Microsoft kończy chińskie wsparcie techniczne dla systemów chmurowych Departamentu Obrony

Microsoft nie będzie już zezwalać Chińskim pracownikom na świadczenie pomocy technicznej w projektach chmurowych Departamentu Obrony. Decyzja ta jest następstwem dochodzenia ProPublica https://www.propublica.org/article/microsoft-digital-escorts-pentagon-defense-department-china-hackers ujawniając, że firma po cichu polegała na inżynierach z Chin nadzorowanych przez amerykańską "cyfrową eskortę", aby utrzymać działanie wrażliwych systemów Pentagonu.

Dyrektor ds. komunikacji Frank Shaw napisał na X, że Microsoft "wprowadził zmiany (...), aby zapewnić, że żadne zespoły inżynierów z Chin nie zapewniają pomocy technicznej" Pentagonowi. Shaw dodał, że firma będzie nadal dostosowywać swoje protokoły bezpieczeństwa we współpracy z partnerami zajmującymi się bezpieczeństwem narodowym.

Raport ProPublica szczegółowo opisał model eskorty. Jeden z eskortujących powiedział, że obywatele USA posiadający poświadczenia bezpieczeństwa monitorowali pracę zagranicznych inżynierów, ale często brakowało im wiedzy technicznej, aby wykryć złośliwy kod. Wielu monitorujących zarabiało niewiele więcej niż płaca minimalna, nadzorując kolegów o znacznie lepszych umiejętnościach kodowania.

Senator Tom Cotton poprosił Sekretarza Obrony Pete'a Hegsetha o listę wykonawców zatrudniających chiński personel oraz o dokumentację szkoleniową obejmującą program eskorty, ostrzegając, że cybernetyczne zdolności Pekinu należą do najniebezpieczniejszych zagrożeń dla Stanów Zjednoczonych. W odpowiedzi Hegseth zarządził dwutygodniowy przegląd każdej umowy dotyczącej chmury i oświadczył, że "Chiny nie będą już w żaden sposób zaangażowane w nasze usługi w chmurze, ze skutkiem natychmiastowym".

Specjaliści ds. bezpieczeństwa podkreślili, że nawet bez dowodów na szpiegostwo, umożliwienie zagranicznym kontrahentom dotykania tajnej infrastruktury stwarza oczywistą powierzchnię ataku. Wzywali oni Pentagon do przeprowadzenia audytu każdego systemu, do którego miały dostęp zagraniczne zespoły, zauważając, że jedna przeoczona tylna furtka może podważyć inaczej wzmocnioną sieć.

Oczekuje się, że przegląd Pentagonu zakończy się na początku sierpnia. Jego wyniki określą, czy potrzebne są dalsze ograniczenia - lub szersze reformy wykonawców - w celu ochrony obciążeń wojskowych w chmurze.