تم نشر هذا المقال لأول مرة بواسطة ProPublica ، وهي غرفة إخبارية للتحقيق الحائزة على جائزة بوليتزر. اشترك في النشرة الإخبارية القصة الكبرى لتلقي قصص مثل هذه في صندوق الوارد الخاص بك.
في الأسبوع الماضي ، أعلنت Microsoft أنها لم تعد تستخدم فرق الهندسة في الصين لدعم أنظمة الحوسبة السحابية بوزارة الدفاع ، بعد تحقيق ProPublica في هذه الممارسة ، والتي قال خبراء الأمن السيبرانيون يمكن أن يعرض الحكومة للقرصنة والتجسس.
ولكن اتضح أن البنتاغون لم يكن الجزء الوحيد من الحكومة التي تواجه مثل هذا التهديد. لسنوات ، استخدمت Microsoft أيضًا القوى العاملة العالمية ، بما في ذلك الموظفين المقيمين في الصين ، للحفاظ على الأنظمة السحابية للإدارات الفيدرالية الأخرى ، بما في ذلك أجزاء من العدالة والخزانة والتجارة.
لقد حدث هذا العمل في ما يعرف باسم سحابة المجتمع الحكومي ، والتي تهدف إلى الحصول على معلومات غير مصنفة ولكنها حساسة.
وافق برنامج إدارة المخاطر والترخيص الفيدرالي ، وهي منظمة الاعتماد السحابي التابع لحكومة الولايات المتحدة ، على موافقة مجلس التعاون الخليجي على التعامل مع معلومات التأثير “المعتدل” “حيث سيؤدي فقدان السرية والنزاهة والتوافر إلى تأثير سلبي خطير على عمليات الوكالة أو الأصول أو الأفراد.”
استخدم قسم مكافحة الاحتكار التابع لوزارة العدل دول مجلس التعاون الخليجي لدعم وظائف التحقيقات الجنائية والمدنية والتقاضي ، وفقًا لتقرير عام 2022. كما استخدمت أجزاء من وكالة حماية البيئة ووزارة التعليم مجلس التعاون الخليجي.
تقول Microsoft إن مهندسيها الأجانب الذين يعملون في مجلس التعاون الخليجي قد أشرفوا على موظفين مقرهم الولايات المتحدة المعروفين باسم “المرافقين الرقميين” ، على غرار النظام الذي كان عليه في وزارة الدفاع.
ومع ذلك ، أخبر خبراء الأمن السيبراني ProPublica أن الدعم الأجنبي لـ GCC يمثل فرصة للتجسس والتخريب. وقال ريكس بوث ، مسؤول الأمن السيبراني السابق في شركة SAILPOINT: “هناك اعتقاد خاطئ بأنه إذا لم يتم تصنيف البيانات الحكومية ، فلن تتمكن أي ضرر من توزيعه”.
وقال: “مع وجود الكثير من البيانات المخزنة في الخدمات السحابية – وقوة الذكاء الاصطناعى لتحليلها بسرعة – حتى البيانات غير المصنفة يمكن أن تكشف عن رؤى يمكن أن تؤذي المصالح”.
وقال هاري كوكر ، الذي كان مسؤولًا تنفيذيًا كبيرًا في وكالة الاستخبارات المركزية ووكالة الأمن القومي ، إن وكالات الاستخبارات الأجنبية يمكنها الاستفادة من المعلومات التي تم الحصول عليها من أنظمة دول مجلس التعاون الخليجي إلى “السباحة في اتجاه المنبع” إلى أكثر حساسية أو مصنفة. وقال “إنها فرصة لا أستطيع أن أتخيل أن خدمة الاستخبارات لا تتابع”.
اعتبر مكتب مدير المخابرات الوطنية الصين “أكثر تهديدًا إلكترونيًا نشاطًا ومستمرًا للحكومة الأمريكية ، والقطاع الخاص ، وشبكات البنية التحتية الحرجة”. تمنح القوانين هناك سلطة واسعة للمسؤولين في البلاد لجمع البيانات ، ويقول الخبراء إنه من الصعب على أي مواطن أو شركة صينية أن تقاوم طلبًا مباشرًا من قوات الأمن أو إنفاذ القانون.
رفضت Microsoft طلبات المقابلة لهذه القصة. استجابةً للأسئلة ، أصدرت عملاق التكنولوجيا بيانًا أشار إلى أنه سيؤدي إلى وقف استخدامه للدعم القائم على الصين لجهاز مجلس التعاون الخليجي ، كما فعلت مؤخرًا لأنظمة السحابة التابعة لوزارة الدفاع.
وقال البيان: “اتخذت Microsoft خطوات الأسبوع الماضي لتعزيز أمن عروضنا السحابية الحكومية DOD. للمضي قدمًا ، نتخذ خطوات مماثلة لجميع عملائنا الحكوميين الذين يستخدمون سحابة المجتمع الحكومي لضمان أمن بياناتهم”. ورفض متحدث رسمي توضيح ماهية تلك الخطوات.
وقالت الشركة أيضًا إنه خلال الشهر المقبل “ستقوم بإجراء مراجعة لتقييم ما إذا كانت هناك حاجة إلى تدابير إضافية”.
لا تستجيب الإدارات والوكالات الفيدرالية التي وجدت أنها تستخدم GCC لطلبات التعليق.
من المرجح أن تؤدي أحدث الكشف عن استخدام Microsoft للقوى العاملة الصينية لخدمة الحكومة الأمريكية – والاستجابة السريعة للشركة – إلى تأجيج عاصفة نامية سريعة النمو في واشنطن ، حيث يتساءل المشرعون الفيدراليون وإدارة ترامب عن ممارسات الأمن السيبراني العملاق في التكنولوجيا ومحاولة احتواء أي تداعيات أمنية محتملة. وكتب وزير الدفاع بيت هيغسيث في منشور يوم الجمعة الماضي: “لا ينبغي أبدًا السماح للمهندسين الأجانب – من أي بلد ، بما في ذلك الصين بالطبع – بالوصول إلى أنظمة وزارة الدفاع”.
في الأسبوع الماضي ، كشفت Propublica أن Microsoft قد تعتمد منذ عقد من الزمن على العمال الأجانب-بما في ذلك أولئك الذين يقعون في الصين-للحفاظ على أنظمة الكمبيوتر التابعة لوزارة الدفاع ، مع الإشراف من مرافقين رقميين مقرهم الولايات المتحدة.
لكن هؤلاء المرافقين ، وجدنا ، في كثير من الأحيان لا يتمتعون بالخبرة التقنية المتقدمة لنظرائهم الأجانب الذين يتمتعون بمهارات أكثر تقدماً ، مما يترك معلومات حساسة للغاية. رداً على التقارير ، أطلقت هيغسيث مراجعة للممارسة.
وجدت ProPublica أن Microsoft طورت ترتيب المرافقة لتلبية مسؤولي وزارة الدفاع الذين كانوا قلقين بشأن الموظفين الأجانب للشركة ، بالنظر إلى متطلبات المواطنة في الإدارة للأشخاص الذين يتعاملون مع البيانات الحساسة. واصلت Microsoft الفوز بأعمال الحوسبة السحابية الفيدرالية وقالت في تقارير الأرباح أنها تتلقى “إيرادات كبيرة من العقود الحكومية”.
بينما قالت Microsoft إنها ستتوقف عن استخدام الدعم الفني القائم على الصين لوزارة الدفاع ، فقد رفضت الإجابة على أسئلة حول ما يمكن أن يحل محله ، بما في ذلك ما إذا كان الدعم السحابي سيأتي من مهندسين مقرهم الولايات المتحدة ، ورفضت الشركة أيضًا تحديد ما إذا كانت ستستمر في استخدام المرافقة الرقمية.
أكدت Microsoft لـ ProPublica هذا الأسبوع أنه تم استخدام ترتيب مرافقة مماثل في مجلس التعاون الخليجي – وهي ديناميكية فاجأت بعض المسؤولين الحكوميين السابقين وخبراء الأمن السيبراني. وقال بوث: “في عالم رقمي متزايد التعقيد ، يستحق مستهلكي المنتجات السحابية معرفة كيفية معالجة بياناتهم ومن قبل من قبل”. “صناعة الأمن السيبراني تعتمد على الوضوح.”
وقالت Microsoft إنها كشفت عن تفاصيل ترتيب مرافقة GCC في الوثائق المقدمة إلى الحكومة الفيدرالية كجزء من عملية اعتماد Cloud FedRamp. ورفضت الشركة تقديم المستندات إلى ProPublica ، مشيرة إلى المخاطر الأمنية المحتملة التي تكشفها علنًا ، ورفضت أيضًا تحديد ما إذا كان الموقع الذي يتخذ من الصين لموظفي الدعم المقيم فيه ذكرًا على وجه التحديد.
اتصلت ProPublica بمقدمي الخدمات السحابية الرئيسية الآخرين إلى الحكومة الفيدرالية لسؤالهم عما إذا كانوا يستخدمون الدعم القائم على الصين. وقال متحدث باسم Amazon Web Services في بيان إن “AWS لا يستخدم الموظفين في الصين لدعم العقود الفيدرالية”.
وقال متحدث باسم Google في بيان إن “قطاع Google العام لا يحتوي على برنامج مرافقة رقمي. بدلاً من ذلك ، يتم دعم أنظمةه الحساسة من قبل موظفين مدربين تدريباً كاملاً يفيون بموقع حكومة الولايات المتحدة ومتطلبات المواطنة والأمن.” قالت أوراكل إنها “لا تستخدم أي دعم صيني للعملاء الفيدراليين الأمريكيين”.
Renee Dudley هو مراسل ProPublica يركز على التكنولوجيا والأمن السيبراني والأعمال. ساهمت دوريس بيرك ، التي تغطي مخالفات الشركات ، في التقارير.
