مخاطر الدفاع والأمن: مايكروسوفت: فنيون من الصين يديرون سحابة وزارة الدفاع الأمريكية - الصورة: Xpert.Digital
الكشف عن فضيحة البنتاغون: كيف منحت مايكروسوفت فنيين صينيين إمكانية الوصول إلى الأنظمة الأمريكية لسنوات
"مرافقون رقميون": الحيلة الغريبة التي استخدمتها مايكروسوفت للتحايل على قوانين الأمن الأمريكية لصالح الصين
### خطر أمني جسيم؟ مايكروسوفت تُوكل صيانة سحابة البنتاغون إلى مهندسين صينيين ### بعد الكشف عن المعلومات الصينية: مايكروسوفت تُغير سياستها فورًا – لكن الضرر قد وقع بالفعل ###
أثار الكشف عن إدارة مهندسين صينيين للبنية التحتية السحابية بالغة الحساسية لوزارة الدفاع الأمريكية لصالح شركة مايكروسوفت، واحدة من أكبر الفضائح الأمنية في الذاكرة الحديثة. فما بدأ كحلٍّ اقتصادي للدعم الفني، تحوّل إلى خطر محتمل على الأمن القومي ذي أهمية بالغة.
الكشف عن ممارسة خطيرة
على مدى عقدٍ تقريباً، قدّمت مايكروسوفت البنية التحتية السحابية القائمة على منصة Azure لوزارة الدفاع الأمريكية. وقد استند هذا التعاون، الذي كان ذا أهمية استراتيجية ومالية هائلة لمايكروسوفت، إلى نظام يُعتبر الآن مهملاً بشكلٍ جسيم في تعامله مع البيانات الحكومية بالغة الحساسية.
كشف تحقيق استقصائي أجرته منظمة ProPublica الأمريكية في يوليو 2025 عما يعتبره العديد من خبراء الأمن ثغرة أمنية غير مقبولة: فقد عهدت شركة مايكروسوفت بصيانة بنيتها التحتية التابعة لوزارة الدفاع إلى فنيين من دول غير أمريكية، ولا سيما الصين. لم تكن هذه الممارسة قائمة لسنوات فحسب، بل كانت أيضًا عاملاً حاسماً في نجاح مايكروسوفت في الفوز بعقود حكومية في قطاع الحوسبة السحابية.
ذو صلة بهذا الموضوع:
نظام "المرافقين الرقميين"
استند النظام الذي طورته مايكروسوفت إلى ما يُسمى بـ"المرافقين الرقميين" - وهم مواطنون أمريكيون يحملون تصاريح أمنية مناسبة، وكان من المفترض أن يراقبوا عن بُعد عمل الفنيين الأجانب. عمل هؤلاء المرافقون الرقميون كوسطاء بين مهندسي مايكروسوفت الصينيين وأنظمة الحوسبة السحابية التابعة لوزارة الدفاع الأمريكية (البنتاغون)، حيث قاموا بإدخال الأوامر والتعليمات من زملائهم الأجانب إلى الأنظمة الحكومية.
تكمن مشكلة هذا النظام في ضعفه الهيكلي الجوهري: فغالباً ما يفتقر المراقبون الرقميون إلى الخبرة التقنية اللازمة لمراقبة عمل زملائهم الصينيين بشكل صحيح. وكان العديد منهم من العسكريين السابقين ذوي الخبرة البرمجية المحدودة، والذين بالكاد يتقاضون أجوراً تزيد عن الحد الأدنى للأجور مقابل هذا العمل الحساس. وقد لخص أحد المراقبين المشكلة قائلاً: "نحن نثق بأن ما يفعلونه ليس خبيثاً، لكننا في الحقيقة لا نستطيع الجزم بذلك".
الوصول إلى بيانات بالغة الحساسية
كان من المحتمل أن يكون لدى المهندسين الصينيين إمكانية الوصول إلى معلومات مصنفة ضمن "المستوى الرابع والخامس من التأثير" - وهي بيانات تُعتبر بالغة الحساسية ولكنها غير مصنفة رسميًا على أنها سرية. تشمل هذه الفئة محتوى يدعم العمليات العسكرية بشكل مباشر، بالإضافة إلى بيانات أخرى قد يؤدي اختراقها، وفقًا لتوجيهات البنتاغون، إلى "عواقب وخيمة أو كارثية" على الأمن القومي.
تم تصميم مستوى التأثير 5 (IL5) خصيصًا لأنظمة الأمن القومي غير المصنفة التي تدعم مهام وزارة الدفاع الأمريكية وتعالج المعلومات غير المصنفة الخاضعة للرقابة (CUI)، والتي تتطلب مستوى حماية أعلى من مستوى التأثير 4 (IL4). قد تشمل هذه المعلومات بيانات البحث والتطوير، وبيانات الخدمات اللوجستية، ومحتويات أخرى بالغة الأهمية للمهمة، والتي قد تتسبب في أضرار جسيمة في حال اختراقها.
نموذج أعمال مايكروسوفت والتحايل على الامتثال
الطريق إلى الهيمنة على الحوسبة السحابية
في العقد الثاني من الألفية، رسّخت مايكروسوفت مكانتها كمزود رئيسي لخدمات الحوسبة السحابية الحكومية. فازت الشركة بعقد سحابي بقيمة 10 مليارات دولار مع وزارة الدفاع الأمريكية عام 2019، والذي أُلغي لاحقًا عام 2021 إثر نزاعات قانونية. وفي عام 2022، حصلت مايكروسوفت، إلى جانب أمازون وجوجل وأوراكل، على حصة من عقود سحابية جديدة تصل قيمتها إلى 9 مليارات دولار.
استندت هذه النجاحات جزئيًا إلى قدرة مايكروسوفت على الاستفادة من الموارد العالمية مع تلبية متطلبات الأمن الصارمة للحكومة الأمريكية ظاهريًا. كان نظام المرافقة الرقمية حلاً مبتكرًا ولكنه محفوف بالمخاطر لمشكلة جوهرية: كيف يمكن لشركة تقنية عالمية ذات عمليات واسعة النطاق في الصين والهند وأوروبا أن تلبي متطلبات التوظيف المقيدة لعقود الحكومة الأمريكية؟
برنامج FedRAMP والتحايل على لوائح السلامة
أُنشئ برنامج إدارة المخاطر والترخيص الفيدرالي (FedRAMP) في عام 2011 لتوفير منهجية موحدة لتقييم ومراقبة وترخيص منتجات وخدمات الحوسبة السحابية بموجب قانون إدارة أمن المعلومات الفيدرالي (FISMA). ويُلزم برنامج FedRAMP مزودي خدمات الحوسبة السحابية الراغبين في العمل مع الحكومة الفيدرالية بضمان إجراء فحوصات أمنية للموظفين الذين يتعاملون مع بيانات حكومية فيدرالية بالغة الحساسية.
وضعت وزارة الدفاع الأمريكية توجيهات إضافية بشأن الحوسبة السحابية، تشترط أن يكون الموظفون الذين يتعاملون مع البيانات السرية مواطنين أمريكيين أو مقيمين دائمين. وقد شكلت هذه المتطلبات تحديًا كبيرًا لشركة مايكروسوفت، نظرًا لاعتمادها على قوة عاملة عالمية من الهند والصين والاتحاد الأوروبي ومناطق أخرى.
قام إندي كراولي، مدير برامج أول في مايكروسوفت، بتطوير برنامج المرافقة الرقمية كوسيلة للالتفاف على متطلبات برنامج إدارة موارد المؤسسات الفيدرالية (FedRAMP) ووزارة الدفاع الأمريكية. وقد مكّن هذا النظام المهندسين الأجانب في دول مثل الصين من تقديم الدعم الكافي دون الحاجة إلى الوصول المباشر إلى الأنظمة الحكومية.
دور وكالة نظم المعلومات الدفاعية (DISA)
تُعدّ وكالة أنظمة معلومات الدفاع (DISA) الجهة المركزية لدعم تكنولوجيا المعلومات في وزارة الدفاع، وهي مسؤولة عن تطوير وصيانة دليل متطلبات أمن الحوسبة السحابية التابع لوزارة الدفاع. وتُحدد الوكالة متطلبات الأمان الأساسية التي تستخدمها وزارة الدفاع لتقييم الوضع الأمني لمزود خدمة الحوسبة السحابية.
على الرغم من دورها المحوري في مراقبة أمن الحوسبة السحابية، بدا أن وكالة نظم معلومات الدفاع (DISA) تفتقر إلى المعرفة ببرنامج "المرافقة الرقمية" من مايكروسوفت. صرّح متحدث باسم الوكالة في البداية بأنهم لم يعثروا على أي شخص سمع بمفهوم "المرافقة". لاحقًا، أكدت الوكالة أن "المرافقة" تُستخدم في "بيئات مختارة غير مصنفة" تابعة لوزارة الدفاع من أجل "التشخيص المتقدم للمشاكل وحلها بواسطة خبراء في هذا المجال".
انعدام التواصل والرقابة
يثير الغموض بشأن هوية المسؤولين الحكوميين الذين تم إبلاغهم بنظام المرافقة الرقمية تساؤلات جدية حول الرقابة والتواصل بين مايكروسوفت والجهات الحكومية المعنية. فبينما زعمت مايكروسوفت أنها أفصحت عن ممارساتها خلال عملية الترخيص، أبدى ممثلو الحكومة استغرابهم ولم يتذكروا أي معلومات من هذا القبيل.
وصف ديفيد ميهلسيك، الرئيس التنفيذي السابق للتكنولوجيا في وكالة نظم معلومات الدفاع، أي اطلاع على شبكة وزارة الدفاع بأنه "خطر كبير" ووصف الوضع بشكل جذري: "هنا لديك شخص واحد لا تثق به حقًا لأنه ربما يكون في المخابرات الصينية، والشخص الآخر ليس كفؤًا حقًا".
رد الفعل الفوري والعواقب السياسية
وزير الدفاع هيجسيث يتدخل
أثارت تقارير ProPublica ردود فعل سياسية فورية على أعلى المستويات. ورد وزير الدفاع بيت هيغسيث مباشرةً على التقارير، معلناً في رسالة فيديو على منصة X (تويتر سابقاً): "لا ينبغي السماح مطلقاً للمهندسين الأجانب - من أي دولة، بما في ذلك الصين بالطبع - بالوصول إلى أنظمة وزارة الدفاع".
أمر هيغسيث بإجراء مراجعة شاملة لمدة أسبوعين لجميع عقود الحوسبة السحابية التابعة لوزارة الدفاع الأمريكية، للتأكد من عدم مشاركة أي متخصصين صينيين في المشاريع الجارية. وصرح بشكل قاطع: "لن يكون للصين أي دور على الإطلاق في خدماتنا السحابية من الآن فصاعدًا".
في بيانه، ألقى هيغسيث باللوم جزئياً على إدارة أوباما، كونها هي من تفاوضت على صفقة الحوسبة السحابية الأصلية. وتحدث عن "العمالة الصينية الرخيصة" التي كان استخدامها "غير مقبول بتاتاً" ويمثل ثغرة أمنية محتملة في أنظمة الحاسوب التابعة لوزارة الدفاع الأمريكية.
تستجيب مايكروسوفت للضغوط
في مواجهة الضغوط السياسية، استجابت مايكروسوفت بسرعة. أكد فرانك إكس شو، كبير مسؤولي الاتصالات في الشركة، يوم الجمعة أن مايكروسوفت أجرت تغييرات على دعمها لعملاء الحكومة الأمريكية "لضمان عدم تقديم أي فرق هندسية مقرها الصين للدعم الفني لخدمات الحوسبة السحابية الحكومية التابعة لوزارة الدفاع والخدمات ذات الصلة".
جاء هذا الإعلان بعد ساعات فقط من إعلان وزير الدفاع هيغسيث عن فتح تحقيق في استخدام مايكروسوفت لمهندسين أجانب. وتشير سرعة الاستجابة إلى أن الشركة تدرك خطورة الموقف وتأثيره المحتمل على عقودها الحكومية المربحة.
تحقيق مجلس الشيوخ
وجّه السيناتور توم كوتون، رئيس لجنة الاستخبارات في مجلس الشيوخ وعضو لجنة القوات المسلحة، رسالةً إلى وزير الدفاع هيغسيث يوم الخميس يطلب فيها معلومات ووثائق حول البرنامج. وطالب كوتون بقائمة بجميع المتعاقدين مع وزارة الدفاع الذين يوظفون أفرادًا صينيين، بالإضافة إلى مزيد من التفاصيل حول كيفية تدريب "المرافقين الرقميين" الأمريكيين على كشف الأنشطة المشبوهة.
"في ضوء التقارير الأخيرة والمقلقة حول استخدام مايكروسوفت لمهندسين في الصين لصيانة أنظمة وزارة الدفاع الأمريكية، طلبتُ من وزير الدفاع التحقيق في الأمر"، صرّح كوتون في منشور له. "يجب علينا حماية أنفسنا من جميع التهديدات التي تواجه سلسلة الإمداد العسكرية لدينا".
الثغرات التقنية والمخاطر الأمنية
مشكلة فجوة المهارات
كانت إحدى أبرز المشكلات الأساسية في نظام المرافقة الرقمية هي التفاوت الكبير في الخبرة الفنية بين المهندسين الصينيين ومشرفيهم الأمريكيين. وقد أدى هذا "الفجوة في المهارات" إلى خلق وضع خطير حيث كان الفنيون الأجانب ذوو المهارات العالية يُشرف عليهم مواطنون أمريكيون أقل كفاءة بكثير.
شرح ماثيو إريكسون، وهو مهندس سابق في مايكروسوفت عمل على البرنامج، المشكلة بوضوح قائلاً: "إذا قام شخص ما بتشغيل برنامج نصي يُدعى 'fix_servers.sh' يقوم بالفعل بعمل ضار، فلن يكون لدى [المرافقين] أي فكرة عن ذلك". يُبرز هذا التصريح نقطة الضعف الأساسية في النظام: عجز أجهزة المراقبة عن تحديد التعليمات البرمجية الضارة المحتملة.
توظيف وتأهيل المرافقين الرقميين
تولت شركة لوكهيد مارتن جزئياً عملية توظيف المرافقين الرقميين، حيث تم اختيار المرشحين بناءً على تصاريحهم الأمنية في المقام الأول وليس على مهاراتهم التقنية. وبدأت إعلانات وظائف المرافقين التي تتطلب شهادة أمنية من وزارة الدفاع الأمريكية بأجر لا يقل عن 18 دولارًا في الساعة.
كان فريق مرافقة مؤلف من حوالي 50 شخصًا في شركة Insight Global يتواصل شهريًا مع مهندسي مايكروسوفت المقيمين في الصين، ويدخل مئات الأوامر في الأنظمة الحكومية. وقد حذر مدير مشروع مايكروسوفت من أن المرافقين المعينين، نظرًا لانخفاض رواتبهم وقلة خبرتهم المتخصصة، لن يمتلكوا "الرؤية المناسبة" لهذه المهمة.
التدابير الأمنية الآلية وحدودها
أصرّت مايكروسوفت على أن نظام إسكورت يتضمن طبقات متعددة من الأمان، بما في ذلك مسارات الموافقة ومراجعات التعليمات البرمجية الآلية من خلال نظام مراجعة داخلي يسمى "لوك بوكس". وقد صُمم هذا النظام لضمان تصنيف الطلبات على أنها آمنة أو مثيرة للقلق.
مع ذلك، ظلت تفاصيل هذه الإجراءات الأمنية غامضة، ورفضت مايكروسوفت الكشف عن معلومات محددة حول آلية عمل نظام Lockbox، مُعللة ذلك بمخاطر أمنية. وقد عزز هذا الغموض مخاوف النقاد بشأن فعالية الضمانات المُطبقة.
السياق التاريخي والحوادث الأمنية السابقة
تاريخ مايكروسوفت مع المتسللين الصينيين
تُعدّ القضية المثيرة للجدل المحيطة بالمهندسين الصينيين إشكاليةً خاصةً بالنظر إلى تاريخ مايكروسوفت الموثق في الهجمات الإلكترونية الصينية. فقد استُهدفت الشركة مرارًا وتكرارًا من قِبل قراصنة من الصين وروسيا نجحوا في اختراق أنظمة مايكروسوفت.
في عام 2023، تمكن قراصنة صينيون من سرقة آلاف الرسائل الإلكترونية من حسابات البريد الإلكتروني لوزارتي الخارجية والتجارة. تُبرز هذه الحوادث الخطر الحقيقي الذي تُشكّله العمليات الإلكترونية الصينية، وتجعل قرار مايكروسوفت بالسماح لمهندسين صينيين بالعمل مع أنظمة البنتاغون موضع شكٍّ أكبر.
التهديدات الأمنية العالمية الحالية
بعد أيام قليلة من كشف فضيحة "المرافقة الرقمية"، تعرضت مايكروسوفت لحادث أمني خطير آخر. ففي يوليو 2025، سمحت ثغرة أمنية خطيرة في أحد منتجات مايكروسوفت واسعة الانتشار لعدة مجموعات قرصنة صينية باختراق عشرات المؤسسات حول العالم، بالإضافة إلى وكالتين فيدراليتين أمريكيتين على الأقل.
يُعزز هذا التزامن المتقارب للحوادث المخاوف بشأن قدرة مايكروسوفت على الحفاظ على تدابير أمنية كافية ضد التهديدات السيبرانية الصينية. وقد حذر تشارلز كارماكال، كبير مسؤولي التكنولوجيا في شركة مانديانت التابعة لجوجل، قائلاً: "من الأهمية بمكان إدراك أن جهات فاعلة متعددة تستغل هذه الثغرة الأمنية بنشاط".
مركز الأمن والدفاع - المشورة والمعلومات
مركز الأمن والدفاع - الصورة: Xpert.Digital
يقدم مركز الأمن والدفاع مشورة الخبراء ومعلومات حديثة لدعم الشركات والمؤسسات بفعالية في تعزيز دورها في سياسة الأمن والدفاع الأوروبية. وبالتعاون الوثيق مع فريق عمل الدفاع التابع لمبادرة "تواصل الشركات الصغيرة والمتوسطة"، يُعنى المركز بشكل خاص بدعم الشركات الصغيرة والمتوسطة الراغبة في تطوير قدراتها الابتكارية وتنافسيتها في قطاع الدفاع. وبصفته نقطة اتصال مركزية، يُشكل المركز جسراً حيوياً بين الشركات الصغيرة والمتوسطة واستراتيجية الدفاع الأوروبية.
ذو صلة بهذا الموضوع:
فشل الأمن السيبراني: مهندسون صينيون في قلب الدفاع الأمريكي
شهادة نموذج نضج الأمن السيبراني (CMMC) وتحديات الامتثال
استجابةً للثغرات الأمنية، أصدرت CMMC
طوّرت وزارة الدفاع الأمريكية برنامج شهادة نموذج نضج الأمن السيبراني (CMMC) لتعزيز الأمن السيبراني في قطاع الدفاع وحماية المعلومات الحساسة غير المصنفة بشكل أفضل. ويهدف برنامج CMMC إلى ضمان حماية معلومات العقود الفيدرالية (FCI) والمعلومات غير المصنفة الخاضعة للرقابة (CUI).
يتألف إطار عمل CMMC 2.0، الذي طُرح في نوفمبر 2021، من ثلاثة مستويات نضج، لكل منها متطلبات محددة تزداد صرامة. يركز المستوى الأول على ممارسات الأمن السيبراني الأساسية للمقاولين الذين يتعاملون مع المعلومات السرية الخاضعة للرقابة، بينما صُمم المستويان الثاني والثالث للمؤسسات التي تعالج المعلومات السرية الخاضعة للرقابة وتتطلب مستويات أعلى من الأمان.
امتثال مايكروسوفت لمعيار CMMC ومشكلة المرافقة
إن الكشف عن نظام المرافقة الرقمية يثير تساؤلات جدية حول مدى التزام مايكروسوفت بمتطلبات معيار CMMC. فقد صُممت مستويات CMMC 2 وما فوقها خصيصًا لحماية المعلومات الحساسة غير المصنفة (CUI)، وهي تحديدًا نوع المعلومات التي يُحتمل أن يكون المهندسون الصينيون قد تمكنوا من الوصول إليها عبر نظام المرافقة.
تزعم مايكروسوفت أن بإمكان العملاء إثبات امتثالهم لمعايير CMMC عبر بيئات سحابية متنوعة، بما في ذلك السحابة التجارية ذات مستويات الأمان المنخفضة، والسحابة السيادية الأمريكية ذات متطلبات الأمان العالية. مع ذلك، فإن وصول مهندسين صينيين إلى بيانات IL4 وIL5 يشير إلى احتمال انتهاك المبادئ الأساسية لـ CMMC.
تصنيفات مستوى التأثير وأهميتها
تُعدّ تصنيفات مستوى التأثير لوزارة الدفاع الأمريكية عنصراً بالغ الأهمية لفهم خطورة فضيحة "المرافقة الرقمية". يغطي مستوى التأثير 4 (IL4) المعلومات غير المصنفة الخاضعة للرقابة (CUI)، بينما صُمم مستوى التأثير 5 (IL5) لبيانات أنظمة الأمن القومي غير المصنفة (NSS).
تتطلب معلومات نظام IL-5 مستوى حماية أعلى من نظام IL-4، وتشمل معلومات بالغة الأهمية للمهمة وبيانات نظام الأمن القومي. وقد يؤدي الكشف غير المصرح به عن معلومات IL-5 إلى عواقب وخيمة أو كارثية على الأمن القومي. إن احتمال وصول مهندسين صينيين إلى كلا النوعين من المعلومات يجعل هذه الثغرة الأمنية مثيرة للقلق بشكل خاص.
المنظورات الدولية والآثار الجيوسياسية
الصراع السيبراني بين الولايات المتحدة والصين في سياقه
تأتي فضيحة المرافقة الرقمية في ظل تدهور العلاقات الأمريكية الصينية واستمرار الحرب التجارية، وهو نوع من الصراع الذي يرى الخبراء أنه قد يؤدي إلى ردّ إلكتروني صيني. وتُقرّ الحكومة الأمريكية بأن القدرات الإلكترونية الصينية تُمثّل أحد أخطر التهديدات وأكثرها عدوانية للولايات المتحدة.
وصف هاري كوكر، المسؤول الرفيع السابق في وكالة المخابرات المركزية ووكالة الأمن القومي، هيكل المرافقة بوضوح قائلاً: "لو كنتُ عميلاً، لاعتبرتُ هذا مساراً للوصول إلى معلومات بالغة الأهمية. علينا أن نكون قلقين للغاية حيال هذا الأمر". ويؤكد هذا التقييم من خبير استخباراتي على خطورة الثغرة الأمنية المحتملة من منظور استخباراتي.
التأثير على سلسلة التوريد التكنولوجية العالمية
تثير هذه الفضيحة تساؤلات أوسع نطاقًا حول أمن مزودي البرامج الخارجيين المستخدمة في جميع أنحاء الحكومة الفيدرالية. ففي ديسمبر/كانون الأول 2024، تمكن قراصنة صينيون من اختراق شركة BeyondTrust، وهي شركة خاصة متخصصة في الأمن السيبراني، للوصول إلى محطات عمل وزارة الخزانة الأمريكية، بما في ذلك تلك الموجودة في مكتب مراقبة الأصول الأجنبية ومكتب وزيرة الخزانة جانيت يلين.
تُظهر هذه الحوادث هشاشة سلاسل التوريد التكنولوجية المعقدة التي تعتمد عليها الحكومات الحديثة. كما تُبرز صعوبة الحفاظ على أنظمة وطنية آمنة حقًا في عالم معولم حيث كل شيء دولي وذو طابع دولي عميق، كما لاحظ خبير الأمن بروس شناير.
ردود فعل الصناعة وآراء الخبراء
خبراء الأمن يدقون ناقوس الخطر
أعرب العديد من خبراء الأمن السيبراني ومسؤولين حكوميين سابقين عن قلقهم إزاء هذه المعلومات. وقال جون شيرمان، الذي شغل منصب كبير مسؤولي المعلومات في وزارة الدفاع خلال إدارة بايدن، إنه فوجئ وقلق بنتائج بروبابليكا: "كان ينبغي عليّ أن أكون على علم بهذا الأمر". وأضاف أن الوضع يستدعي "مراجعة شاملة من قبل وكالة نظم معلومات الدفاع، والقيادة السيبرانية، والجهات المعنية الأخرى".
وصفت مؤسسة الدفاع عن الديمقراطيات الوضع بأنه "منح البنتاغون الصين حق الوصول إلى أنظمته لأكثر من عقد من الزمان". وأكدت هذه المنظمة أن برنامج وزارة الدفاع سمح للمهندسين الصينيين بالوصول إلى أنظمة البنتاغون، مما قد يمكّنهم من إدخال ثغرات أمنية في أنظمة وزارة الدفاع تحت ستار صيانة البرمجيات.
جهود مايكروسوفت في مجال الدفاع والشفافية
دافعت مايكروسوفت عن نظام المرافقة باعتباره متوافقًا مع المعايير الحكومية. وصرح متحدث باسم الشركة قائلاً: "في بعض الاستفسارات التقنية، تستعين مايكروسوفت بفريقها من الخبراء العالميين المتخصصين لتقديم الدعم من خلال موظفين أمريكيين معتمدين، وفقًا لمتطلبات وإجراءات الحكومة الأمريكية".
أكدت الشركة أن "جميع الموظفين والمتعاقدين الذين يتمتعون بصلاحيات وصول مميزة يجب أن يجتازوا فحوصات خلفية معتمدة اتحادياً"، وأن "موظفي الدعم العالميين لا يملكون صلاحية وصول مباشرة إلى بيانات العملاء أو أنظمتهم". كما زعمت مايكروسوفت أنها تستخدم طبقات متعددة من الأمان، بما في ذلك إجراءات الموافقة ومراجعات التعليمات البرمجية الآلية، لمنع التهديدات.
على غير العادة في هذا القطاع، وافقت مايكروسوفت على مشاركة وثائق أساس التكافؤ (BoE) مع العملاء بموجب اتفاقيات عدم الإفصاح، مما يدل على مستوى من الشفافية لا يقدمه العديد من مزودي خدمات الحوسبة السحابية الآخرين.
الآثار طويلة الأجل والحاجة إلى الإصلاح
التغييرات الهيكلية في تكنولوجيا المعلومات الحكومية
قد تؤدي فضيحة المرافقة الرقمية إلى تغييرات جذرية في كيفية إدارة الحكومة الأمريكية لبنيتها التحتية لتكنولوجيا المعلومات والإشراف عليها. وقد أسفرت هذه الفضائح بالفعل عن زيادة التدقيق في ممارسات شركات المقاولات الدفاعية وفرض متطلبات أكثر صرامة لتوظيف الكوادر في مشاريع التكنولوجيا الحساسة.
يتوقع المحللون اتخاذ خطوات مماثلة في مختلف قطاعات الصناعة، حيث يواصل المشرعون والمسؤولون العسكريون التركيز على مخاطر الأمن السيبراني وسلامة سلسلة التوريد لأنظمة تكنولوجيا المعلومات الحكومية. وقد تؤدي المراجعة الجارية لجميع عقود الحوسبة السحابية لوزارة الدفاع إلى إعادة تقييم شاملة لممارسات الأمن على مستوى القطاع.
التأثير على مزودي الخدمات السحابية الآخرين
رغم أن التسريبات الحالية تركز على مايكروسوفت، فإنه من غير الواضح ما إذا كان مزودو خدمات الحوسبة السحابية الآخرون العاملون لصالح الحكومة الأمريكية، مثل أمازون ويب سيرفيسز أو جوجل كلاود، يعتمدون أيضاً على خدمات التجسس الرقمي. وقد امتنعت هذه الشركات عن التعليق عند تواصل بروبابليكا معها.
إن احتمال انتشار ممارسات مماثلة على نطاق واسع في القطاع قد يؤدي إلى مراجعة شاملة وإصلاح ممارسات أمن الحوسبة السحابية في العقود الحكومية. وقد أشار وزير الدفاع هيغسيث إلى أن التحقيق قد يشمل الموردين الحاصلين على شهادات من خلال برنامج شهادة نموذج نضج الأمن السيبراني (CMMC).
التكلفة والكفاءة مقابل السلامة
تثير هذه الفضيحة تساؤلات جوهرية حول التوازن بين الكفاءة الاقتصادية والأمن في عقود تكنولوجيا المعلومات الحكومية. وقد كان لجوء مايكروسوفت إلى مهندسين صينيين دافع جزئي يتمثل في الرغبة بخفض التكاليف مع الاستمرار في تقديم دعم فني عالي الكفاءة.
صرحت إندي كراولي، مطورة برنامج المرافقة الرقمية، لموقع برو بابليكا: "الأمر يتعلق دائمًا بتحقيق التوازن بين التكلفة والجهد والخبرة. لذا، عليك أن تجد ما هو كافٍ". هذه العقلية، التي سمحت لشركة مايكروسوفت بالاستفادة من قوتها العاملة العالمية مع تلبية متطلبات الحكومة ظاهريًا، قد تخضع الآن لإعادة تقييم جوهرية.
الابتكارات التكنولوجية والآفاق المستقبلية
الأتمتة والذكاء الاصطناعي في الأمن السيبراني
تُبرز المعلومات الجديدة حول المرافقة الرقمية الحاجة إلى أنظمة أمنية آلية أكثر تطوراً تُكمّل أو تُغني عن الرقابة البشرية. ويمكن لتقنيات الأمن السيبراني الحديثة، بما في ذلك الكشف عن التهديدات المدعوم بالذكاء الاصطناعي وتحليل الشفرات الآلية، أن تُعالج بعض نقاط ضعف نظام المرافقة البشرية.
تستثمر مايكروسوفت وغيرها من مزودي الخدمات السحابية بكثافة في حلول أمنية تعتمد على الذكاء الاصطناعي، قادرة على رصد الأنشطة الضارة المحتملة في الوقت الفعلي. وقد تلعب هذه التقنيات دورًا حاسمًا في تقليل الحاجة إلى الوسطاء البشريين مستقبلًا، والذين قد يفتقرون إلى المهارات التقنية اللازمة.
بنى الثقة الصفرية وتطبيقها
كما تعزز هذه الفضيحة التوجه نحو بنى أمنية قائمة على مبدأ انعدام الثقة، والتي تفترض عدم وجود كيان - سواء داخل محيط الشبكة أو خارجه - جدير بالثقة تلقائيًا. وتتطلب هذه المناهج التحقق والمراقبة المستمرة لجميع المستخدمين والأجهزة قبل منحهم حق الوصول إلى الأنظمة والبيانات.
بالنسبة لخدمات الحوسبة السحابية الحكومية، يمكن لتطبيق مبادئ انعدام الثقة القوية أن يخفف بعض المخاطر المرتبطة باستخدام المساعدة التقنية الأجنبية. تتطلب هذه الأنظمة التحقق من كل إجراء - بغض النظر عن الجهة المنفذة له - عبر طبقات متعددة من الحماية.
الأثر الاقتصادي وديناميكيات السوق
تأثير ذلك على أعمال مايكروسوفت الحكومية
تُعدّ أعمال مايكروسوفت مع القطاع الحكومي مصدراً هاماً لإيرادات الشركة. ووفقاً لتقرير أرباحها الفصلية الأخير، تُحقق مايكروسوفت إيرادات كبيرة من العقود الحكومية، حيث جاء أكثر من نصف إيراداتها البالغة 70 مليار دولار في الربع الأول من العام من عملاء في الولايات المتحدة.
يُساهم قسم خدمات الحوسبة السحابية Azure، المتأثر بهذه القضية، بأكثر من 25% من إجمالي إيرادات الشركة، وفقًا للمحللين. وأي تراجع طويل الأمد في قدرة مايكروسوفت على الفوز بعقود حكومية أو الاحتفاظ بها قد يُؤدي إلى تداعيات مالية كبيرة.
التأثير التنافسي في صناعة الحوسبة السحابية
قد تُفيد هذه الفضيحة منافسي مايكروسوفت في مجال الحوسبة السحابية، ولا سيما أمازون ويب سيرفيسز (AWS)، أكبر مزود لخدمات الحوسبة السحابية، وجوجل كلاود. فإذا بدأت الجهات الحكومية بالتشكيك في ممارسات مايكروسوفت الأمنية، فقد تلجأ إلى مزودين بديلين قادرين على تقديم ضمانات أمنية أقوى.
قد تؤدي هذه القضية المثيرة للجدل إلى رفع معايير الأمان على مستوى القطاع، حيث يسعى الموردون إلى النأي بأنفسهم عن المشكلات التي كشفتها قضية مايكروسوفت. قد ينتج عن ذلك ارتفاع في التكاليف، ولكنه قد يؤدي أيضاً إلى تحسين ممارسات الأمان في جميع أنحاء القطاع.
التأثير على سلسلة التوريد التكنولوجية العالمية
وتثير هذه المعلومات أيضاً تساؤلات أوسع نطاقاً حول استدامة سلاسل التوريد التكنولوجية العالمية في ظل التوترات الجيوسياسية. إذ تعتمد العديد من شركات التكنولوجيا على الكفاءات والموارد من مختلف البلدان، بما فيها تلك التي تُعتبر خصوماً محتملين.
قد يتسارع التوجه نحو "الاستعانة بمصادر خارجية قريبة" أو "الاستعانة بمصادر خارجية قريبة" لخدمات التكنولوجيا الحيوية، مع سعي الحكومات لتقليل اعتمادها على الموردين الأجانب الذين قد يمثلون مشكلة. وقد يؤدي ذلك إلى تغييرات جوهرية في هيكلة شركات التكنولوجيا العالمية وطريقة عملها.
الإصلاحات التنظيمية والتبعات السياسية
التغييرات التشريعية المحتملة
قد تؤدي فضيحة المرافقة الرقمية إلى إصلاحات تنظيمية جوهرية تهدف إلى منع حدوث خروقات أمنية مماثلة في المستقبل. ويمكن للكونغرس فرض متطلبات أكثر صرامة لتوظيف العمال الأجانب في المشاريع الحكومية الحساسة، أو فرض إجراءات موسعة للتحقق من خلفياتهم ومتطلبات المراقبة.
قد تشمل الإصلاحات المحتملة أيضًا متطلبات الشفافية الموسعة لمقدمي خدمات الحوسبة السحابية الذين يعملون مع الحكومة، بما في ذلك تقديم تقارير مفصلة عن جنسية ومؤهلات جميع الموظفين الذين لديهم حق الوصول إلى الأنظمة الحكومية.
تأثير ذلك على ممارسات الشراء المستقبلية
قد تؤدي هذه القضية أيضاً إلى تغييرات جوهرية في ممارسات المشتريات الحكومية. فقد تتضمن العقود المستقبلية متطلبات أمنية أكثر صرامة، وحقوق تدقيق موسعة، وعقوبات أشد على الخروقات الأمنية.
يمكن للحكومة أيضاً أن تبدأ بإعطاء الأولوية للأمن على حساب التكاليف، مما قد يؤدي إلى زيادة الإنفاق على خدمات تكنولوجيا المعلومات، فضلاً عن ضمانات أمنية أقوى. وقد يكون هذا صحيحاً بشكل خاص بالنسبة للمشاريع بالغة الحساسية التي تتضمن بيانات الأمن القومي.
كشفت فضيحة مايكروسوفت ديجيتال إسكورت عن ثغرة خطيرة في كيفية إدارة الحكومة الأمريكية لأنظمة تكنولوجيا المعلومات الأكثر حساسية ومراقبتها. ولم يقتصر الكشف عن وصول فنيين صينيين إلى أنظمة الحوسبة السحابية التابعة للبنتاغون لأكثر من عقد من الزمان على إثارة ردود فعل سياسية وتجارية فورية فحسب، بل أثار أيضاً تساؤلات جوهرية حول التوازن بين فعالية التكلفة والأمن القومي.
يُظهر رد وزير الدفاع هيغسيث السريع والتغييرات الفورية في سياسة مايكروسوفت إدراكًا لخطورة الموقف. مع ذلك، تتجاوز تداعيات هذه الفضيحة مجرد ممارسة مؤسسية واحدة، إذ تمسّ السؤال الجوهري حول كيفية حماية المجتمعات الديمقراطية لأهم بنى تحتية رقمية في عالم يزداد ترابطًا وتوترًا جيوسياسيًا.
من المرجح أن تشمل التداعيات طويلة الأمد إعادة تقييم جذرية لممارسات أمن الحوسبة السحابية، ومتطلبات تنظيمية أكثر صرامة، وربما إعادة تصميم لكيفية تفاعل شركات التكنولوجيا العالمية مع الحكومات الوطنية. وبينما قد تُعالج الأزمة الحالية بتغييرات سياسات مايكروسوفت وتحقيق البنتاغون، يبقى التحدي الأكبر المتمثل في تحقيق التوازن بين الأمن والكفاءة في بيئة تكنولوجية معولمة قائماً.
الاستشارات - التخطيط - التنفيذ
ماركوس بيكر
يسعدني أن أكون مستشارك الشخصي.
رئيس قسم تطوير الأعمال
رئيس فريق عمل الدفاع التابع لشبكة الشركات الصغيرة والمتوسطة
الاستشارات - التخطيط - التنفيذ
Konrad Wolfenstein
يسعدني أن أكون مستشارك الشخصي.
يمكنكم التواصل معي عبر البريد الإلكتروني wolfenstein∂xpert.digital أو
اتصل بي على الرقم +49 7348 4088 965 .
