تم القبض على Microsoft مع سروالها في معرض رائع من قبل ProPublica الذي قال إن جزءًا كبيرًا من نظام الكمبيوتر السحابي التابع لوزارة الدفاع كان يديره المهندسون الصينيون ومراقبته ما يسمى مرافقين رقميين يبحثون عن أي حل وسط لمعلومات DOD. الآن ، عندما اتصل السناتور توم كوتون باهتمام وزير الدفاع هيغسيث بالفوضى ، سحبت Microsoft المهندسين الصينيين وتظاهرت أن كل شيء تم إصلاحه.
لا شيء يمكن أن يكون أبعد من الحقيقة.
مرة أخرى في أبريل 2018 ، شاركت في معهد هدسون في مراجعة لوحة خاصة لخطة بنتاغون آنذاك لنقل جميع قواعد بيانات الكمبيوتر التراثية إلى سحابة كمبيوتر واحدة. (شاهد الفيديو الكامل هنا.) كانت خطة البنتاغون هي إغلاق أنظمة الكمبيوتر القديمة بعد أن تم تشغيل السحابة. ادعت DOD أن السحابة ستكون أسهل في الحفاظ عليها من عدد من أجهزة الكمبيوتر المنفصلة ، وأكثر أمانًا.
مشكلة وزارة الدفاع هي أنها قامت بعمل ضعيف في الأمن السيبراني لسنوات-وأن مقاولي وزارة الدفاع والمقاولين من الباطن ، الذين يعملون تحت إشراف إداري ضعيف ، كان أسوأ.
كانت هناك العديد من الفضائح حيث استمر ما يسمى “التهديد الإلكتروني المتقدم” في أن يزداد سوءًا.
التهديد السيبراني المستمر هو الذي يعمل في الظل لفترات طويلة من الوقت ويسرق كميات هائلة من المعلومات الحساسة. في وقت اقتراح DOD Cloud ، كانت أجهزة الكمبيوتر الحكومية والمقاول تتعرض للهجوم المستمر من المتسللين. بعض هؤلاء المتسللين كانوا فرقًا من المشغلين الصينيين والروس ، وآخرون جاءوا من المتسللين المحليين والدوليين الذين يمكنهم بيع المعلومات المكتسبة لمختلف مقدمي العروض ، بمن فيهم الإرهابيون. لا يزال آخرون من دول مارقة لا تزال تشارك بعمق في القرصنة ، بما في ذلك من كوريا الشمالية وإيران.
في نفس الوقت تقريبًا ، قرر DOD أن حوالي 50 جيجا بايت أو أكثر من بيانات طائرة F-35 Stealth Fighter قد اختفت. نحن نعرف أين ذهبت: الصين. ونحن نعرف النتيجة: كانت الصين قادرة على تقديم طائرة مقاتلة خلسة في وقت قياسي.
اختفت بيانات طائرة F-35 F-35 Stealth. نحن نعرف أين ذهبت: الصين. ونحن نعرف النتيجة: كانت الصين قادرة على تقديم طائرة مقاتلة خلسة في وقت قياسي.
بالطبع ، لم تكن معلومات التصميم والتفاصيل الأخرى التي مكنت الصين من النجاح: تقوم الصين أيضًا بالتجسس الصناعي بتعمق ، بحيث يمكن للوكلاء اختراق المقاولين الأمريكيين والمقاولين من الباطن وتسلل شبكات الموردين الخاصة بهم.
تصنف الولايات المتحدة بعض المعلومات الحساسة ، ولكن في الواقع أقل بكثير من واحد قد يفكر. هذا يمكّن المقاولين من العمل دون عبء العمال الذين تم تطهيرهم. لقد رأينا العديد من حالات الأشخاص الذين اشتعلتون في الشركات الحرجة التي تهب المكونات التي تحتاجها الصين إما لمزيد من الاستغلال أو الاستخدام.
فيما يتعلق بالأمان السحابي في عام 2018 ، قلت:
وضعت DOD معاييرها الخاصة ، إذا كنت تريد أن تسميها ، أو الإرشادات ، إذا كنت ترغب في الاتصال بهم ، على ما يتوقع أن يبدو عليه أمان النظام الذي سيشتريه. وبشكل أساسي ما فعلوه ، في معظم الأحيان ، شيئان. الأول ، بالطبع ، هو التأكد من أن الموظفين الذين يعملون في البيئة السحابية التي يتم اقتراحها هم موظفون أمريكيون.
هذا ، بالمناسبة ، يخلق مشكلة كبيرة في القدرة على العثور على ما يكفي من الموظفين الأمريكيين الذين تم تطهيرهم للقيام بهذه المهمة. ولست متأكدًا من أنها متوفرة بسهولة. لكن هذا بالتأكيد تحد ، دعنا نقول ، هذا موجود. والثاني هو اتخاذ بعض الإجراءات التي يتم استخدامها لتأمين أجهزة الكمبيوتر والخوادم والمعدات الموجودة في وزارة الدفاع وتطبيقها على السحابة.
لقد فهمنا ، في عام 2018 ، أن مشكلة الأمن السحابية من المفترض حلها باستخدام الموظفين الأمريكيين الذين تم وضعهم في الأمان فقط. يبدو أن التعهد قد انتهك من قبل وزارة الدفاع ، التي سمحت للعمال الأجانب بدعم وخدمة سحابة DOD طالما أنها “خاضعة للإشراف”. يطلق على المشرفين اسم “مرافقة رقمية”. يتحول العمال ، حتى الآن على الأقل في قضية Microsoft ، إلى صينية.
يعمل المهندسون الصينيون عن بعد في الصين ، وربما يكون من المفترض أن يراقب المرافقون الرقميون عمل المهندسين الصينيين ، عن بُعد أيضًا. وبعبارة أخرى ، فإن ما يسمى بالمرافقة افتراضية ، لا يجلسون بجانب المشغلين الصينيين.
نحن لا نعرف أي شيء عن مؤهلات المرافقين الرقميين ، أو حتى إذا فهموا شبكة السحابة التي من المفترض أنها تحميها. سيتعين عليهم فهم البرنامج السحابي الفعلي والمعالجات الأساسية ، وسيحتاجون إلى اتباع إرشادات حول ما قد يشكل أي نوع من الخرق للبروتوكولات أو البيانات من قبل الصينيين.
يمكن لأي مشغل ذكي في الصين معرفة كيفية إدراج البرامج الضارة في السحابة ، ولكن في الواقع نظرًا لوجودها بدوام كامل للوصول إليها على أي حال ، لا يوجد سبب كبير لهم للقيام بذلك. بدلاً من ذلك ، يمكنهم فقط امتصاص جميع البيانات وتشغيلها من خلال أجهزة الكمبيوتر الفائقة الخاصة بهم ، أو حتى أحدث أجهزة الكمبيوتر الكمومية الخاصة بهم. تقود الصين العالم في أجهزة الكمبيوتر الكم ، وإذا كانت تعمل بالفعل ، فيمكنها تحطيم رموز التشفير في ثوانٍ.
من المفترض أن يتم تشفير معلومات DOD في السحابة ، أو على الأقل قيل لنا ذلك. لكن هذا قد يكون مجرد خارجي للنظام للحفاظ على المتسللين العشوائيين. قد لا يتم تشفير المعلومات الفعلية بالفعل. هذا يعني وجود مكافأة محتملة للصين وخطر كبير للأمن الأمريكي.
كان من المفترض أن يكون عقد DOD الأصلي لمقاول واحد. ومع ذلك ، دفعت الشكاوى المقدمة من الصناعة والجمهور – ومن خبراء الأمن ، كما هو الحال في فريقنا المناقشة – القسم لدعم أكثر من تطبيق سحابي واحد (وربما سمحت أيضًا ببعض النسخ الاحتياطي إذا تعطلت عملية سحابة ، لأي سبب من الأسباب ، على الرغم من أن DOD لم تخبرنا بأي نسخة احتياطية).
يطرح السؤال: إذا كانت Microsoft تستخدم المهندسين الصينيين ، فهل يقوم مقدمو الخدمات السحابية الآخرين بنفس الشيء ، وهل لديهم مرافقون رقميون ، أو شيء مثلهم؟
إلى جانب Microsoft ، كان المشاركون الآخرون في عقد DOD Cloud ، في البداية مقابل 9 مليارات دولار ، هم Amazon و Google و Oracle. كلهم يقومون بأعمال تجارية في الصين. أوراكل لديها مكاتب في بكين. أمازون لديها مكاتب في بكين وشنغهاي وويهان. لدى Google مكاتب في بكين وشنغهاي وشنتشن. بالطبع لا نعرف ما إذا كان DOD منحهم نفس الصفقة التي سمحت بها لـ Microsoft ، لكن من المهم معرفة ذلك.
أو ربما لم تتفق DOD أبدًا على المرافقين الرقميين والمهندسين الصينيين؟ لا نعرف حقًا ، لكن من غير المرجح أن يكون Microsoft قد استأجرت مهندسين صينيين دون بعض المدخلات في وزارة الدفاع. إذا لم تتم موافقة DOD أبدًا ، فهذا مثال آخر على فشل الأمن. إذا وافقوا ، بالطبع ، فهو أيضًا فشل أمني. وفي كلتا الحالتين هي كارثة.
يفهم هيغسيث أن قضية المرافقة الرقمية هي مشكلة كبيرة ، لكنه لا يستطيع قبول قرار Microsoft بإنهاء مشاركة الصين في سحابة وزارة الدفاع. يحتاج Hegseth إلى دعم التحقيق الكامل والتحقيق. نحتاج إلى تقييم لمقدار الأضرار التي لحقت ، وربما ، ما هي البرامج التي ربما تكون قد تعرضت للخطر.
يجب أن يقيس هذا التحقيق فقط المدة التي يواجهها نظام المرافقة الرقمية. ما هي المدة التي تمكنت الصين من الوصول إلى حاسوب الكمبيوتر التابع لوزارة الدفاع؟ يحتاج Hegseth إلى معرفة ما يفعله المقاولون الآخرون وإذا كانوا يستخدمون العمال الأجانب.
أخيرًا ، هناك سؤال جاد حول الاستعانة بمصادر خارجية للأمن الأمريكي للمقاولين من القطاع الخاص ، وخاصة أولئك الذين ليسوا مقاولين للدفاع الأساسي والذين يعتمدون على الإيرادات الأجنبية لدعمهم. تعد الشركات التجارية التي تعتبر بشكل أساسي بطبيعتها خطرًا لأنها تفتقر إلى ثقافة الأمن وتريد دائمًا التوسع في الأسواق التي يمكن أن تكون صعبة ومحفوفة بالمخاطر. وضع الثقة فيهم يرفع أكثر من الحواجب.
ستيفن براين هو مراسل خاص لصحيفة آسيا تايمز ونائب وكيل الدفاع الأمريكي السابق للسياسة. يتم إعادة نشر هذه المقالة ، التي ظهرت في الأصل في أسلحة واستراتيجية النشرة الإخبارية البديلة ، بإذن.
