Риск за отбраната и сигурността на Microsoft: Техници от Китай управляваха облака на Министерството на отбраната на САЩ

„Дигитални ескорти“: Странният трик, използван от Microsoft, за да заобиколи американските закони за сигурност за Китай

### Огромен риск за сигурността? Microsoft е накарала китайски инженери да поддържат облака на Пентагона ### След разкритията за Китай: Microsoft незабавно променя политиката си – но щетите вече са нанесени ###

Разкритието, че китайски инженери са управлявали високочувствителната облачна инфраструктура на Министерството на отбраната на САЩ за Microsoft, предизвика един от най-големите спорове относно сигурността в последно време. Това, което започна като оптимизирано от гледна точка на разходите решение за техническа поддръжка, се превърна в потенциален риск за националната сигурност от значителен мащаб.

Разкриването на опасна практика

В продължение на близо десетилетие Microsoft предоставяше облачна инфраструктура, базирана на Azure, за Министерството на отбраната на САЩ. Това сътрудничество, което беше от огромно стратегическо и финансово значение за Microsoft, се основаваше на система, която сега се счита за грубо небрежна при боравенето с високочувствителни правителствени данни.

Проучване на американската организация ProPublica през юли 2025 г. разкри това, което много експерти по сигурността считат за неприемлива уязвимост в сигурността: Microsoft възложи поддръжката на инфраструктурата на Министерството на отбраната на техници от страни извън САЩ, по-специално от Китай. Тази практика не само беше установена от години, но беше и решаващ фактор за успеха на Microsoft в спечелването на държавни договори в сектора на облачните изчисления.

Свързано с това:

• ProPublica: Малко известна програма на Microsoft позволи на Министерството на отбраната да бъде изложено на риск от китайски хакери

Системата „Дигитални ескорти“

Системата, разработена от Microsoft, се основаваше на така наречените „цифрови ескорти“ – американски граждани със съответните разрешения за сигурност, които трябваше да наблюдават дистанционно работата на чуждестранни техници. Тези цифрови ескорти действаха като посредници между китайските инженери на Microsoft и облачните системи на Пентагона, въвеждайки команди и инструкции от своите чуждестранни колеги в правителствените системи.

Проблемът с тази система се крие в нейната фундаментална структурна слабост: дигиталните ескорти често не са имали техническа експертиза, за да наблюдават правилно работата на своите китайски колеги. Много от тези ескорти са били бивши военни с малък опит в програмирането, които са получавали едва над минималната заплата за тази критична работа. Един скорошен ескорт обобщи проблема: „Вярваме, че това, което правят, не е злонамерено, но наистина не можем да кажем със сигурност.“.

Достъп до силно чувствителни данни

Китайските инженери потенциално са имали достъп до информация, класифицирана като „Ниво на въздействие 4 и 5“ – данни, считани за силно чувствителни, но не официално класифицирани като секретни. Тази категория включва съдържание, което пряко подкрепя военни операции, както и други данни, чието компрометиране, според указанията на Пентагона, би могло да има „сериозни или катастрофални последици“ за националната сигурност.

Ниво на въздействие 5 (IL5) е специално разработено за некласифицирани национални системи за сигурност (NSS), които поддържат мисии на Министерството на отбраната и обработват контролирана некласифицирана информация (CUI), която изисква по-високо ниво на защита от IL4. Тази информация може да включва научноизследователска и развойна дейност, логистични данни и друго критично за мисията съдържание, което би могло да причини значителни щети, ако бъде компрометирано.

Бизнес моделът на Microsoft и заобикалянето на съответствието

Пътят към доминация в облака

През 2010-те години Microsoft се утвърди като доминиращ доставчик на правителствени облачни услуги. През 2019 г. компанията спечели договор за облачни услуги на стойност 10 милиарда долара с Министерството на отбраната, който по-късно беше анулиран през 2021 г. след съдебни спорове. През 2022 г. Microsoft, заедно с Amazon, Google и Oracle, си осигуриха дял от нови договори за облачни услуги на стойност до 9 милиарда долара.

Тези успехи се дължат отчасти на способността на Microsoft да използва глобални ресурси, като същевременно привидно отговаря на строгите изисквания за сигурност на правителството на САЩ. Системата „Дигитален ескорт“ е креативно, но рисковано решение на фундаментален проблем: Как би могла глобална технологична компания с обширни операции в Китай, Индия и Европа да отговори на ограничителните изисквания за персонал за договори с правителството на САЩ?

FedRAMP и заобикалянето на правилата за безопасност

Федералната програма за управление на риска и оторизациите (FedRAMP) е създадена през 2011 г., за да осигури стандартизиран подход за оценка, наблюдение и оторизиране на продукти и услуги за облачни изчисления съгласно Федералния закон за управление на информационната сигурност (FISMA). FedRAMP изисква доставчиците на облачни услуги, които желаят да работят с федералното правителство, да гарантират, че се извършват проверки на миналото на служителите, които боравят с високочувствителни данни на федералното правителство.

Министерството на отбраната формулира допълнителни насоки за облачни технологии, изискващи служителите, обработващи класифицирани данни, да бъдат граждани на САЩ или постоянно пребиваващи в страната. Тези изисквания представляват сериозно предизвикателство за Microsoft, тъй като компанията разчита на глобална работна сила от Индия, Китай, ЕС и други региони.

Инди Кроули, старши програмен мениджър в Microsoft, разработи програмата Digital Escort като начин за заобикаляне на изискванията на FedRAMP и DoD. Тази система позволи на чуждестранни инженери в страни като Китай да предоставят адекватна поддръжка, без да се нуждаят от директен достъп до правителствени системи.

Ролята на Агенцията за отбранителни информационни системи (DISA)

Агенцията за отбранителни информационни системи (DISA) служи като централна организация за ИТ поддръжка на Министерството на отбраната и е отговорна за разработването и поддържането на Ръководството за изисквания за сигурност на облачните изчисления на Министерството на отбраната (SRG). DISA определя основните изисквания за сигурност, които Министерството на отбраната използва, за да оцени състоянието на сигурността на доставчик на облачни услуги.

Въпреки централната си роля в наблюдението на сигурността в облака, DISA изглежда е имала малко познания за програмата Digital Escort на Microsoft. Говорител на DISA първоначално заяви, че не могат да намерят никой, който да е чувал за концепцията Escort. По-късно агенцията потвърди, че Escort се използва в „избрани некласифицирани среди“ на Министерството на отбраната за „напреднала диагностика и разрешаване на проблеми от експерти в индустрията“.

Липса на комуникация и надзор

Липсата на яснота относно това кои държавни служители са били информирани за системата за цифрово придружаване повдига сериозни въпроси относно надзора и комуникацията между Microsoft и съответните държавни агенции. Докато Microsoft твърди, че е разкрила практиките си по време на процеса на оторизация, правителствени представители изразиха изненада и не си спомнят подобна информация.

Дейвид Михелчич, бивш главен технологичен директор на DISA, определи всяка видимост в мрежата на Министерството на отбраната като „огромен риск“ и характеризира ситуацията драстично: „Тук имате един човек, на когото наистина не вярвате, защото вероятно е в китайското разузнаване, а другият човек не е наистина способен.“.

Незабавната реакция и политическите последици

Министърът на отбраната Хегсет се намесва

Разкритията на ProPublica предизвикаха незабавни политически реакции на най-високо ниво. Министърът на отбраната Пийт Хегсет отговори директно на докладите, като обяви във видео съобщение в X (бивш Twitter): „Чуждестранни инженери – от която и да е държава, включително, разбира се, Китай – НИКОГА не трябва да имат достъп до системите на Министерството на отбраната.“.

Хегсет нареди двуседмичен преглед на всички облачни договори на Министерството на отбраната, за да се гарантира, че в текущите проекти не участват китайски специалисти. Той категорично заяви: „Китай няма да има абсолютно никакво участие в нашите облачни услуги отсега нататък.“.

В изявлението си Хегсет също частично обвини администрацията на Обама, тъй като тя е договорила първоначалната сделка за облачни услуги. Той говори за „евтина китайска работна ръка“, чието използване е „очевидно неприемливо“ и представлява потенциална уязвимост в компютърните системи на Министерството на отбраната.

Microsoft реагира на натиска

Изправена пред политически натиск, Microsoft реагира бързо. Франк X. Шоу, главен директор по комуникациите на компанията, потвърди в петък в изданието X, че Microsoft е направила промени в поддръжката си за клиентите на правителството на САЩ, „за да гарантира, че никой инженерен екип, базиран в Китай, не предоставя техническа поддръжка за правителствения облак на Министерството на отбраната и свързаните с него услуги“.

Това съобщение дойде само часове след като министърът на отбраната Хегсет обяви разследване на използването на чуждестранни инженери от Microsoft. Скоростта на реакцията подсказва, че компанията е наясно със сериозността на ситуацията и потенциалното въздействие върху доходоносните ѝ държавни договори.

Сенаторско разследване

Сенатор Том Котън, председател на Комисията по разузнаване на Сената и член на Комисията по въоръжените сили, изпрати писмо до министъра на отбраната Хегсет в четвъртък, с което поиска информация и документи за програмата. Котън поиска списък на всички подизпълнители на Министерството на отбраната, наемащи китайски персонал, както и допълнителни подробности за това как американските „цифрови ескорти“ са обучени да откриват подозрителна дейност.

„В светлината на последните и обезпокоителни съобщения за това, че Microsoft използва инженери в Китай за поддръжка на системите на Министерството на отбраната, помолих министъра на отбраната да разследва въпроса“, заяви Котън в X-Post. „Трябва да се защитим от всички заплахи във веригата за доставки на нашите военни.“.

Технически уязвимости и рискове за сигурността

Проблемът с недостига на умения

Един от най-фундаменталните проблеми със системата „Дигитален ескорт“ беше значителното несъответствие в техническата експертиза между китайските инженери и техните американски ръководители. Тази „разлика в уменията“ създаде опасна ситуация, в която висококвалифицирани чуждестранни техници бяха ръководени от значително по-нискоквалифицирани американски граждани.

Матю Ериксон, бивш инженер на Microsoft, работил по програмата, обясни образно проблема: „Ако някой изпълни скрипт, наречен „fix_servers.sh“, който всъщност прави нещо злонамерено, тогава [ескортите] няма да имат никаква представа.“ Това твърдение подчертава фундаменталната слабост на системата: неспособността на мониторите да идентифицират потенциално опасен код.

Набиране и квалификация на дигитални ескорти

Набирането на персонал за дигитални ескорти беше частично поето от Lockheed Martin, като кандидатите бяха подбрани предимно въз основа на техните разрешения за достъп до сигурност, а не на техническите им умения. Обявите за работа за позиции за ескорти, изискващи сертификат за сигурност от Министерството на отбраната, започваха с минимална почасова заплата от 18 долара.

Екип от ескорти от приблизително 50 души в Insight Global е комуникирал месечно с инженери на Microsoft, базирани в Китай, и е въвеждал стотици команди в правителствени системи. Ръководител на проекта предупреди Microsoft, че наетите ескорти, поради ниското заплащане и липсата на специализиран опит, „няма да имат правилните очи“ за работата.

Автоматизирани мерки за сигурност и техните ограничения

Microsoft настояваше, че системата Escort включва множество слоеве на сигурност, включително работни процеси за одобрение и автоматизирани прегледи на код чрез вътрешна система за преглед, наречена „Lockbox“. Тази система е проектирана да гарантира, че заявките са класифицирани като безопасни или като причина за безпокойство.

Въпреки това, детайлите на тези мерки за сигурност останаха неясни и Microsoft отказа да разкрие конкретна информация за това как работи системата Lockbox, позовавайки се на рискове за сигурността. Тази липса на прозрачност засили опасенията на критиците относно ефективността на внедрените предпазни мерки.

Исторически контекст и предишни инциденти със сигурността

Историята на Microsoft с китайските хакери

Спорът около китайските инженери е особено проблематичен, като се има предвид документираната история на китайски кибератаки на Microsoft. Компанията многократно е била обект на атаки от хакери от Китай и Русия, които успешно са прониквали в системите на Microsoft.

През 2023 г. китайски хакери успяха да откраднат хиляди имейли от имейл акаунтите на Министерството на външните работи и Министерството на търговията. Тези инциденти подчертават реалната заплаха, породена от китайските кибероперации, и правят решението на Microsoft да позволи на китайски инженери да работят със системите на Пентагона още по-съмнително.

Актуални глобални заплахи за сигурността

Само дни след разкриването на скандала с Digital Escort, Microsoft беше засегната от друг сериозен инцидент със сигурността. През юли 2025 г. голяма уязвимост в широко използван продукт на Microsoft позволи на няколко китайски хакерски групи да компрометират десетки организации по целия свят и поне две федерални агенции на САЩ.

Това близко време на инцидентите засилва опасенията относно способността на Microsoft да поддържа адекватни мерки за сигурност срещу китайски киберзаплахи. Чарлз Кармакал, главен технологичен директор в Mandiant на Google, предупреди: „Изключително важно е да се разбере, че множество участници сега активно експлоатират тази уязвимост.“.

Център за сигурност и отбрана - Изображение: Xpert.Digital

Центърът за сигурност и отбрана предлага експертни съвети и актуална информация, за да подпомогне ефективно компаниите и организациите в укрепването на тяхната роля в европейската политика за сигурност и отбрана. Работейки в тясно сътрудничество с работната група „SME Connect Defence“, той насърчава по-специално малките и средни предприятия (МСП), които желаят да развият своя иновативен капацитет и конкурентоспособност в сектора на отбраната. Като централна точка за контакт, Центърът създава ключов мост между МСП и европейската отбранителна стратегия.

Свързано с това:

• Работната група „МСП свързват отбраната“ – Укрепване на МСП в европейската отбрана

Сертифициране на модела за зрялост на киберсигурността (CMMC) и предизвикателства, свързани със съответствието

CMMC в отговор на уязвимости в сигурността

Програмата за сертифициране на модела за зрялост в киберсигурността (CMMC) е разработена от Министерството на отбраната, за да се засили киберсигурността в отбранителната промишленост и да се защити по-добре чувствителна некласифицирана информация. CMMC е предназначена да осигури защитата на информацията по федералните договори (FCI) и контролираната некласифицирана информация (CUI).

Рамката CMMC 2.0, въведена през ноември 2021 г., обхваща три нива на зрялост, всяко със специфични, все по-строги изисквания. Ниво 1 се фокусира върху основните практики за киберхигиена за изпълнители, обработващи FCI, докато нива 2 и 3 са предназначени за организации, обработващи CUI и изискващи по-високи нива на сигурност.

Съответствието на Microsoft с CMMC и проблемът с ескорта

Разкриването на системата Digital Escort повдига сериозни въпроси относно спазването от страна на Microsoft на изискванията на CMMC. CMMC ниво 2 и по-високи са специално проектирани за защита на CUI – точно вида информация, до която китайските инженери потенциално са имали достъп чрез системата Escort.

Microsoft твърди, че клиентите могат да демонстрират съответствие с CMMC в различни облачни среди, включително търговския облак за по-ниски нива на сигурност и суверенния облак на САЩ за по-високи изисквания за сигурност. Фактът обаче, че китайските инженери са имали достъп до данни от IL4 и IL5, предполага потенциално нарушение на основните принципи на CMMC.

Класификации на нивото на въздействие и тяхното значение

Класификациите на нивото на въздействие на Министерството на отбраната са критичен елемент за разбиране на сериозността на скандала с цифровото ескортиране. Ниво на въздействие 4 (IL4) обхваща контролирана некласифицирана информация (CUI), докато ниво на въздействие 5 (IL5) е предназначено за некласифицирани данни от националните системи за сигурност (NSS).

Информацията за IL-5 изисква по-високо ниво на защита от IL-4 и включва критична информация и данни от NSS. Неразрешеното разкриване на информация за IL-5 може да има сериозни или катастрофални последици за националната сигурност. Фактът, че китайските инженери потенциално са имали достъп и до двете категории, прави тази уязвимост в сигурността особено тревожна.

Международни перспективи и геополитически последици

Киберконфликтът между САЩ и Китай в контекст

Скандалът с дигиталния ескорт се случва на фона на влошаващите се отношения между САЩ и Китай и продължаващата търговска война – вид конфликт, който според експертите може да доведе до китайски киберответен отговор. Правителството на САЩ признава, че киберспособностите на Китай представляват една от най-агресивните и опасни заплахи за Съединените щати.

Хари Кокър, бивш високопоставен служител в ЦРУ и НСА, описа структурата на ескорта без заобикалки: „Ако бях оперативен работник, щях да гледам на това като на път за изключително ценен достъп. Трябва да бъдем много загрижени за това.“ Тази оценка от експерт по разузнаване подчертава потенциалната сериозност на уязвимостта в сигурността от гледна точка на разузнаването.

Въздействие върху световната верига за доставки на технологии

Скандалът повдига по-широки въпроси относно сигурността на доставчиците на софтуер от трети страни, използвани във федералното правителство. През декември 2024 г. китайски хакери компрометираха BeyondTrust, частен доставчик на киберсигурност, за да получат достъп до работните станции на Министерството на финансите на САЩ, включително тези в Службата за контрол на чуждестранните активи и офиса на министъра на финансите Джанет Йелън.

Тези инциденти демонстрират уязвимостта на сложните технологични вериги за доставки, от които зависят съвременните правителства. Те също така подчертават трудността при поддържането на наистина сигурни национални системи в един глобализиран свят, където всичко е международно и дълбоко международно, както отбелязва експертът по сигурността Брус Шнайер.

Реакции на индустрията и експертни мнения

Експертите по сигурността бият тревога

Няколко експерти по киберсигурност и бивши държавни служители изразиха загриженост относно разкритията. Джон Шърман, който е бил главен информационен директор на Министерството на отбраната по време на администрацията на Байдън, заяви, че е изненадан и обезпокоен от констатациите на ProPublica: „Вероятно е трябвало да знам за това.“ Той заяви, че ситуацията налага „задълбочен преглед от DISA, Cyber ​​​​Command и други заинтересовани страни“.

Фондацията за защита на демокрациите характеризира ситуацията като „Пентагонът е предоставил на Китай достъп до своите системи в продължение на повече от десетилетие“. Тази организация подчертава, че програмата на Министерството на отбраната е позволила на китайски инженери достъп до системите на Пентагона, като същевременно е потенциално им е дала възможност да въвеждат уязвимости в системите на Министерството на отбраната под прикритието на поддръжка на софтуер.

Усилията на Microsoft за защита и прозрачност

Microsoft защити системата за ескорт като съвместима с правителствените стандарти. Говорител на компанията заяви: „За някои технически запитвания Microsoft ангажира нашия екип от глобални експерти по темата, за да предостави поддръжка чрез оторизиран американски персонал, в съответствие с изискванията и процесите на правителството на САЩ.“.

Компанията подчерта, че „всички служители и изпълнители с привилегирован достъп трябва да преминат одобрени от федералното правителство проверки на миналото“ и че „глобалният персонал за поддръжка няма директен достъп до клиентски данни или клиентски системи“. Microsoft също така заяви, че използва множество слоеве на сигурност, включително работни процеси за одобрение и автоматизирани прегледи на код, за да предотврати заплахи.

Необичайно за индустрията, Microsoft се съгласи да сподели документите си за Основание за еквивалентност (BoE) с клиентите си съгласно споразумения за неразкриване на информация, демонстрирайки ниво на прозрачност, което много други доставчици на облачни услуги не предлагат.

Дългосрочни последици и необходимост от реформи

Структурни промени в правителствените информационни технологии

Скандалът с дигиталния ескорт може да доведе до фундаментални промени в начина, по който правителството на САЩ управлява и контролира своята ИТ инфраструктура. Разкритията вече доведоха до засилен контрол върху практиките на изпълнителите в областта на отбраната и по-строги изисквания за персонал за чувствителни технологични проекти.

Анализаторите очакват подобни стъпки в целия сектор, тъй като законодателите и военните служители продължават да се фокусират върху рисковете за киберсигурността и целостта на веригата за доставки на правителствени ИТ системи. Текущият преглед на всички договори за облачни услуги на Министерството на отбраната може да доведе до преоценка на практиките за сигурност в целия сектор.

Въздействие върху други доставчици на облачни услуги

Въпреки че настоящите разкрития се фокусират върху Microsoft, не е ясно дали други доставчици на облачни услуги, работещи за правителството на САЩ, като Amazon Web Services или Google Cloud, също разчитат на дигитални ескорти. Тези компании отказаха коментар, когато ProPublica се свърза с тях.

Възможността подобни практики да са широко разпространени в индустрията би могла да доведе до цялостен преглед и реформа на практиките за облачна сигурност за държавни договори. Министърът на отбраната Хегсет посочи, че разследването може да обхване доставчици, сертифицирани чрез програмата за сертифициране на модела за зрялост в киберсигурността (CMMC).

Цена и ефективност спрямо безопасност

Скандалът повдига фундаментални въпроси относно баланса между рентабилност и сигурност в правителствените ИТ договори. Използването на китайски инженери от Microsoft е било отчасти мотивирано от желанието да се намалят разходите, като същевременно се предоставя висококвалифицирана техническа поддръжка.

Инди Кроули, разработил програмата „Дигитален ескорт“, каза пред ProPublica: „Винаги е необходим баланс между разходи, усилия и експертиза. Така че намирате кое е достатъчно добро.“ Този манталитет, който позволи на Microsoft да използва глобалната си работна сила, като същевременно привидно отговаря на правителствените изисквания, сега може да бъде подложен на фундаментална преоценка.

Технологични иновации и бъдещи перспективи

Автоматизация и изкуствен интелект в киберсигурността

Разкритията за дигиталните ескорти подчертават необходимостта от по-усъвършенствани автоматизирани системи за сигурност, които могат да допълнят или заменят човешкия надзор. Съвременните технологии за киберсигурност, включително откриване на заплахи, основано на изкуствен интелект, и автоматизиран анализ на код, биха могли да се справят с някои от слабостите на системата за човешки ескорти.

Microsoft и други доставчици на облачни услуги вече инвестират сериозно в решения за сигурност, базирани на изкуствен интелект, които могат да откриват потенциално опасна дейност в реално време. Тези технологии биха могли да играят ключова роля за намаляване на нуждата от човешки посредници в бъдеще, които може да не притежават необходимите технически умения.

Архитектурите с нулево доверие и тяхното внедряване

Скандалът също така засилва движението към архитектури за сигурност с нулево доверие, които предполагат, че никое лице – нито вътре, нито извън периметъра на мрежата – не е автоматично надеждно. Тези подходи изискват непрекъсната проверка и наблюдение на всички потребители и устройства, преди да бъде предоставен достъп до системи и данни.

За правителствените облачни услуги, прилагането на стабилни принципи за нулево доверие би могло да смекчи някои от рисковете, свързани с използването на чуждестранна техническа помощ. Такива системи биха изисквали всяко действие – независимо кой го извършва – да бъде проверено чрез множество слоеве на сигурност.

Икономическо въздействие и пазарна динамика

Въздействие върху правителствения бизнес на Microsoft

Правителственият бизнес на Microsoft е значителен двигател на приходите за компанията. Според последния ѝ тримесечен отчет за приходите, Microsoft генерира значителни приходи от държавни договори, като повече от половината от приходите ѝ от 70 милиарда долара за първото тримесечие идват от клиенти, базирани в САЩ.

Според анализатори, подразделението за облачни услуги Azure, което е засегнато от спора, генерира над 25% от общите приходи на компанията. Всяко дългосрочно нарушаване на способността на Microsoft да печели или запазва държавни договори може да има значителни финансови последици.

Конкурентно въздействие в облачната индустрия

Скандалът може да е от полза за конкурентите на Microsoft в облачната индустрия, по-специално за Amazon Web Services (AWS), който вече е най-големият доставчик на облачни услуги, и за Google Cloud. Ако правителствените агенции започнат да поставят под въпрос практиките за сигурност на Microsoft, те биха могли да се обърнат към алтернативни доставчици, които могат да предложат по-надеждни гаранции за сигурност.

Спорът може да доведе и до повишаване на стандартите за сигурност в целия отрасъл, тъй като доставчиците се опитват да се дистанцират от проблемите, разкрити в случая с Microsoft. Това може да доведе до по-високи разходи, но също и до подобрени практики за сигурност в целия отрасъл.

Въздействие върху световната верига за доставки на технологии

Разкритията повдигат и по-широки въпроси относно устойчивостта на глобалните вериги за доставки на технологии във време на геополитическо напрежение. Много технологични компании разчитат на таланти и ресурси от различни страни, включително тези, считани за потенциални противници.

Тенденцията към „прехвърляне на услуги от приятели“ или „близо до доставчици“ на критични технологични услуги може да се ускори, тъй като правителствата се стремят да намалят зависимостта си от потенциално проблемни чуждестранни доставчици. Това би могло да доведе до значителни промени в начина, по който са структурирани и функционират глобалните технологични компании.

Регулаторни реформи и политически последици

Потенциални законодателни промени

Скандалът с дигиталния ескорт може да доведе до значителни регулаторни реформи, насочени към предотвратяване на подобни нарушения на сигурността в бъдеще. Конгресът би могъл да въведе по-строги изисквания за наемане на чуждестранни работници по чувствителни правителствени проекти или да наложи разширени проверки на миналото и изисквания за мониторинг.

Възможните реформи биха могли да включват и разширени изисквания за прозрачност за доставчиците на облачни услуги, работещи с правителството, включително подробно отчитане на националността и квалификацията на всички служители, които имат достъп до правителствените системи.

Въздействие върху бъдещите практики за обществени поръчки

Спорът може да доведе и до фундаментални промени в практиките за държавни поръчки. Бъдещите договори биха могли да включват по-строги изисквания за сигурност, разширени права за одит и по-тежки санкции за нарушения на сигурността.

Правителството би могло също така да започне да дава по-голям приоритет на сигурността пред разходите, което би могло да доведе до по-високи разходи за ИТ услуги, но също така и до по-надеждни гаранции за сигурност. Това би могло да е особено вярно за силно чувствителни проекти, включващи данни за националната сигурност.

Скандалът с Microsoft Digital Escort разкри критична уязвимост в начина, по който правителството на САЩ управлява и наблюдава най-чувствителните си ИТ системи. Разкритието, че китайски техници са имали достъп до облачните системи на Пентагона в продължение на повече от десетилетие, не само предизвика незабавни политически и корпоративни реакции, но и повдигна фундаментални въпроси относно баланса между рентабилност и национална сигурност.

Бързата реакция на министъра на отбраната Хегсет и незабавните промени в политиката на Microsoft показват осъзнаване на сериозността на ситуацията. Последиците от този скандал обаче се простират далеч отвъд една-единствена корпоративна практика. Те засягат фундаменталния въпрос как демократичните общества могат да защитят най-важните си цифрови инфраструктури в един все по-взаимосвързан и геополитически напрегнат свят.

Дългосрочните последици вероятно ще включват фундаментална преоценка на практиките за сигурност в облака, по-строги регулаторни изисквания и потенциално преосмисляне на начина, по който глобалните технологични компании взаимодействат с националните правителства. Макар че непосредствената криза може да бъде решена чрез промени в политиката на Microsoft и разследването на Пентагона, по-широкото предизвикателство за балансиране на сигурността и ефективността в глобализирания технологичен пейзаж остава.

Маркус Бекер

С удоволствие бих служел като ваш личен съветник.

Ръководител „Развитие на бизнеса“

Председател на работната група „SME Connect Defense“

LinkedIn

Konrad Wolfenstein

С удоволствие бих служел като ваш личен съветник.

да се свържете с мен на wolfenstein ∂ xpert.digital

Просто ми се обадете на +49 89 89 674 804 (Мюнхен) .

LinkedIn