Microsoft Përdori Mbështetje nga Kina për Agjenci të SHBA-së, Rreziku i Të Dhënave Sensible

nga Renee Dudley, me kërkime nga Doris Burke

ProPublica është një redaksi jo fitimprurëse që heton abuzimet e pushtetit. Regjistrohuni për të marrë histori tona më të mëdha sapo të publikohen.

Javën e kaluar, Microsoft njoftoi se nuk do të përdorë më ekipe inxhinierësh të bazuar në Kinë për të mbështetur sistemet e cloud-it të Departamentit të Mbrojtjes, pas hetimit të ProPublica mbi praktikën, të cilën ekspertët e sigurisë kibernetike thanë se mund të ekspozonte qeverinë ndaj hakerimit dhe spiunazhit.

Por rezulton se Pentagon nuk ishte pjesa e vetme e qeverisë që përballej me një kërcënim të tillë. Për vite me radhë, Microsoft gjithashtu ka përdorur fuqinë e saj globale, duke përfshirë personelin e bazuar në Kinë, për të mbajtur sistemet e cloud-it të departamenteve të tjera federale, duke përfshirë pjesë të Drejtësisë, Trezorin dhe Tregtinë, ProPublica ka zbuluar.

Ky punë është zhvilluar në atë që njihet si Cloud i Komunitetit të Qeverisë, i cili është i dedikuar për informacion që nuk është i klasifikuar, por është gjithsesi i ndjeshëm. Programi Federal i Menaxhimit të Rrezikut dhe Autorizimit, organizata e akreditimit të cloud-it të qeverisë së SHBA-së, ka miratuar GCC për të trajtuar informacion me ndikim “të moderuar” “ku humbja e konfidencialitetit, integritetit dhe disponueshmërisë do të rezultojë në një efekt të rëndë negativ në operacionet, asetet ose individët e një agjencie”.

Departamenti i Drejtësisë, Divizioni i Antitrustit ka përdorur GCC për të mbështetur funksionet e tij hetimore dhe gjyqësore penale dhe civile, sipas një raporti të vitit 2022. Pjesë të Agjencia e Mbrojtjes së Mjedisit dhe Departamenti i Arsimit gjithashtu kanë përdorur GCC.

Microsoft thotë se inxhinierët e saj të huaj që punojnë në GCC janë mbikëqyrur nga personel i bazuar në SHBA të njohur si “shoqërues dixhitalë,” të ngjashëm me sistemin që kishte në vend në Departamentin e Mbrojtjes.

Megjithatë, ekspertët e sigurisë kibernetike i thanë ProPublica-s se mbështetja e huaj për GCC paraqet një mundësi për spiunazh dhe sabotazh. “Ka një keqkuptim se, nëse të dhënat e qeverisë nuk janë të klasifikuara, asnjë dëm nuk mund të vijë nga shpërndarja e tyre,” tha Rex Booth, ish-zyrtar i sigurisë kibernetike federale që tani është shefi i sigurisë së informacionit në kompaninë teknologjike SailPoint.

“Me kaq shumë të dhëna të ruajtura në shërbimet cloud — dhe fuqinë e AI për t’i analizuar ato shpejt — edhe të dhënat jo të klasifikuara mund të zbulojnë njohuri që mund të dëmtojnë interesat e SHBA-së,” tha ai.

Harry Coker, i cili ishte një zyrtar i lartë në CIA dhe Agjencinë Kombëtare të Sigurisë, tha se agjencitë e huaja të inteligjencës mund të shfrytëzojnë informacionin e mbledhur nga sistemet GCC për të “përshkuar në rrjedhë” drejt atyre më të ndjeshme ose madje të klasifikuara. “Është një mundësi që nuk mund ta imagjinoj që një shërbim inteligjence të mos ndjekë,” tha ai.

Zyra e Drejtorit të Inteligjencës Kombëtare e ka cilësuar Kinën si “kërcënimin më aktiv dhe të qëndrueshëm kibernetik për rrjetet e qeverisë së SHBA-së, sektorin privat dhe infrastrukturën kritike.” Ligjet atje i japin zyrtarëve të vendit autoritet të gjerë për të mbledhur të dhëna, dhe ekspertët thonë se është e vështirë për çdo qytetar ose kompani kineze të kundërshtojë në mënyrë të kuptueshme një kërkesë direkte nga forcat e sigurisë ose ligji.

Microsoft refuzoi kërkesat për intervistë për këtë histori. Në përgjigje të pyetjeve, gjiganti teknologjik lëshoi një deklaratë që sugjeronte se do të ndërpriste përdorimin e mbështetjes së bazuar në Kinë për GCC, ashtu siç bëri kohët e fundit për sistemet cloud të Departamentit të Mbrojtjes.

“Microsoft ndërmori hapa javën e kaluar për të përmirësuar sigurinë e ofertave tona të cloud-it të Qeverisë DoD. Duke u përparuar, ne po ndërmarrim hapa të ngjashëm për të gjithë klientët tanë qeveritarë që përdorin Cloud-in e Komunitetit të Qeverisë për të siguruar më tej sigurinë e të dhënave të tyre,” tha deklarata. Një zëdhënës refuzoi të hollësojë se cilat janë ato hapa.

Kompania gjithashtu tha se gjatë muajit të ardhshëm “do të kryejë një rishikim për të vlerësuar nëse janë të nevojshme masa të tjera.”

Departamentet dhe agjencitë federale që ProPublica gjeti se po përdorin GCC nuk iu përgjigjën kërkesave për koment.

Zbulimet më të fundit rreth përdorimit të Microsoft-it të fuqisë punëtore kineze për shërbimet ndaj qeverisë së SHBA-së — dhe përgjigja e shpejtë e kompanisë — janë të prirura të nxisin një stuhi zjarri në zhvillim të shpejtë në Uashington, ku ligjvënësit federalë dhe administrata Trump po sfidojnë praktikat e sigurisë kibernetike të gjigantit të teknologjisë dhe po përpiqen të kufizojnë çdo pasojë potenciale për sigurinë kombëtare. “Inxhinierët e huaj — nga çdo vend, përfshirë natyrisht Kinën — NUK duhet kurrë të lejohet të mbajnë ose të hyjnë në sistemet e DoD,” shkroi Sekretari i Mbrojtjes Pete Hegseth në një postim në X të premten e kaluar.

Javën e kaluar, ProPublica zbuloi se Microsoft ka mbështetur për një dekadë punonjës të huaj — duke përfshirë ata të bazuar në Kinë — për të mirëmbajtur sistemet kompjuterike të Departamentit të Mbrojtjes, me mbikëqyrje nga shërbimet dixhitale të bazuara në SHBA. Por ata shërbime, gjetëm ne, shpesh nuk kanë ekspertizë të avancuar teknike për të ndëshkuar homologët e huaj me aftësi shumë më të avancuara, duke lënë informacion shumë të ndjeshëm të pambrojtur. Në përgjigje të raportimit, Hegseth në lancoi një rishikim të praktikës.

ProPublica gjeti se Microsoft zhvilloi marrëveshjen e shërbimeve për të kënaqur zyrtarët e Departamentit të Mbrojtjes që ishin të shqetësuar për punonjësit e huaj të kompanisë, duke pasur parasysh kërkesat e qytetarisë së departamentit për personat që trajtojnë të dhëna të ndjeshme. Microsoft vazhdoi të fitojë biznes në cloud-in federal dhe ka thënë në raportet e fitimeve se merr “të ardhura të konsiderueshme nga kontratat qeveritare.”

Ndërsa Microsoft ka thënë se do të ndalojë përdorimin e mbështetjes së teknologjisë nga Kina për Departamentin e Mbrojtjes, ajo refuzoi të përgjigjet në pyetje rreth asaj se çfarë do ta zëvendësonte atë, duke përfshirë nëse mbështetja në re do të vinte nga inxhinierë të bazuar jashtë SHBA-së. Kompania gjithashtu refuzoi të thoshte nëse do të vazhdonte të përdorte eskortat digjitale.

Microsoft konfirmoi për ProPublica këtë javë se një marrëveshje e ngjashme eskortimi ishte përdorur në GCC — një dinamikë që i kishte befasuar disa ish-zyrtarë qeveritarë dhe ekspertë të sigurisë kibernetike. “Në një botë gjithnjë e më komplekse digjitale, konsumatorët e produkteve në re meritojnë të dinë se si trajtohen të dhënat e tyre dhe nga kush,” tha Booth. “Industria e sigurisë kibernetike varet nga qartësia.”

Microsoft tha se zbuloi detaje të marrëveshjes së eskortës së GCC në dokumentacionin që dorëzoi tek qeveria federale si pjesë e procesit të akreditimit të cloud-it FedRAMP. Kompania refuzoi të jepte dokumentet për ProPublica-n, duke shpjeguar rrezikun potencial të sigurisë së publikimit të tyre, dhe gjithashtu refuzoi të thoshte nëse vendndodhja e personelit të saj mbështetës në Kinë ishte përmendur në mënyrë specifike në to.

ProPublica kontaktuar shërbimet e tjera kryesore të cloud-it për qeverinë federale për të pyetur nëse ata përdorin mbështetje nga Kina. Një zëdhënës i Amazon Web Services tha në një deklaratë se “AWS nuk përdor personel në Kinë për të mbështetur kontratat federale.” Një zëdhënës i Google tha në një deklaratë se “Google Public Sector nuk ka një program Escort Digjital. Përkundrazi, sistemet e saj të ndjeshme mbështeten nga personel i trajnuar plotësisht që plotësojnë kërkesat e vendndodhjes, shtetësisë dhe sigurisë së qeverisë së SHBA-së.” Oracle tha se “nuk përdor asnjë mbështetje kineze për klientët federalë të SHBA-së.”