Облако Microsoft одобрили, несмотря на серьёзные сомнения в безопасности
Американские эксперты критиковали защиту данных в облачном сервисе, но одобрили его всё равно — из-за того, что он уже везде используется.
Американские кибербезопасники одобрили облачный сервис Government Community Cloud High от Microsoft, хотя годами сомневались в его защите. Согласно внутренним документам, которые изучила ProPublica, эксперты не получили от компании нормальной документации по шифрованию данных. Один из членов комиссии назвал пакет «кучей дерьма». Несмотря на это, программа FedRAMP (федеральная система сертификации облачных сервисов) выдала Microsoft одобрение в конце 2024 года.
Решение выглядит странным на фоне того, что продукты Microsoft были в центре двух крупных кибератак на США за три года. Русские хакеры украли данные из нескольких ведомств, включая Национальное управление ядерной безопасности. Китайские хакеры проникли в почту членов кабинета министров. Тем не менее FedRAMP разрешила использовать облако для хранения особо чувствительной информации в Минюстиции, Министерстве энергетики и оборонном секторе.
Проблема в том, что Microsoft пять лет не предоставляла полную информацию о защите данных. Вместо того чтобы отклонить заявку, FedRAMP растягивала процесс. Параллельно сервис уже начали использовать по всему правительству — и в итоге эксперты просто одобрили его, потому что он уже везде был. Тони Сейджер, бывший криптограф Агентства национальной безопасности, назвал это «театром безопасности».
Ситуация усугубилась тем, что FedRAMP сократили. Бюджет упал до $10 млн в год (минимум за десять лет), штат сокращён до двух десятков человек. Администрация Трампа рассматривает программу как мишень для сокращений. По словам бывших сотрудников, FedRAMP теперь просто ставит печать одобрения на всё подряд. Это особенно опасно, когда государство переходит на облачные AI-инструменты, которые обрабатывают горы секретных данных.
Microsoft заявила, что предоставляла «полную документацию» и устраняла найденные проблемы. Компания также пообещала больше не использовать китайских инженеров для работы с данными Пентагона — это выяснилось после расследования ProPublica в прошлом году. Министерство обороны проводит расследование, так как доступ иностранцев к секретным системам может угрожать национальной безопасности.
— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business by.
