Microsoft прекращает китайскую техническую поддержку облачных систем Министерства обороны

Компания Microsoft больше не будет разрешать Китайским сотрудникам оказывать техническую помощь в облачных проектах Министерства обороны. Это решение последовало за расследованием ProPublica https://www.propublica.org/article/microsoft-digital-escorts-pentagon-defense-department-china-hackers показавшего, что компания спокойно полагалась на китайских инженеров под надзором американских "цифровых сопровождающих" для обеспечения работы важных систем Пентагона.

Главный специалист по связям с общественностью Фрэнк Шоу написал на сайте X, что Microsoft "внесла изменения... чтобы гарантировать, что никакие китайские инженерные команды не оказывают техническую помощь" Пентагону. Шоу добавил, что компания будет продолжать корректировать свои протоколы безопасности в сотрудничестве с партнерами по национальной безопасности.

В репортаже ProPublica подробно описывается модель сопровождения. Один из сопровождающих рассказал изданию, что граждане США с допусками к безопасности следили за работой иностранных инженеров, но зачастую им не хватало технических знаний, чтобы обнаружить вредоносный код. Многие наблюдатели зарабатывали чуть больше минимальной зарплаты, наблюдая за коллегами с гораздо более сильными навыками кодирования.

Сенатор Том Коттон попросил министра обороны Пита Хегсета предоставить список подрядчиков, нанимающих китайский персонал, и записи об обучении в рамках программы сопровождения, предупредив, что кибернетические возможности Пекина входят в число самых опасных угроз для США. В ответ Хегсет распорядился провести двухнедельную проверку каждого контракта с облачными сервисами и заявил: "Китай больше не будет иметь никакого отношения к нашим облачным сервисам, начиная с сегодняшнего дня".

Специалисты по безопасности подчеркнули, что даже при отсутствии доказательств шпионажа, разрешение иностранным подрядчикам прикасаться к секретной инфраструктуре создает очевидную поверхность для атаки. Они призвали Пентагон провести аудит каждой системы, к которой обращались иностранные команды, отметив, что одна незамеченная "черная дверь" может подорвать и так хорошо защищенную сеть.

Ожидается, что проверка Пентагона завершится в начале августа. Его результаты определят, нужны ли дополнительные ограничения или более широкие реформы подрядчиков для защиты военных рабочих нагрузок в облаке.