteidigungsministeriums reagierten nicht auf ProPublicas Anfrage, sie zu interviewen.
Ein DISA -Sprecher lehnte eine Stellungnahme zu diesem Artikel ab und sagte: „Alle Antworten werden vom Amt des Verteidigungsministers öffentliche Angelegenheiten stammen.“
Das Büro des Verteidigungsministers antwortete nicht auf Fragen, ob Greenwell und Snouffer oder jemand bei DISA verstanden, dass die in Microsoft ansässigen Mitarbeiter von Microsoft die Cloud des Verteidigungsministeriums unterstützen würden. Ein Sprecher antwortete auch nicht direkt auf Fragen zum Microsoft -Systemsicherheitsplan, aber in einer E -Mail -Erklärung heißt es, dass die Informationen in solchen Plänen als proprietär angesehen werden. Der Sprecher stellte fest, dass „jeder Prozess, der die Abteilungsbeschränkungen nicht entspricht“, die Ausländer den Zugriff auf sensible Abteilungssysteme darstellen, „ein inakzeptables Risiko für die DOD -Infrastruktur darstellt“.
Das Büro ließ jedoch die Tür für die fortgesetzte Nutzung von Ingenieuren aus ausländischem Ingenieuren mit digitalen Escorts für „Infrastrukturunterstützung“ offen, und erklärte, dass es „als akzeptables Risiko angesehen werden kann“, abhängig von Faktoren, zu denen „das Herkunftsland der ausländischen Nationalen“ einbezogen wird. Die Abteilung sagte, in solchen Szenarien hätten ausländische Arbeitnehmer “nur” Ansichten “und keinen” praktischen “Zugang. Zusätzlich zu China hat Microsoft in Indien, der Europäischen Union und anderswo auf der ganzen Welt betrieben.
In einer Erklärung gegenüber ProPublica am Freitag teilte Hegseths Büro mit, dass die Untersuchung des Pentagon in die Verwendung ausländischer Personal durch Tech -Unternehmen “vollständig ist und wir eine Reihe möglicher Maßnahmen ermittelt haben, die die Abteilung ergreifen könnte”. Ein Sprecher lehnte es ab, diese Handlungen zu beschreiben oder zu sagen, ob die Abteilung sie durchführen würde. Es ist unklar, ob der Sicherheitsplan von Microsoft oder die Rolle von DISA bei der Genehmigung eines Teils der Überprüfung war.
“Wie bei allen vertraglichen Beziehungen arbeitet die Abteilung direkt mit dem Anbieter zusammen, um Bedenken auszuräumen und diejenigen, die mit dem Microsoft Digital Escort -Prozess ans Licht gekommen sind, einzubeziehen”, sagte Hegseths Büro in der Erklärung.
#Microsoft #gab #USamerikanische #Beamte #der #China #ansässigen #Ingenieure #keine #wichtigen #Details #bekannt #wie #RecordProPublica
