مخاطر الدفاع والأمن Microsoft: الفنيون من الصين خضعوا للإشراف على سحابة وزارة الدفاع الأمريكية

"مرافقون رقميون": خدعة غريبة تحيط بها قوانين الأمن في الصين في Microsoft في الصين

### خطر أمني ضخم؟ سمحت Microsoft للمهندسين الصينيين بانتظار السحابة البنتاغون ### بعد استبدال الصين: Microsoft يغير سياسته على الفور – لكن الضرر قد انتهى بالفعل ###

إن كشف النقاب الذي اعتنته المهندسون الصينيون لـ Microsoft بالبنية التحتية السحابية الشديدة الحساسة لوزارة الدفاع الأمريكية أثارت واحدة من أعظم جدل أمني في الآونة الأخيرة. ما بدأ كحل محسّن للتكاليف للدعم الفني الذي تم تطويره إلى خطر محتمل للأمن القومي ذي مدى كبير.

كشف النقاب عن ممارسة خطيرة

منذ ما يقرب من عقد من الزمان ، قدمت Microsoft البنية التحتية السحابية القائمة على Azure لوزارة الدفاع الأمريكية. استند هذا التعاون ، الذي كان ذا أهمية استراتيجية ومالية هائلة لـ Microsoft ، إلى نظام تم تصنيفه الآن على أنه مهمل بشكل كبير في التعامل مع بيانات حكومية حساسة للغاية.

أبحاث الأبحاث التي أجرتها المنظمة الأمريكية Publica في يوليو 2025 ، والتي يطلق عليها العديد من خبراء الأمن الفجوة الأمنية غير المقبولة: تركت Microsoft أيضًا الإشراف على البنية التحتية لوزارة الدفاع من غير I-Countries ، وخاصة من الصين. لم يتم تأسيس هذه الممارسة لسنوات فحسب ، بل كانت أيضًا عاملاً حاسماً لنجاح Microsoft في الفوز بطلبات الحكومة في منطقة الحوسبة السحابية.

مناسب ل:

• Publica: تمكنت وزارة الدفاع Hackern من الصين من تعليق برنامج Microsoft غير المعروف

نظام "المرافقات الرقمية"

استند النظام الذي طورته Microsoft إلى ما يسمى "مرافقات رقمية" – المصابين بالإصدارات الأمنية المقابلة التي يجب أن تراقب أعمال الفنيين الأجانب من مسافة بعيدة. كان هؤلاء الصحابة الرقمية بمثابة وسيط بين مهندسي Microsoft الصينيين وأنظمة البنتاغون السحابية ، حيث دخلوا أوامر وتعليمات زملائهم الأجانب في الأنظمة الحكومية.

تكمن مشكلة هذا النظام في ضعفه الهيكلية الأساسية: لم يكن لدى المرافقين الرقميين في كثير من الأحيان الخبرة الفنية من أجل مراقبة عمل زملائهم الصينيين بشكل كاف. كان العديد من هؤلاء الصحابة من الأعضاء العسكريين السابقين ذوي الخبرة في البرمجة المنخفضة ، الذين تلقوا أكثر من الحد الأدنى للأجور لهذا العمل الحاسم. تلخص المرافقة الحالية المشكلة: "نحن على ثقة من أن ما تفعله ليس ضارًا ، لكننا لا نستطيع رؤيتها حقًا".

الوصول إلى البيانات الحساسة للغاية

من المحتمل أن يحصل المهندسون الصينيون على المعلومات من – "Impact Level 4 و 5" التي يتم تصنيفها على أنها حساسة للغاية ، ولكنها لم تصنف رسميًا على أنها سر. تتضمن هذه الفئة المحتوى الذي يدعم العمليات العسكرية مباشرة ، بالإضافة إلى البيانات الأخرى التي يمكن أن يكون لها المساومة وفقًا لإرشادات البنتاغون "تأثيرات خطيرة أو كارثية" على الأمن القومي.

تم تصميم مستوى التأثير 5 (IL5) خصيصًا لأنظمة الأمن القومي غير المصنفة (NSS) ، والتي تدعم مهام DOD ومعالجة المعلومات غير المصنفة (CUI) التي تتطلب حماية أعلى من IL4. يمكن أن تتضمن هذه المعلومات البحث والتطوير ، والبيانات اللوجستية ، والمحتوى الناقد المهمة الأخرى التي قد تسبب أضرارًا كبيرة عند المساومة.

نموذج أعمال Microsoft وتجاوز الامتثال

الطريق إلى الهيمنة السحابية

تمكنت Microsoft من تأسيس نفسه كمزود مهيمن للخدمات السحابية الحكومية في 2010. في عام 2019 ، فازت الشركة بعقد سحابة بقيمة 10 مليارات دولار مع وزارة الدفاع ، والتي تم إلغاؤها لاحقًا في عام 2021 بعد النزاعات القانونية. في عام 2022 ، إلى جانب Amazon و Google و Oracle ، تلقت Microsoft حصة من العقود السحابية الجديدة التي تصل إلى 9 مليارات دولار.

استندت هذه النجاحات جزئيًا إلى قدرة Microsoft على استخدام الموارد العالمية وفي نفس الوقت لتلبية متطلبات الأمن الصارمة للحكومة الأمريكية. كان نظام المرافقة الرقمية حلاً مبدعًا ولكنه محفوف بالمخاطر لمشكلة أساسية: كيف يمكن لشركة التكنولوجيا العالمية التي لديها عمليات واسعة في الصين والهند وأوروبا تلبية متطلبات الموظفين المقيدين لعقود الحكومة الأمريكية؟

FedRamp والتحايل على اللوائح الأمنية

تم تقديم برنامج إدارة المخاطر والترخيص الفيدرالي (FEDRAMP) في عام 2011 لتقديم نهج موحد لتقييم ومراقبة وترخيص منتجات وخدمات الحوسبة السحابية بموجب قانون إدارة أمن المعلومات الفيدرالي (FISMA). مطالب FedRamp من مقدمي الخدمات السحابية الذين يرغبون في العمل مع الحكومة الفيدرالية لضمان إجراء اختبارات الخلفية للموظفين الذين يتعاملون مع بيانات الحكومة الفيدرالية الحساسة للغاية.

صاغت وزارة الدفاع إرشادات سحابية إضافية تحدد أن الموظفين الذين يتعاملون مع البيانات المصنفة يجب أن يكونوا مواطنين أمريكيين أو سكان دائمون. كانت هذه المتطلبات يمثل تحديًا كبيرًا بالنسبة لـ Microsoft ، حيث تعتمد الشركة على قوة عاملة عالمية من الهند والصين والاتحاد الأوروبي والمناطق الأخرى.

طور Indy Crowley ، مدير برنامج كبير في Microsoft ، برنامج المرافقة الرقمية كوسيلة لتجنب متطلبات FedRamp و DOD. مكّن هذا النظام المهندسين الأجانب في بلدان مثل الصين من تقديم الدعم المناسب دون الحاجة إلى الوصول المباشر إلى الأنظمة الحكومية.

دور وكالة أنظمة المعلومات الدفاعية (DISA)

تعمل وكالة أنظمة المعلومات الدفاعية (DISA) كمنظمة دعم لتكنولوجيا المعلومات المركزية لوزارة الدفاع وهي مسؤولة عن تطوير وصيانة دليل متطلبات أمان الحوسبة السحابية DOD (SRG). تحدد DISA متطلبات الأمان الأساسية التي تستخدمها وزارة الدفاع لتقييم الوضع الأمني لمزود الخدمة السحابية.

على الرغم من دورها الرئيسي في مراقبة الأمان السحابي ، يبدو أن DISA لديها القليل من المعرفة حول برنامج مرافقة Microsoft الرقمي. صرح متحدث باسم DISA في البداية أنه لا يستطيع العثور على أي شخص سمع عن مفهوم المرافقة. أكدت الوكالة في وقت لاحق أن المرافقين في "بيئات غير مصنفة مختارة" من وزارة الدفاع تستخدم في "تشخيص المشكلات المتقدمة ومحلول خبراء الصناعة".

قلة التواصل والإشراف

يثير غموض المسؤولين الحكوميين بنظام المرافقة الرقمي أسئلة جدية حول الإشراف والتواصل بين Microsoft والوكالات الحكومية المسؤولة. بينما ادعت Microsoft أنها كشفت عن ممارساته خلال عملية التفويض ، فوجئ المسؤولون الحكوميون ولم يتمكنوا من تذكر المعلومات ذات الصلة.

وصف David Mihelcic ، كبير مسؤولي التكنولوجيا السابقة في DISA ، أي رؤية في شبكة وزارة الدفاع بأنها "خطر هائل" وتميز بشكل كبير الموقف: "هنا لديك شخص لا تثق به حقًا لأنها ربما تكون في الخدمة السرية الصينية ، والشخص الآخر غير قادر حقًا على".

رد الفعل الفوري والعواقب السياسية

وزير الدفاع هيغسيث يتدخل

أدت الوحي من Publica إلى ردود فعل سياسية فورية على أعلى مستوى. كان رد فعل وزير الدفاع Pete Hegseth مباشرة على التقارير وأعلنه في رسالة فيديو على X (Twitter سابقًا): "يجب ألا يتمكن المهندسون الأجانب – من كل بلد ، بما في ذلك الصين ، بالطبع – من الوصول إلى أنظمة DOD".

أمر هيغسيث بمراجعة مدتها أسبوعين لجميع عقود السحابة في وزارة الدفاع لضمان عدم مشاركة أي متخصصين صينيين في المشاريع الجارية. وأوضح بشكل قاطع: "الصين لن تشارك في خدماتنا السحابية من الآن فصاعدًا".

في بيانه ، جعلت هيغسيث إدارة أوباما مسؤولة لأنها تفاوضت على الصفقة السحابية الأصلية. لقد تحدث عن "العمال الصينيين الرخيصين" ، الذين "من الواضح أنه غير مقبول" ويمثل نقطة ضعف محتملة في أنظمة الكمبيوتر DOD.

تتفاعل Microsoft مع الضغط

في ضوء الضغط السياسي ، كان رد فعل Microsoft بسرعة. أكد فرانك X. شو ، كبير مسؤولي الاتصالات في الشركة ، يوم الجمعة على X أن Microsoft قام بتغييرات على دعمه لعملاء الحكومة الأمريكية ، "لضمان عدم وجود فرق هندسية مقرها في الصين.

لم يتم تقديم هذا الإعلان بعد ساعات فقط من إعلان وزير الدفاع هيغسيث عن تحقيق من قبل Microsoft للمهندسين الأجانب. تشير سرعة التفاعل إلى وعي الشركة بشدة الوضع والآثار المحتملة على عقودها الحكومية المربحة.

امتحان سناتور

أرسل السناتور توم كوتون ، رئيس وكالة الاستخبارات في مجلس الشيوخ وعضو لجنة قوات ARM ، خطابًا إلى وزير الدفاع هيغسيث يوم الخميس وسأل المعلومات والوثائق حول البرنامج. طلب Cotton قائمة بجميع عمال وزارة الدفاع الذين يعملون على موظفين صينيين ، وكذلك مزيد من التفاصيل حول كيفية تدريب "المرافقين الرقميين" من أجل التعرف على الأنشطة المشبوهة.

وقال كوتون في سيارة X: "في ضوء التقارير الأصغر والمزعجة عن Microsoft ، والتي يستخدمها المهندسون في الصين للحفاظ على أنظمة DOD ، طلبت من وزير الدفاع فحص الأمر". "علينا حماية أنفسنا من جميع التهديدات في سلسلة التوريد الخاصة بالجيش".

نقاط الضعف الفنية والمخاطر الأمنية

مشكلة فجوة المهارات

واحدة من أهم المشكلات الأساسية لنظام المرافقة الرقمية كانت التناقض الكبير في الخبرة الفنية بين المهندسين الصينيين وحراسهم الأمريكيين. خلقت "فجوة المهارات هذه" وضعًا خطيرًا تم فيها مراقبة الفنيين الأجانب المؤهلين تأهيلا عاليا من قبل المواطنين الأمريكيين الأقل تأهيلًا بشكل ملحوظ.

أوضح ماثيو إريكسون ، مهندس مايكروسوفت السابق الذي عمل في البرنامج ، المشكلة بوضوح: "إذا قام شخص ما بإجراء برنامج نصي يسمى" fix_servers.sh "، ولكنه يفعل شيئًا خبيثًا ، فلن يكون لدى [المرافقة] أي فكرة". يوضح هذا البيان الضعف الأساسي للنظام: تحديد عجز رصد الكود الذي يحتمل أن يكون ضارًا.

توظيف وتأهيل المرافقين الرقميين

تم توظيف لوكهيد مارتن ، توظيف المرافقين الرقميين ، مع اختيار المرشحين بشكل رئيسي بسبب إصداراتهم الأمنية وليس بسبب مهاراتهم الفنية. بدأت الإعلانات الوظيفية لشغل مناصب مرافقة مع شهادة DOD Security بأجور لا تقل عن 18 دولارًا في الساعة.

يتواصل فريق مرافقة من حوالي 50 شخصًا في Insight Global شهريًا مع مهندسي Microsoft ومقره في الصين واعترفوا بمئات الأوامر في الأنظمة الحكومية. حذر مدير المشروع Microsoft من أن المرافقين Set سيكون لها العيون الصحيحة لهذه المهمة بسبب انخفاض الدفع وعدم وجود خبرة متخصصة.

التدابير الأمنية الآلية وحدودها

أصرت Microsoft على أن نظام المرافقة يتضمن العديد من مستويات الأمان ، بما في ذلك سير عمل الموافقة ومراجعات التعليمات البرمجية الآلية من خلال نظام مراجعة داخلي يسمى "Lockbox". يجب أن يضمن هذا النظام تصنيف الاستفسارات على أنها آمنة أو تشير إلى القلق.

ومع ذلك ، ظلت تفاصيل هذه التدابير الأمنية غامضة ، ورفضت Microsoft الكشف عن معلومات محددة حول عمل نظام Lockbox ، مشيرة إلى مخاطر الأمان. عزز هذا الشفاء غير المظاهر مخاوف النقاد حول فعالية تدابير الحماية المنفذة.

السياق التاريخي وحوادث الأمن السابقة

قصة مايكروسوفت مع المتسللين الصينيين

إن الجدل حول المهندسين الصينيين يمثل مشكلة خاصة على خلفية تاريخ Microsoft الموثق مع الهجمات الإلكترونية الصينية. تم استهداف الشركة مرارًا وتكرارًا من قبل المتسللين من الصين وروسيا ، والتي دخلت بنجاح أنظمة Microsoft.

في عام 2023 ، تمكن المتسللون الصينيون من سرقة آلاف رسائل البريد الإلكتروني من صناديق البريد الإلكتروني في وزارة الأجنبية والتجارة. تؤكد هذه الحوادث على التهديد الحقيقي ، الذي يعتمد على العمليات الإلكترونية الصينية ، واتخاذ قرار Microsoft بجعل المهندسين الصينيين يعملون مع أنظمة البنتاغون يعملون بشكل أكثر شك.

تهديدات الأمن العالمية الحالية

بعد أيام قليلة فقط من اكتشاف فضيحة المرافقة الرقمية ، أصيبت Microsoft مرة أخرى بحادث أمني كبير. في يوليو 2025 ، مكّنت نقطة ضعف كبيرة في منتج Microsoft على نطاق واسع العديد من مجموعات المتسللين الصينيين من التنازل عن العشرات من المنظمات في جميع أنحاء العالم وسلطتين اتحاديتين على الأقل.

هذا الوقت يزيد القرب من الحوادث من المخاوف بشأن قدرة Microsoft على الحفاظ على التدابير الأمنية المناسبة ضد التهديدات الإلكترونية الصينية. حذر Charles Carmakal ، كبير مسؤولي التكنولوجيا في Google Mandiant ، "من الأهمية بمكان أن نفهم أن العديد من الجهات الفاعلة تستغل هذه الضعف بنشاط".

مركز للأمن والدفاع – الصورة: Xpert.Digital

يقدم مركز الأمن والدفاع نصيحة جيدة التأسيس والمعلومات الحالية من أجل دعم الشركات والمؤسسات بفعالية في تعزيز دورها في سياسة الأمن والدفاع الأوروبي. في اتصال وثيق مع SME Connect Group ، يقوم بترويج الشركات الصغيرة والمتوسطة (SMEs) على وجه الخصوص والتي تريد توسيع قوته المبتكرة وقدرتها التنافسية في مجال الدفاع. كنقطة اتصال مركزية ، يخلق المحور جسرًا حاسمًا بين SME واستراتيجية الدفاع الأوروبي.

مناسب ل:

• دفاع مجموعة العمل عن SME Connect – تعزيز الشركات الصغيرة والمتوسطة في الدفاع الأوروبي

شهادات نموذج الأمن السيبراني Matura (CMMC) وتحديات الامتثال

CMMC استجابة للفجوات الأمنية

تم تطوير برنامج شهادات Matura Modera (CMMC) للأمن السيبراني (CMMC) من قبل DOD لتعزيز الأمن السيبراني في صناعة الدفاع وحماية المعلومات غير المصنفة الحساسة بشكل أفضل. تم تصميم CMMC لإنفاذ حماية معلومات العقد الفيدرالية (FCI) والمعلومات غير المصنفة التي يتم التحكم فيها (CUI).

يشتمل إطار CMMC 2.0 ، الذي تم تقديمه في نوفمبر 2021 ، على ثلاث درجات من النضوج ، ولكل منها متطلبات محددة وأكثر صرامة. يركز المستوى 1 على ممارسات النظافة الإلكترونية الأساسية للمقاولين الذين يتعاملون مع FCI ، في حين تم تصميم المستوى 2 و 3 للمؤسسات التي تعالج CUI وتتطلب تدابير أمنية أعلى.

امتثال CMMC من Microsoft ومشكلة المرافقة

يثير الكشف عن نظام المرافقة الرقمية أسئلة خطيرة حول امتثال Microsoft لمتطلبات CMMC. تم تصميم مستويات CMMC من المستوى 2 والمستويات العليا خصيصًا لحماية CUI – بالضبط نوع المعلومات التي يحتمل الوصول إليها من المهندسين الصينيين عبر نظام المرافقة.

تدعي Microsoft أنه يمكن للعملاء إظهار امتثال CMMC في بيئات سحابية مختلفة ، بما في ذلك السحابة التجارية للمستويات المنخفضة وسحابة SoegeChegn الأمريكية لمتطلبات الأمان الأعلى. ومع ذلك ، فإن حقيقة أن المهندسين الصينيين تمكنوا من الوصول إلى بيانات IL4 و IL5 تشير إلى انتهاك محتمل للمبادئ الأساسية لـ CMMC.

تصنيفات مستوى التأثير ومعناها

تعد تصنيفات مستوى تأثير DOD عنصرًا مهمًا لفهم شدة فضيحة المرافقة الرقمية. يغطي مستوى التأثير 4 (IL4) المعلومات غير المصنفة التي يتم التحكم فيها (CUI) ، في حين تم تصميم مستوى التأثير 5 (IL5) لبيانات أنظمة الأمن القومي غير المصنفة (NSS).

تتطلب معلومات IL5 حماية أعلى من IL4 وتتضمن معلومات مهمة وبيانات NSS. يمكن أن يكون للكشف غير المصرح به لمعلومات IL5 آثار خطيرة أو كارثية على الأمن القومي. حقيقة أن المهندسين الصينيين يمكن أن يكون لديهم إمكانية الوصول إلى كلا الفئتين يجعل الفجوة الأمنية مثيرة للقلق بشكل خاص.

وجهات النظر الدولية والآثار الجيوسياسية

الصين الصيني الصراع السيبراني في السياق

تحدث فضيحة المرافقة الرقمية على خلفية تدهور العلاقات الصينية الأمريكية وحرب تجارية مستمرة – نوع الصراع الذي ، وفقًا لرأي الخبراء ، يمكن أن يؤدي إلى تدابير حساب الإنترنت الصينية. تقر الحكومة الأمريكية أن مهارات الصين الإلكترونية هي واحدة من أكثر التهديدات عدوانية وخطورة للولايات المتحدة.

وصف هاري كوكر ، موظف مدني سابق رفيع المستوى في وكالة المخابرات المركزية ووكالة الأمن القومي ، بصراحة هيكل المرافقة: "إذا كنت عاملًا ، فسأعتبر هذا قيمة للغاية. يجب أن نكون قلقين للغاية". يؤكد هذا التقييم لخبير الاستخبارات على شدة الفجوة الأمنية المحتملة من وجهة نظر الذكاء.

الآثار على سلسلة التوريد التكنولوجية العالمية

تثير الفضيحة أسئلة أوسع حول أمان مقدمي برامج الطرف الثالث المستخدمة في الحكومة الفيدرالية بأكملها. في ديسمبر 2024 ، تعرض المتسلل الصيني BeyondTrust ، وهو مزود أمن الإنترنت الخاص ، للخطر للوصول إلى وزارة المالية الأمريكية ، بما في ذلك تلك الموجودة في مكتب مراقبة الأصول الأجنبية وفي مكتب وزير المالية جانيت يلين.

توضح هذه الحوادث ضعف سلاسل التوريد التكنولوجية المعقدة التي تعتمد عليها الحكومات الحديثة. كما يوضحون صعوبة الحفاظ على الأنظمة الوطنية الآمنة حقًا في عالم معولم يكون فيه كل شيء دوليًا دوليًا ودوليًا ، كما أشار خبير الأمن بروس شنير.

ردود أفعال الصناعة وآراء الخبراء

يرفع خبراء الأمن التنبيه

أعرب مختلف خبراء الأمن السيبراني والمسؤولين الحكوميين السابقين عن قلقهم بشأن الوحي. قال جون شيرمان ، الذي كان وزارة الدفاع خلال مسؤولي المعلومات في إدارة بايدن ، إنه فوجئ وقلق من رؤى Publica: "ربما كان ينبغي أن أعرف ذلك". وقال إن الموقف برر "مراجعة شاملة من قبل DISA ، قيادة الإنترنت وأصحاب المصلحة الآخرين المعنيين".

وصفت مؤسسة الدفاع عن الديمقراطيات الوضع بأنه خماسي ، "منحت الصين الوصول إلى أنظمتها لأكثر من عقد من الزمان". أكدت هذه المنظمة أن برنامج DOD مكّن المهندسين الصينيين من الوصول إلى أنظمة البنتاغون ، في حين أنها يمكن أن تدخل نقاط الضعف في أنظمة DOD تحت ستار صيانة البرامج.

جهود الدفاع والشفافية من Microsoft

دافعت Microsoft عن نظام المرافقة باعتباره متوافقًا مع المعايير الحكومية. وقال متحدث باسم الشركة: "بالنسبة لبعض الاستفسارات الفنية ، فإن Microsoft يرتكبها فريق الخبراء العالميين من أجل تقديم الدعم من الموظفين الأمريكيين المعتمدين ، وفقًا لمتطلبات وعمليات الحكومة الأمريكية".

أكدت الشركة أن "جميع الموظفين والمقاولين الذين لديهم وصول متميز على الصعيد الوطني يجب عليهم اجتياز امتحانات الخلفية" وأن "موظفي الدعم العالمي ليس لديهم وصول مباشر إلى بيانات العميل أو أنظمة العملاء". ادعت Microsoft أيضًا أنها تستخدم العديد من مستويات الأمان ، بما في ذلك تدفقات عمل الموافقة ومراجعات التعليمات البرمجية الآلية لمنع التهديدات.

من غير المعتاد بالنسبة للصناعة ، وافقت Microsoft على مشاركة وثائقها في التكافؤ (BOE) مع العملاء بموجب اتفاقيات السرية ، مما يدل على مستوى الشفافية لا يوفر العديد من مقدمي الخدمات السحابية الآخرين.

الآثار الطويلة على المدى الطويل واحتياجات الإصلاح

التغييرات الهيكلية في الحكومة-

يمكن أن تؤدي فضيحة المرافقة الرقمية إلى تغييرات أساسية في الطريقة التي تدير بها حكومة الولايات المتحدة وتراقب بنيتها التحتية لتكنولوجيا المعلومات. لقد أدت الوحي بالفعل إلى زيادة السيطرة على ممارسات المقاولين الدفاع ومتطلبات أكثر صرامة لاحتلال مشاريع التكنولوجيا الحساسة.

يتوقع المحللون خطوات مماثلة في الصناعة بأكملها ، حيث يواصل المشرعون والموظفون العسكريون التركيز على مخاطر الأمن السيبراني وسلامة سلسلة التوريد لأنظمة تكنولوجيا المعلومات الحكومية. يمكن أن تؤدي المراجعة المستمرة لجميع عقود وزارة الدفاع إلى إعادة تقييم على مستوى الصناعة للممارسات الأمنية.

الآثار على مقدمي الخدمات السحابية الآخرين

على الرغم من أن الوحي الحالي يركز على Microsoft ، إلا أنه من غير الواضح ما إذا كان مقدمو الخدمات السحابية الآخرين الذين يعملون في حكومة الولايات المتحدة ، مثل Amazon Web Services أو Google Cloud ، يعتمدون أيضًا على المرافقة الرقمية. رفضت هذه الشركات التعليق على الأمر عندما تم الاتصال بها من قبل Publica.

يمكن أن تؤدي إمكانية أن تكون الممارسات المماثلة في الصناعة بأكملها منتشرة قد تؤدي إلى مراجعة وإصلاح شاملة لممارسات الأمن السحابية للعقود الحكومية. أشار وزير الدفاع هيغسيث إلى أن المحقق يمكنه التحقيق في مقدمي الخدمات المعتمدين من قبل برنامج شهادة نموذج استحقاق الأمن السيبراني (CMMC).

التكاليف والكفاءة مقابل الأمان

تثير الفضيحة أسئلة أساسية حول التوازن بين كفاءة التكلفة والأمن في عقود الحكومة في الحكومة. في بعض الأحيان ، كان استخدام Microsoft للمهندسين الصينيين مدفوعًا بالرغبة في الحفاظ على انخفاض التكاليف وفي الوقت نفسه يقدم الدعم الفني المؤهل تأهيلا عاليا.

وقال إندي كراولي ، الذي طور برنامج المرافقة الرقمية ، لـ Publica: "إنه دائمًا توازن بين التكاليف والجهد والخبرة. حتى تتمكن من العثور على ما هو جيد بما فيه الكفاية". هذه العقلية ، التي منحت Microsoft ممكنة لاستخدام القوى العاملة العالمية ، في حين أن متطلبات الحكومة قد تعرضت على ما يبدو ، يمكن أن تخضع الآن لإعادة تقييم أساسية.

الابتكارات التكنولوجية والآفاق المستقبلية

الأتمتة و AI في الأمن السيبراني

تؤكد الوحي حول المرافقين الرقميين الحاجة إلى أنظمة أمان آلية أكثر تقدماً والتي يمكن أن تكمل أو استبدال الإشراف البشري. يمكن أن تعالج تقنيات الأمن السيبراني الحديثة ، بما في ذلك اكتشاف التهديدات التي تسيطر عليها الذكاء الاصطناعي وتحليل الكود الآلي ، بعض نقاط الضعف في نظام المرافقة البشرية.

تستثمر Microsoft وغيرهم من مقدمي الخدمات السحابية بالفعل بشكل كبير في حلول الأمان القائمة على الذكاء الاصطناعي يمكن أن تعترف بأنشطة ضارة محتملة في الوقت الفعلي. في المستقبل ، يمكن أن تلعب هذه التقنيات دورًا مهمًا في تقليل الحاجة إلى الوسطاء البشريين الذين قد لا يكون لديهم المهارات الفنية اللازمة.

بنيات ثقة الصفر وتنفيذها

تزيد الفضيحة أيضًا من الحركة نحو بنيات أمان الثقة الصفرية ، والتي تفترض أنه لا يوجد أي كيان – لا داخل أو خارج محيط الشبكة – جدير بالثقة تلقائيًا. تتطلب هذه الأساليب التحقق المستمر ومراقبة جميع المستخدمين والأجهزة قبل الوصول إلى الأنظمة والبيانات.

بالنسبة للخدمات السحابية الحكومية ، يمكن أن يقلل تنفيذ مبادئ ثقة قوية من بعض المخاطر التي تنشأ عن استخدام الدعم الفني الأجنبي. تتطلب مثل هذه الأنظمة أن يتم التحقق من كل إجراء – بغض النظر عمن يحملها – من خلال العديد من مستويات الأمان.

الآثار الاقتصادية وديناميات السوق

الآثار على أعمال حكومة Microsoft

تعد الأعمال الحكومية لشركة Microsoft عامل مبيعات مهم للشركة. وفقًا لتقرير النتائج الفصلية الأخيرة ، تقوم Microsoft بإنشاء دخل كبير من العقود الحكومية ، مع أكثر من نصف مبلغ 70 مليار دولار من العملاء الذين يتخذون من الولايات المتحدة مقراً له في الربع الأول.

وفقًا للمحللين ، يولد قسم خدمات Azure Cloud Services ، الذي يتأثر بالجدل ، أكثر من 25 ٪ من إجمالي مبيعات الشركة. أي ضعف طويل المدى لقدرة Microsoft على اكتساب العقود الحكومية أو الاحتفاظ بها قد يكون لها آثار مالية كبيرة.

الآثار التنافسية في صناعة السحابة

يمكن أن تفيد الفضيحة منافسي Microsoft في صناعة السحابة ، وخاصة Amazon Web Services (AWS) ، والتي تعد بالفعل أكبر مزود سحابة ، و Google Cloud. إذا بدأت الوكالات الحكومية في التشكيك في ممارسات الأمن في Microsoft ، فيمكنك اللجوء إلى مقدمي الخدمات البديلين الذين يمكنهم تقديم ضمانات أمنية أكثر قوة.

يمكن أن يؤدي هذا الجدل أيضًا إلى ترقية معايير الأمن على مستوى الصناعة ، لأن مقدمي الخدمات يحاولون الابتعاد عن المشكلات التي أثيرت في قضية Microsoft. قد يؤدي ذلك إلى ارتفاع تكاليف ، ولكن أيضًا تحسين الممارسات الأمنية في الصناعة بأكملها.

الآثار على سلسلة التوريد التكنولوجية العالمية

يثير الوحي أيضًا أسئلة واسعة حول استدامة سلاسل توريد التكنولوجيا العالمية في وقت من التوترات الجيوسياسية. تعتمد العديد من شركات التكنولوجيا على المواهب والموارد من مختلف البلدان ، بما في ذلك تلك التي يُنظر إليها على أنها خصوم محتملين.

يمكن أن يتسارع الاتجاه نحو "Freund-Salung" أو "SPRAY القريب" من خدمات التكنولوجيا الحرجة لأن الحكومات تحاول تقليل اعتمادها على الموردين الأجانب المحتملين. قد يؤدي ذلك إلى تغييرات كبيرة في كيفية تنظيم شركات التكنولوجيا العالمية وتشغيلها.

الإصلاحات التنظيمية والعواقب السياسية

التغييرات المحتملة في القانون

يمكن أن تؤدي فضيحة المرافقة الرقمية إلى إصلاحات تنظيمية كبيرة تهدف إلى منع فجوات أمنية مماثلة في المستقبل. يمكن للكونجرس تقديم متطلبات أكثر صرامة لتوظيف العمال الأجانب في مشاريع حكومية حساسة أو وصف اختبارات الخلفية الممتدة ومتطلبات المراقبة.

يمكن أن تشمل الإصلاحات المحتملة أيضًا متطلبات الشفافية الممتدة لمقدمي الخدمات السحابية الذين يعملون مع الحكومة ، بما في ذلك التقارير التفصيلية حول الجنسية والمؤهلات لجميع الموظفين الذين لديهم إمكانية الوصول إلى الأنظمة الحكومية.

الآثار على ممارسات الشراء المستقبلية

يمكن أن يؤدي الجدل أيضًا إلى تغييرات أساسية في ممارسات المشتريات الحكومية. يمكن أن تحتوي العقود المستقبلية على متطلبات أمنية أكثر صرامة وحقوق التدقيق الممتدة والعقوبات الأكثر صعوبة على الانتهاكات الأمنية.

يمكن أن تبدأ الحكومة أيضًا في إعطاء الأولوية للأمن أكثر تجاه التكاليف ، مما قد يؤدي إلى نفقات أعلى لخدمات تكنولوجيا المعلومات ، ولكن أيضًا ضمانات أمنية أكثر قوة. هذا يمكن أن ينطبق بشكل خاص على المشاريع الحساسة للغاية التي تشمل بيانات الأمن القومي.

كشفت فضيحة Microsoft Digital Escort عن ضعف في الطريقة التي تدير بها حكومة الولايات المتحدة وتراقب أنظمة تكنولوجيا المعلومات الأكثر حساسية. إن كشف النقاب عن أن الفنيين الصينيين تمكنوا من الوصول إلى أنظمة البنتاغون السائبة لمدة عقد من الزمان لم يسبب ردود الفعل السياسية وريادة الأعمال الفورية فحسب ، بل أثاروا أيضًا أسئلة أساسية حول التوازن بين كفاءة التكلفة والأمن القومي.

يظهر رد الفعل السريع لوزير الدفاع هيغسيث ومايكروسوفت التغييرات السياسية الفورية الوعي بشدة الوضع. ومع ذلك ، فإن الآثار المترتبة على هذه الفضيحة تتجاوز بكثير ممارسة الشركات الواحدة. إنها تؤثر على السؤال الأساسي حول كيفية حماية المجتمعات الديمقراطية الأكثر أهمية بنيتها التحتية الرقمية في العالم الجيوسياسي متزايد الشبكات.

من المحتمل أن تكون الآثار الطويلة الأجل بمثابة تقييم أساسي لممارسات الأمن السحابية والمتطلبات التنظيمية الأكثر صرامة وربما إعادة تصميم الأنواع التي تتفاعل معها شركات التكنولوجيا العالمية مع الحكومات الوطنية. في حين أن الأزمة الفورية قد تتعامل مع تغييرات Microsoft في التغييرات السياسية وفحص البنتاغون ، فإن التحدي الأوسع المتمثل في التوفيق بين الأمن والكفاءة في المشهد التكنولوجي المعولم.

ماركوس بيكر

سأكون سعيدًا بالعمل كمستشار شخصي لك.

رئيس تطوير الأعمال

رئيس مجموعة عمل الدفاع SME Connect

ينكدين

كونراد ولفنشتاين

سأكون سعيدًا بالعمل كمستشار شخصي لك.

الاتصال بي تحت Wolfenstein ∂ xpert.digital

اتصل بي تحت +49 89 674 804 (ميونيخ)

ينكدين