Федеральные киберэксперты назвали облако Microsoft «кучей дерьма», но все равно одобрили это утверждение

Проблема в том, что агентствам часто не хватает персонала и ресурсов для проведения тщательных проверок, а это означает, что вся система опирается на претензии облачных компаний и оценки сторонних фирм, которым они платят за их оценку. Критики говорят, что при нынешнем видении FedRAMP потеряла смысл.

«Работа FedRAMP — прикрывать спину американского народа, когда дело доходит до обмена его данными с облачными компаниями», — сказал Милль, бывший чиновник GSA, который также был соавтором меморандума Белого дома от 2024 года. «Когда возникает проблема с безопасностью, общественность не ожидает, что FedRAMP скажет, что они просто продавцы бумаг».

Тем временем в Министерстве юстиции чиновники выясняют, что FedRAMP имел в виду под «неизвестными неизвестными» в GCC High. В прошлом году, например, они обнаружили, что Microsoft полагалась на китайских инженеров для обслуживания своих конфиденциальных облачных систем, несмотря на запрет департамента негражданам США помогать в обслуживании ИТ.

По словам сотрудника юстиции, который разговаривал с нами, чиновники узнали об этой схеме, которая также использовалась в GCC High, не от FedRAMP или Microsoft, а из расследования этой практики ProPublica.

Представитель Microsoft признал, что в письменном плане безопасности для GCC High, который компания представила в Министерство юстиции, не упоминаются иностранные инженеры, хотя он сказал, что Microsoft действительно передала эту информацию чиновникам юстиции до 2020 года. Тем не менее, с тех пор Microsoft прекратила использование китайских инженеров в государственных системах.

Бывшие и нынешние правительственные чиновники обеспокоены тем, какие еще риски могут скрываться в странах Персидского залива и за его пределами.

В GSA сообщили ProPublica, что, как правило, «если есть достоверные доказательства того, что поставщик облачных услуг сделал существенно ложные заявления, тогда этот вопрос соответствующим образом передается в следственные органы».

По иронии судьбы, окончательным арбитром в отношении того, оправдывают ли поставщики облачных услуг или их сторонние оценщики свои требования, является само Министерство юстиции. Недавнее обвинение бывшему сотруднику Accenture предполагает, что компания готова использовать эту власть. В судебном документе Министерство юстиции утверждает, что бывший сотрудник сделал «ложные и вводящие в заблуждение утверждения» о безопасности облачной платформы, чтобы помочь компании «получать и поддерживать прибыльные федеральные контракты». Ее также обвиняют в попытке «влиять и препятствовать» сторонним оценщикам Accenture, скрывая недостатки продукта и призывая других скрывать «истинное состояние системы» во время демонстраций, сообщили в ведомстве. Она не признала себя виновной.

Нет никаких публичных указаний на то, что такое дело было возбуждено против Microsoft или кого-либо, участвовавшего в выдаче разрешения GCC High. Министерство юстиции отказалось от комментариев. Монако, заместитель генерального прокурора, который выступил с инициативой департамента по расследованию случаев мошенничества в сфере кибербезопасности, не ответил на запросы о комментариях.

Она покинула свой пост в правительстве в январе 2025 года. Microsoft наняла ее на должность президента по глобальным делам.

Представитель компании заявил, что прием на работу в Монако соответствовал «всем правилам, положениям и этическим стандартам» и что она «не работает по каким-либо контрактам с федеральным правительством, не контролирует и не участвует в каких-либо наших отношениях с федеральным правительством».

Эта история первоначально появилась на ProPublica. ProPublica — новостное издание, занимающееся расследованиями, удостоенное Пулитцеровской премии. Подпишитесь на рассылку The Big Story, чтобы получать подобные истории на свой почтовый ящик..