Një Program i Vogël i Microsoft Mund të Përballë Departamentin e Mbrojtjes me Hakerë Kinezë

nga Renee Dudley, me kërkime nga Doris Burke

ProPublica është një redaksi jofitimprurëse që heton abuzimet e pushtetit. Regjistrohuni për të marrë histori tona më të mëdha sapo të publikohen.

Microsoft po përdor inxhinierë në Kinë për të ndihmuar në mirëmbajtjen e sistemeve kompjuterike të Departamentit të Mbrojtjes — me mbikëqyrje minimale nga personeli amerikan — duke lënë disa nga të dhënat më të ndjeshme të vendit të pambrojtura ndaj sulmeve kibernetike nga kundërshtari kryesor kibernetik, një hetim i ProPublica ka zbuluar.

Marrëveshja, e cila ishte thelbësore për fitimin e Microsoft-it në biznesin e cloud computing të qeverisë federale një dekadë më parë, mbështetet në qytetarë amerikanë me autorizime sigurie për të mbikëqyrur punën dhe për të vepruar si një barrierë kundër spiunazhit dhe sabotazhit.

Por këta punonjës, të njohur si “shoqërues dixhitalë,” shpesh mungojnë ekspertizën teknike për të kontrolluar inxhinierët e huaj me aftësi shumë më të avancuara, zbuluar nga ProPublica. Disa janë ish-ushatarë me pak përvojë në kodim që paguhen pak më shumë se paga minimale për punën.

“Ne po besojmë se ajo që ata po bëjnë nuk është e keqe, por ne vërtet nuk mund ta themi,” tha një shoqërues aktual që pranoi të flasë me kusht anonimiteti, duke frikë nga pasoja profesionale.

Sistemi është në funksion për gati një dekadë, megjithatë ekzistenca e tij po raportohet publikisht këtu për herë të parë.

Microsoft i tha ProPublica-s se ka zbuluar detaje rreth modelit të shoqëruesve tek qeveria federale. Por ish-zyrtarë të qeverisë thanë në intervista se nuk kishin dëgjuar kurrë për shoqëruesit dixhitalë. Programi duket të jetë kaq i ulët profil, saqë edhe agjencia e IT-së së Departamentit të Mbrojtjes kishte vështirësi të gjejë dikë të njohur me të. “Duket se askush nuk di asgjë për këtë, kështu që nuk e di se ku të shkoj më tej,” tha Deven King, zëdhënës i Agjencisë së Sistemeve të Informacionit të Mbrojtjes.

Ekspertët për sigurinë kombëtare dhe sigurinë kibernetike të kontaktuar nga ProPublica gjithashtu u befasuan kur mësuan se një marrëveshje e tillë ishte në vend, sidomos në një kohë kur komuniteti të inteligjencës së SHBA-së dhe anëtarët kryesorë të Kongresit dhe administrata Trump e shohin fuqinë digjitale të Kinës si një kërcënim kryesor për vendin.

Zyra e Drejtorit të Inteligjencës Kombëtare ka quajtur Kinën “kërcënimin më aktiv dhe të vazhdueshëm kibernetik ndaj rrjeteve të Qeverisë së SHBA-së, sektorit privat, dhe infrastrukturës kritike.” Një nga shembujt më të shquar të këtij kërcënimi erdhi në vitin 2023, kur hakerët kinezë infiltruan kutitë postare në cloud të zyrtarëve të lartë të qeverisë së SHBA-së, duke vjedhur të dhëna dhe emaile nga sekretari i tregtisë, ambasadori i SHBA-së në Kinë dhe të tjerë që punonin në çështje të sigurisë kombëtare. Hakerët u shkarkuan rreth 60,000 emaile vetëm nga Departamenti i Shtetit.

Me Presidentin Donald Trump dhe aleatët e tij të shqetësuar për spiunazh, Departamenti i Shtetit njoftoi planet në maj për të “rreptësisht revokuar vizat për studentët kinezë” — një premtim që presidenti duket se e ka tërhequr mbrapsht. Administrata po ashtu po përpiqet të organizojë shitjen e platformës së njohur të mediave sociale TikTok, e cila është në pronësi të një kompanie kineze që disa ligjvënës besojnë se mund t’i dorëzojë të dhëna të ndjeshme të përdoruesve amerikanë Pekinit dhe të nxisë dezinformimin me rekomandimet e përmbajtjes së saj. Por ekspertët i thanë ProPublica-s se shoqërimi digjital paraqet një kërcënim shumë më të madh për sigurinë kombëtare sesa ato çështje dhe është një mundësi natyrale për spiunët.

“Nëse do të isha një operativ, do ta shihja atë si një rrugë për akses shumë të vlefshëm. Duhet të jemi shumë të shqetësuar për këtë,” tha Harry Coker, i cili ishte ekzekutiv i lartë në CIA dhe Agjencinë Kombëtare të Sigurisë. Coker, i cili gjithashtu ishte drejtor kombëtar i kibernetikës gjatë administratës Biden, shtoi se ai dhe kolegët e tij të mëparshëm në komunitetin e inteligjencës “do të donin shumë të kishin akses të tillë.”

Është e vështirë të dihet nëse inxhinierët nën mbikëqyrjen e shoqëruesve digjitalë kanë kryer ndonjëherë një sulm kibernetik kundër qeverisë së SHBA-së. Por Coker u bëri pyetje nëse “mund të jetë pjesë e një shpjegimi për shumë nga sfidat me të cilat kemi përballur gjatë viteve.”

Microsoft përdor sistemin e shoqëruesve për të trajtuar informacionin më të ndjeshëm të qeverisë që bie nën “të klasifikuar”. Sipas qeverisë, kjo “niveli i ndikimit të lartë” përfshin “të dhëna që përfshijnë” mbrojtjen e jetës dhe shkatërrimin financiar.” Qeveria ka thënë se “humbja e konfidencialitetit, integritetit, ose disponueshmërisë” të kësaj të dhëne “mund të pritet të ketë një efekt të rëndë ose katastrofik në operacione, pasuri dhe individë.” Në Departamentin e Mbrojtjes, të dhënat kategorizohen si “Niveli i Ndikimit” 4 dhe 5 dhe përfshijnë materiale që mbështesin drejtpërdrejt operacionet ushtarake.

John Sherman, i cili ishte drejtori kryesor i informacionit për Departamentin e Mbrojtjes gjatë administratës së Biden, tha se ishte i befasuar dhe i shqetësuar të mësonte gjetjet e ProPublica-s. “Ndoshta duhet ta kisha ditur këtë,” tha ai. Ai i tha organizatës së lajmeve se situata kërkon një “rishikim të plotë nga DISA, Komanda Kibernetike dhe palët e tjera të përfshira në këtë.”

Në një deklaratë të dërguar me email, Agjencia e Sistemeve të Informacionit të Mbrojtjes tha se ofruesit e shërbimeve në re “janë të detyruar të krijojnë dhe të mbajnë kontrolla për vlerësimin dhe përdorimin e specialistëve të kualifikuar,” por agjencia nuk u përgjigj pyetjeve të ProPublica-s në lidhje me kualifikimet e shoqëruesve digjitalë.

Nuk është e qartë nëse ofrues të tjerë të shërbimeve në re për qeverinë federale përdorin shoqërues digjitalë si pjesë e mbështetjes së tyre teknike. Amazon Web Services dhe Google Cloud refuzuan të komentojnë për këtë artikull. Oracle nuk u përgjigj kërkesave për koment.

Microsoft refuzoi të bëjë drejtuesit e saj të disponueshëm për intervista për këtë artikull. Në përgjigje të pyetjeve të dërguara me email, kompania ofroi një deklaratë duke thënë se personeli dhe kontraktorët e saj operojnë në një mënyrë “të përshtatshme me kërkesat dhe proceset e Qeverisë së SHBA-së.”

Punëtorët globalë “nuk kanë qasje të drejtpërdrejtë në të dhënat e klientit ose sistemet e klientit,” tha deklarata. Shërbyesit “me lejet dhe trajnim të përshtatshëm ofrojnë mbështetje të drejtpërdrejtë. Këta persona marrin trajnim të veçantë mbi mbrojtjen e të dhënave të ndjeshme, parandalimin e dëmit, dhe përdorimin e komandave/kontrolleve të veçanta brenda mjedisit.” Për më tepër, Microsoft tha se ka një proces brenda kompanisë të njohur si “Lockbox” për të “siguruar që kërkesa të konsiderohet e sigurt ose të ketë ndonjë arsye për shqetësim.” Një zëdhënës i kompanisë refuzoi të jepte detaje mbi mënyrën se si funksionon, por tha se është i ndërtuar në sistem dhe përfshin rishikim nga një punonjës i Microsoft në SHBA.

Gjatë viteve, persona të ndryshëm të përfshirë në punë, duke përfshirë një udhëheqës të sigurisë kibernetike të Microsoft, paralajmëruan kompaninë se kjo marrëveshje është në natyrë të rrezikshme, thanë ata për ProPublica. Pavarësisht pranisë së një shërbyesi, inxhinierët e huaj janë të njohur me detaje të hollësishme rreth cloud-it federal — llojin e informacionit që hakerët mund ta shfrytëzojnë. Për më tepër, shërbyesit amerikanë që mbikëqyrin këta punonjës janë të papërgatitur për të zbuluar aktivitet të dyshimtë, thanë dy persona.

Madje edhe ata që ndihmuan në zhvillimin e sistemit të shërbyesve pranojnë se personat që bëjnë punën mund të mos jenë në gjendje të zbulojnë probleme.

“Nëse dikush do të ekzekutonte një skript të quajtur ‘fix_servers.sh’ por që në fakt bënte diçka të dëmshme, atëherë [shërbyesit] nuk do të kishin ide,” tha Matthew Erickson, një ish-inxhinier i Microsoft që punoi në sistemin e shërbyesve, për ProPublica në një email. Kjo tha, ai mbajti se “sfera e sistemeve që ata mund të ndërpresin” është e kufizuar.

Departamenti i Mbrojtjes kërkon që çdo person që punon me të dhënat më të ndjeshme të jetë qytetar i SHBA-së, shtetas i SHBA-së ose banor i përhershëm. “Asnjë person i huaj nuk mund të ketë qasje të tillë,” sipas kërkesave të sigurisë së cloud-it të departamentit. Megjithatë, Microsoft ka një fuqi punëtore globale, kështu që ajo krijoi sistemin digjital të shërbyesve si një zëvendësim. Ja një shembull se si funksionon dhe rreziku që paraqet:

Nevojitet mbështetje teknike për një produkt cloud të Microsoft.

Një inxhinier i Microsoft në Kinë paraqet një “bilete” online për të marrë përsipër punën.

Një shërbyes në bazë të SHBA-së merr bileten.

Inxhinieri dhe shërbyesi takohen në platformën e konferencës Microsoft Teams.

Inxhinieri dërgon urdhra kompjuterike tek shërbyesi në SHBA, duke ofruar një mundësi për të futur kod të dëmshëm.

Shërbyesi, i cili mund të mos ketë ekspertizë të avancuar teknike, fut urdhrat në sistemin cloud federal.

Ilustrime për ProPublica

Një kontraktues i Microsoft-it i quajtur Insight Global postoi një shpallje në janar duke kërkuar një eskortë për të sjellë inxhinierë pa autorizime sigurie “në ambientin e siguruar” të qeverisë federale dhe për të “mbrojtur informacionin konfidencial dhe të sigurt nga rrjedhja,” një term i industrisë për një rrjedhje të të dhënave. Pagesa fillonte nga 18 dollarë në orë.

Ndërsa shpallja tha se aftësitë teknike specifike ishin “shumë të preferuara” dhe “më mirë të kishin,” kushti kryesor ishte posedimi i një autorizimi të vlefshëm “sekret” të nivelit të lëshuar nga Departamenti i Mbrojtjes.

“Njerëzit po marrin këto vende pune sepse janë të autorizuar, jo sepse janë inxhinierë softuerësh,” tha eskortja që pranoi të flasë anonime dhe që punon për Insight Global.

Çdo muaj, rreth 50 anëtarë të ekipit të eskortës së kompanisë përballen me qindra ndërveprime me inxhinierë dhe zhvillues të Microsoft-it me bazë në Kinë, duke futur komandat e atyre punonjësve në rrjetet federale, tha punonjësi.

Në një deklaratë për ProPublica, Insight Global tha se “vlerëson aftësitë teknike të secilit burim gjatë gjithë procesit të intervistimit për të siguruar që ata zotërojnë aftësitë teknike të kërkuara” për vendin e punës, dhe ofron trajnim. Kompania vuri në dukje se eskortat gjithashtu marrin trajnim shtesë në cyber dhe “ndërgjegjësim për kërcënimet e brendshme” si pjesë e procesit të autorizimit të sigurisë së qeverisë.

“Ndërsa një autorizim sigurie mund të jetë i nevojshëm për rolin, është vetëm një pjesë e puzzles,” tha kompania.

Microsoft nuk u përgjigj pyetjeve në lidhje me Insight Global.

“Rruga e Rezistencës më të Vogël”

Kur u shfaq teknologjia moderne e cloud-it në vitet 2000, duke ofruar fuqinë e përpunimit dhe ruajtjen e të dhënave sipas kërkesës përmes internetit, ajo solli ndryshime themelore në operacionet e qeverisë federale.

Për dekada, departamentet federale përdornin servera kompjuterësh të pronësisë së qeverisë për të ruajtur të dhëna dhe për të fuqizuar rrjetet. Kalimi te cloud-i do të thoshte transferimin e atij punë në qendra të mëdha të të dhënave jashtë vendit të menaxhuara nga kompanitë teknologjike.

Zyrtarët federalë besonin se cloud-i do të siguronte më shumë fuqi, efikasitet dhe kursime në kosto. Por kalimi gjithashtu do të thoshte që qeveria do t’i jepte disa kontroll mbi atë kush mban dhe akseson informacionin e saj kompanive si Microsoft, të cilat do të merrnin përsipër detyrat që më parë ishin në dorë të punonjësve të IT-së federale.

Për të adresuar rreziqet e kësaj revolucioni, qeveria filloi Programin Federal të Menaxhimit të Rrezikut dhe Autorizimit, i njohur si FedRAMP, në vitin 2011. Nën këtë program, kompanitë që dëshironin të shisnin shërbimet e tyre në cloud për qeverinë duhej të përcaktonin se si do të siguronin që personeli që punonte me të dhëna të ndjeshme federale do të kishte “autorizimet e hyrjes” të nevojshme dhe kontrollin e sfondit. Për më tepër, Departamenti i Mbrojtjes kishte udhëzimet e veta për cloud, duke kërkuar që njerëzit që trajtonin të dhëna të ndjeshme të ishin qytetarë amerikanë ose banorë të përhershëm.

Kjo paraqiti një çështje për Microsoft-in, duke qenë se ajo mbështetej në një fuqinë punëtore globale të gjerë, me operacione të rëndësishme në Indi, Kinë dhe Bashkimin Evropian. Prandaj, kompania angazhoi një menaxher të lartë të programit të quajtur Indy Crowley për të qetësuar zyrtarët federalë. I njohur për njohuritë e tij mbi rregullat dhe aftësinë për të folur në gjuhën e akronimeve të qeverisë, kolegët e quajtën atë “Fjala e brendshme e FedRAMP”.

Në një intervistë, Crowley i tha ProPublica-s se ai i kërkoi drejtorisë së FedRAMP-it në mënyrë direkte, duke argumentuar se rreziku relativ nga fuqia punëtore globale e Microsoft-it ishte minimal. Për të ilustruar pikën e tij, ai tha se një herë kishte pyetur një zyrtar të FedRAMP-it për origjinën e kodit në produktet e furnizuara nga shitës të tjerë qeveritarë si IBM. Zyrtari nuk mund të thoshte me siguri se vetëm qytetarë amerikanë kishin punuar në produktin në fjalë, tha ai. Cloud-i, argumentoi Crowley, nuk duhet të trajtohet ndryshe.

Crowley tha se gjithashtu u takua me klientë potencialë në të gjithë qeverinë dhe i tha ProPublica-s se Departamenti i Mbrojtjes ishte “ai që bënte kërkesat më të mëdha.” I shqetësuar për fuqinë punëtore globale të kompanisë, zyrtarët atje e pyetën se kush nga Microsoft do të ishte “pas perde” duke punuar në cloud. Duke pasur parasysh kërkesat e qytetarisë së departamentit, zyrtarët ngritën mundësinë që Microsoft të “punësonte një grup qytetarësh amerikanë për të mirëmbajtur cloud-in federal” drejtpërdrejt, i tha ProPublica-s Crowley. Për Microsoft-in, kjo sugjerim ishte i papranueshëm, tha Crowley, sepse kostot e rritura të fuqisë punëtore për ta zbatuar atë gjerësisht do ta bënin kalimin në cloud shumë të shtrenjtë për qeverinë.

“Gjithmonë është një balancë midis kostos dhe nivelit të përpjekjes dhe ekspertizës,” i tha ai ProPublica-s. “Prandaj, gjen atë që është mjaftueshëm mirë.” Punësimi i eskortave virtuale për të mbikëqyrur fuqinë punëtore të huaj të Microsoft-it u shfaq si “rruga më pak rezistente,” tha Crowley.

Microsoft nuk iu përgjigj pyetjeve të ProPublica-s rreth rrëfimit të Crowley.

Kur e solli konceptin përsëri tek Microsoft, kolegët kishin reagime të ndryshme. Tom Keane, atëherë nënkryetari i përgjithshëm për platformën cloud të Microsoft, Azure, pranoi idenë, sipas një ish-punonjësi të përfshirë në diskutime, pasi do të lejonte kompaninë të rritej. Por ai ish-punonjës, i përfshirë në strategjinë e sigurisë kibernetike, i tha ProPublica se ata kundërshtuan konceptin, duke e parë atë si shumë të rrezikshëm nga një këndvështrim sigurie. Të dy Keane dhe Crowley hodhën poshtë shqetësimet, tha ish-punonjësi, i cili la kompaninë para se koncepti i eskortës të ishte zbatuar.

“Njerëzit që u bënë pengesë për rritjen nuk qëndruan,” i tha ish-punonjësi ProPublica.

Crowley tha se nuk e kujton diskutimin. Keane nuk iu përgjigj kërkesave për koment.

Në rrugën e saj për t’u bërë një nga kompanitë më të vlefshme në botë, Microsoft ka vendosur përsëri dhe përsëri për fitimin e korporatës mbi sigurinë e klientit, zbuloi ProPublica. Vitin e kaluar, organizatë lajmesh raportoi se gjiganti teknologjik injoroi një nga inxhinierët e tij kur ai përsëri e paralajmëroi se një defekt në produkt la qeverinë amerikane të ekspozuar; hakerët rusë të sponsorizuar nga shteti më vonë shfrytëzuan atë dobësi në një nga sulmet më të mëdha kibernetike në histori. Microsoft mbrojti vendimin e tij për të mos adresuar defektin, duke thënë se mori “shumë vlerësime” dhe se kompania peshojnë një shumëllojshmëri faktorësh kur marrin vendime për sigurinë.

A Skills Gap From the Start

Ideja e një eskortë nuk ishte e re. Instituti Kombëtar i Standardeve dhe Teknologjisë, i cili shërben si organi i vendosjes së standardeve të qeverisë federale, kishte vendosur rekomandime mbi mënyrën se si duhet të kryhet mirëmbajtja e IT-së në vend, si në një zyrë të kufizuar qeveritare. “Personeli i mirëmbajtjes që mungon në autorizimet e duhura të sigurisë ose nuk është qytetar i SHBA-së” duhet të shoqërohet dhe të mbikëqyret nga “personeli i aprovuar organizativ që është plotësisht i autorizuar, ka leje të përshtatshme hyrjeje dhe është i kualifikuar teknikisht,” thonë udhëzimet.

Qeveria në atë kohë përcaktoi qëllimin e rekomandimit: për të mohuar “individët që mungojnë në autorizimet e duhura të sigurisë ... ose që nuk janë qytetarë të SHBA-së, hyrjen vizuale dhe elektronike në” informacione të ndjeshme qeveritare.

Por eskortat në cloud nuk do të ishin domosdoshmërisht në gjendje të përmbushnin atë qëllim, duke pasur parasysh hendekun në ekspertizën teknike midis tyre dhe homologëve të Microsoft nga të cilët do të merrnin udhëzime.

Kjo pabarazi, megjithatë, ishte e integruar në modelin e shoqërimit.

Erickson, ish-inxhinieri i Microsoft që punoi në model, i tha ProPublica-s se shoqëruesit janë “disi të aftë teknikisht,” por kryesisht janë “thjesht aty për të siguruar që punonjësit nuk shikojnë rastësisht ose me qëllim” fjalëkalimet, të dhënat e klientëve ose informacionin personal të identifikueshëm. “Nëse ka probleme me shërbimet bazë” cloud, “atëherë vetëm njerëzit që punojnë në ato shërbime në Microsoft do të kishin njohuritë e nevojshme për ta rregulluar atë,” tha ai.

Kërcënimet e avancuara nga kundërshtarët e huaj nuk ishin në radar për Erickson-in, i cili tha se nuk kishte “ndonjë arsye për të dyshuar dikë vetëm bazuar në vendin e origjinës së tyre.”

“Nuk mendoj se ka ndonjë kërcënim shtesë nga punonjësit e Microsoft-it të bazuar në vende të tjera,” tha ai.

(Ilustrimi nga Andrea Wise/ProPublica. Burimet e imazheve: Bevan Goldswain/Getty Images, kontekbrothers/Getty Images, amgun/Getty Images.)

Pradeep Nair, ish-nënpresident i Microsoft-it i cili tha se ndihmoi në zhvillimin e konceptit që nga fillimi, tha se strategjia e shoqërimit dixhital i lejoi kompanisë të “shkojë në treg më shpejt,” duke e pozicionuar atë për të fituar kontrata të mëdha qeveritare në cloud. Ai tha se shoqëruesit “përfundojnë trajnim të veçantë për secilën rol para se të prekin ndonjë sistem prodhimi” dhe se një sërë masash mbrojtëse duke përfshirë regjistrat e auditimit, gjurmën dixhitale të aktivitetit të sistemit, mund të njoftojnë Microsoft-in ose qeverinë për probleme të mundshme.

“Për shkak se këto kontrolla janë strikte, rreziku i mbetur është minimal,” tha Nair.

Por ekspertët ligjorë dhe ata të sigurisë kibernetike thonë se këto supozime injoruan kërcënimin masiv kibernetik nga Kina në veçanti. Rreth kohës kur Microsoft po zhvillonte strategjinë e shoqërimit, një sulm i atribuar hakerëve të sponsorizuar nga shteti kinez rezultoi në shkeljen më të madhe të të dhënave të qeverisë së SHBA-së deri atëherë. Vjedhja fillimisht synoi një kontraktues qeveritar dhe përfundimisht komprometoi informacionin personal të më shumë se 22 milionë njerëzve, shumica prej të cilëve ishin aplikues për qartësi sigurie federale.

Ligjet kineze lejojnë zyrtarët qeveritarë atje të mbledhin të dhëna “në masë që ata po bëjnë diçka që e kanë konsideruar të ligjshme,” tha Jeremy Daum, studiues i lartë në Qendrën Kineze Paul Tsai në Shkollën e Ligjit të Yale. Mbështetja teknologjike e Microsoft-it në Kinë për qeverinë e SHBA-së paraqet një hap për spiunazh, “qoftë duke vendosur dikë që është tashmë profesionist i inteligjencës në njërën prej atyre punëve, ose duke shkuar tek njerëzit që janë në ato punë dhe duke i nxjerrë informacione prej tyre,” tha Daum. “Do të ishte e vështirë për ndonjë qytetar ose kompani kineze të rezistonte në mënyrë të kuptueshme një kërkese direkte nga forcat e sigurisë ose zbatimi i ligjit.”

Erickson pranoi se të pasurit një eskortë nuk e pengon zhvilluesit e huaj “nga kryerja e gjërave ‘të këqija’. Ajo thjesht lejon që të ketë një regjistrim dhe një dëshmitar.” Ai tha nëse një eskortë dyshon për aktivitet të dëmshëm, ata do të përfundojnë sesionin dhe do të paraqesin një raport incidenti për të hetuar më tej.

Sa shumë nga kjo informacion u kuptua nga zyrtarët federalë është e paqartë.

Një zëdhënës i Microsoft-it tha se kompania përshkroi modelin e eskortës digjitale në dokumentet e dorëzuara tek qeveria si pjesë e proceseve të autorizimit të shitësit cloud. Megjithatë, ajo refuzoi të jepte ato regjistra ose t’u tregonte ProPublica saktësisht gjuhën që përdori në to për të përshkruar marrëveshjen e eskortës, duke cituar rrezikun potencial të sigurisë së publikimit të saj.

Përveç një auditori të palës së tretë, dokumentacioni i Microsoft-it teorikisht do të ishte shqyrtuar nga shumë palë në qeveri, duke përfshirë FedRAMP dhe DISA. DISA tha se materialet janë “jo të publikuara për publikun.” Administrata e Shërbimeve të Përgjithshme, që mbështet FedRAMP, nuk iu përgjigj kërkesave për koment.

The “Right Eyes” for the Job?

Në qershor 2016, Microsoft njoftoi se kishte marrë autorizimin e FedRAMP për të punuar me disa nga të dhënat më të ndjeshme të qeverisë. Matt Goodrich, atëherë drejtor i FedRAMP, tha në atë kohë se akreditimi ishte “një dëshmi e aftësisë së Microsoft për të përmbushur kërkesat e rrepta të sigurisë së qeverisë.”

Rreth të njëjtës kohë, Microsoft vendosi në praktikë konceptin e eskortës, duke angazhuar kontakte nga gjiganti i mbrojtjes Lockheed Martin për të punësuar eskortë cloud, dy persona të përfshirë në kontratë i thanë ProPublica.

Një menaxher projekti, i cili kërkoi anonimatin për të përshkruar diskutimet konfidenciale, i tha ProPublica-s se ishin skeptikë për marrëveshjen e eskortës që në fillim dhe shprehu këto ndjenja tek bashkëpunëtori i tyre në Microsoft. Menaxheri ishte veçanërisht i shqetësuar që të punësuarit e rinj nuk do të kishin “sytë e duhur” për punën duke pasur parasysh pagën relativisht të ulët të caktuar nga Microsoft, por sistemi vazhdoi gjithsesi.

Lockheed Martin i drejtoi pyetjet tek Leidos, një kompani që mori përsipër biznesin e IT të Lockheed pas një bashkimi në vitin 2016. Leidos refuzoi të komentonte.

Ndërsa Microsoft kapte më shumë të punës së qeverisë, kompania u kthye te nënkontraktorë të tjerë, zakonisht kompani të stafimit, për të punësuar më shumë eskortë dixhitalë.

Duke analizuar profile në LinkedIn, ProPublica identifikoi të paktën dy kompani të tilla: Insight Global dhe ASM Research, të cilat janë në pronësi të gjigantit të konsultimeve, Accenture. Ndërsa shkalla e biznesit të secilës kompani me Microsoft është e paqartë, ProPublica gjeti më shumë punonjës që identifikohen si eskortë dixhitalë në Insight Global, shumë prej tyre ish-anëtarë të ushtrisë, sesa në ASM. ASM dhe Accenture nuk u përgjigjën kërkesave për koment.

Kënaqësitë në lidhje me Kinën

Disa punonjës të Insight Global njohën të njëjtin problem si ish-menaxheri i Lockheed: një mospërputhje në aftësi midis eskortave me bazë në SHBA dhe inxhinierëve të Microsoft që ata po mbikëqyrnin. Inxhinierët mund të përshkruajnë shkurtimisht punën që duhet të kryhet — për shembull, përditësimin e një firewall-i, instalimin e një përditësimi për të rregulluar një gabim ose shqyrtimin e regjistrimeve për të diagnostikuar një problem. Pastaj, me inspektim të kufizuar, eskorti kopjon dhe ngjit komandat e inxhinierit në cloud-in federal.

“Ata po u japin udhëzime shumë teknike njerëzve jo-teknikë,” tha eskorti aktual i Insight Global, duke shtuar se kjo marrëveshje ofron mundësi të panumërta për hakerim. Si shembull, ata thanë se inxhinieri mund të instalojë një përditësim që lejon një të huaj të aksesojë rrjetin.

“A do të kapet kjo? Absolutisht,” tha eskorti për ProPublica. “A do të kapet para se të shkaktojë dëme? Nuk e di.”

Ekzistonte shqetësim i veçantë për dhjetëra bileta në javë të paraqitura nga punonjës të bazuar në Kinë. Sulmi ndaj zyrtarëve federalë në vitin 2023 — ku hakerët kinezë vodhën 60,000 emaile — theksoi atë frikë.

Këshilli Federal i Rishikimit të Sigurisë Kibernetike, i cili hulumtoi sulmin, fajësoi Microsoft-in për mangësi në siguri që i dhanë hakerëve hapjen e tyre. Raporti i tij u publikua nuk përmendi eskortat digjitale, as si duke luajtur një rol në sulm ose si një rrezik për t'u shmangur. Sherman, ish-drejtori i përgjithshëm i informacionit për Departamentin e Mbrojtjes, dhe Coker, ish-zyrtar i inteligjencës, të cilët gjithashtu shërbyen si anëtarë të CSRB, i thanë ProPublica-s se nuk kujtojnë që bordi të ketë diskutuar ndonjëherë për eskortat digjitale, të cilat tani i konsiderojnë një kërcënim të madh. Administrata Trump më vonë e shpërbëu CSRB-në.

Në deklaratën e saj, Microsoft tha se pret që eskortat “të kryejnë një sërë detyrash teknike,” të cilat janë përshkruar në kontratat e saj me shitësit. Insight Global tha se vlerëson kandidatët e mundshëm për t'u siguruar që ata kanë ato aftësi dhe trajnon punonjësit e rinj mbi “të gjitha politikat e sigurisë dhe përputhshmërisë të aplikueshme të ofruara nga Microsoft.”

Por punonjësi i Insight Global tha për ProPublica-n se rregimi i trajnimit nuk afron asnjë hap për të mbushur boshllëkun e njohurive. Për më tepër, është sfiduese për eskortat të fitojnë ekspertizë në vendin e punës sepse lloji i punës që ata mbikëqyrin ndryshon gjerësisht. “Nuk është e mundur të bëhesh aq i trajnuar sa duhet për gamën e gjerë të gjërave që duhet të shikosh,” thanë ata.

Eskorta tha se ata kanë ngritur në mënyrë të përsëritur shqetësime në lidhje me boshllëkun e njohurive tek Microsoft, gjatë disa vjetëve dhe së fundmi në Prill, dhe tek avokatët e Insight Global. Ata thanë se përvoja relative e eskortave digjitale — së bashku me ligjet kineze që i japin zyrtarëve të vendit autoritet të gjerë për të mbledhur të dhëna — e kanë lënë rrjetet e qeverisë së SHBA-së shumë të ekspozuara. Microsoft falënderoi vazhdimisht eskortën për ngritjen e çështjeve ndërsa Insight Global tha se do t'i merrte ato në konsideratë, tha eskorta. Nuk është e qartë nëse Microsoft ose Insight Global morën hapa për t'i adresuar ato; asnjë kompani nuk u përgjigj pyetjeve në lidhje me llogarinë e eskortës.

Në deklaratën e saj, Microsoft tha se takohen rregullisht me kontraktorët e saj “për të diskutuar operacionet dhe për të ngritur pyetje ose shqetësime.” Kompania gjithashtu vuri në dukje se ka shtresa të tjera të “kontrolleve të sigurisë dhe monitorimit” duke përfshirë “rishikime të automatizuara të kodit për të zbuluar dhe parandaluar shpejt hyrjen e dobësive.”

“Microsoft supozon se kushdo që ka qasje në sistemet e prodhimit, pavarësisht nga vendndodhja ose roli, mund të paraqesë një rrezik për sistemin, qoftë me dashje ose pa dashje,” tha kompania në deklaratën e saj.

Another Warning, a Growing Risk

Vitin e kaluar, rreth tre muaj pasi hetuesit qeveritarë publikuan raportin e tyre mbi sulmin në email-et e zyrtarëve amerikanë në vitin 2023, një ish-kontraktor i Insight Global me emrin Tom Schiller kontaktuar një linjë telefonike të Departamentit të Mbrojtjes dhe shkroi disa ligjvënësve federalë për t’i paralajmëruar ata për eskortimin digjital. Ai kishte njohur sistemin ndërsa punonte për shkurtimisht në kompani si zhvillues softuerësh. Deri në korrik të vitit të kaluar, ankesat e Schillerit u përhapën në Zyrën e Inspektorit të Përgjithshëm të Agjencisë së Sistemeve të Informacionit të Mbrojtjes. Schiller i tha ProPublica se zyra kryen një intervistë të betuar me të, dhe veçmas me tre të tjerë të lidhur me Insight Global. Në gusht, inspektori i përgjithshëm shkroi tek Schiller për të thënë se kishte mbyllur rastin.

“Ne kryem një analizë paraprake të ankesës dhe përcaktuam se kjo çështje nuk është në rrugën e zgjidhjes nga DISA IG dhe është më e përshtatshme të trajtohet nga menaxhmenti i duhur i DISA,” tha në letrën ndihmësi i inspektorit të përgjithshëm për hetimet. “Ne kemi referuar informacionin që keni dhënë tek menaxhmenti.”

Një zëdhënës i inspektorit të përgjithshëm — i cili zyra e tij supozohet të operojë në mënyrë të pavarur për të hetuar potencialin e shpenzimeve të tepërta, mashtrimeve dhe abuzimeve — i tha ProPublica se nuk ishin të autorizuar të flisnin për çështjen dhe i drejtuan pyetjet në marrëdhëniet me publikun të DISA-s.

“Nëse zyra e informacionit publik më kontakton dhe dëshiron të bashkëpunojmë për të formuluar një përgjigje përmes zyrës së tyre, do të jem më se i lumtur ta bëj këtë,” tha zëdhënësi. “Por nuk do të përgjigjem për asnjë kërkesë mediatike në lidhje me punën e OIG-së pa folur më parë me zyrën e informacionit publik.”

DisA public affairs nuk u përgjigj pyetjeve në lidhje me çështjen. Pas një deklarate fillestare ku tha se nuk mund të gjejë askënd që kishte dëgjuar për konceptin e eskortës, agjencia më vonë pranoi në një deklaratë për ProPublica se eskortat përdoren “në mjedise të veçanta pa klasifikim” në Departamentin e Mbrojtjes për “diagnostikim të avancuar të problemeve dhe zgjidhje nga ekspertë të fushës së industrisë.” Duke pasqyruar deklaratën e Microsoft-it, ajo vazhdoi, “Ekspertët nën mbikëqyrjen e eskortës nuk kanë akses të drejtpërdrejtë, praktikisht, në sistemet qeveritare; por ofrojnë udhëzime dhe rekomandime për administratorët e autorizuar që kryejnë detyra.”

Nuk është e qartë se çfarë, nëse ka, diskutimesh kanë ndodhur midis Microsoft, Insight Global dhe DISA, ose ndonjë agjencie tjetër qeveritare, në lidhje me eskortat digjitale.

Por David Mihelcic, ish-çelësi i teknologjisë së DISA-s, tha se çdo qasje në rrjetin e Departamentit të Mbrojtjes paraqet një “rrezik të madh.”

“Këtu keni një person që me të vërtetë nuk e besoni sepse ata janë ndoshta në shërbimin inteligjent kinez, dhe personi tjetër nuk është në të vërtetë i aftë,” tha ai.

Rreziku mund të bëhet më serioz çdo ditë, ndërsa marrëdhëniet SHBA-Kinë përkeqësohen mes një lufte tregtare që zgjat — lloji i konfliktit që ekspertët thonë mund të çojë në hakmarrje kibernetike kineze.

Në dëshminë e dhënë për një komision të Senatit në maj, Presidenti i Microsoft-it Brad Smith tha se kompania po “shtyn vazhdimisht jashtë agjencitë kineze.” Ai nuk sqaroi se si ata hynë, dhe Microsoft nuk u përgjigj në pyetje shtesë rreth kësaj deklarate.