סיכון הגנה וסיכון אבטחה מיקרוסופט: טכנאים מסין בפיקוח על ענן משרד ההגנה האמריקני

"מלווים דיגיטליים": הטריק המוזר איתו מוקפים חוקי האבטחה של מיקרוסופט בארה"ב לסין

### סיכון אבטחה עצום? מיקרוסופט מאפשרת למהנדסים סיניים לחכות לענן הפנטגון ### לאחר החלפת סין: מיקרוסופט משנה מייד את המדיניות שלו – אך הנזק כבר נעשה ###

החשיפה כי המהנדסים הסיניים במיקרוסופט דאגו לתשתית הענן הרגישה ביותר של משרד ההגנה האמריקני עוררה את אחת המחלוקות האבטחה הגדולות ביותר בתקופות האחרונות. מה שהתחיל כפתרון אופטימי -עלות לתמיכה טכנית התפתח לסיכון פוטנציאלי ביטחוני לאומי במידה ניכרת.

חשיפת תרגול מסוכן

במשך כמעט עשור, מיקרוסופט סיפקה את תשתית הענן מבוססת Azure עבור משרד ההגנה האמריקני. שיתוף פעולה זה, שהיה בעל חשיבות אסטרטגית וכלכלית אדירה עבור מיקרוסופט, התבסס על מערכת המסווגת כיום כתרשלון גס בהתמודדות עם נתוני ממשלה רגישים מאוד.

המחקר החוקרי של הארגון האמריקני פרובליקה העלה באור ביולי 2025, אותו מכנים מומחי אבטחה רבים בפער האבטחה הבלתי מקובל: מיקרוסופט הותירה גם את הפיקוח על תשתיות משרד ההגנה שלו ממדינות שאינן ארה"ב, במיוחד מסין. נוהג זה לא הוקם רק במשך שנים, אלא גם גורם מכריע להצלחתו של מיקרוסופט בזכייה בהזמנות ממשלתיות בתחום מחשוב הענן.

מתאים לכך:

• Prublica: משרד ההגנה ההקרן מסין הצליח להשעות תוכנית מיקרוסופט ידועה מעט

מערכת "מלווים דיגיטליים"

המערכת שפותחה על ידי מיקרוסופט התבססה על מה שמכונה "מלווים דיגיטליים" – עם שחרור אבטחה תואם שצריכים לפקח על עבודתם של טכנאים זרים מרחוק. בני לוויה דיגיטליים אלה שימשו כמתווך בין מהנדסי מיקרוסופט סיניים למערכות הענן של הפנטגון, לפיה הם נכנסו לפקודות ולהוראותיהם של עמיתיהם הזרים במערכות הממשלתיות.

הבעיה של מערכת זו נעוצה בחולשה המבנית הבסיסית שלה: למלווים הדיגיטליים לרוב לא הייתה המומחיות הטכנית על מנת לפקח כראוי על עבודתם של עמיתיהם הסינים. רבים מחבריו אלה היו חברי צבא לשעבר עם ניסיון תכנות נמוך, שקיבלו מעט יותר משכר המינימום לעבודה קריטית זו. ליווי נוכחי סיכם את הבעיה: "אנו סומכים על כך שמה שאתה עושה אינו זדוני, אבל אנחנו באמת לא יכולים לראות את זה".

גישה לנתונים רגישים מאוד

למהנדסים הסינים הייתה גישה פוטנציאלית למידע – "רמת 4 ו -5" המסווגים כרגישים ביותר, אך אינם מסווגים רשמית כסוד. קטגוריה זו כוללת תוכן התומך ישירות בפעולות צבאיות, כמו גם בנתונים אחרים שההתפשרות שלהם על פי הנחיות הפנטגון "השפעות חמורות או קטסטרופליות" עלולות להיות על הביטחון הלאומי.

רמת ההשפעה 5 (IL5) מיועדת במיוחד למערכות אבטחה לאומיות לא מסווגות (NSS), התומכות במשימות DOD ומידע ללא סיווג של תהליכים (CUI) הדורשים הגנה גבוהה יותר מ- IL4. מידע זה יכול לכלול מחקר ופיתוח, נתוני לוגיסטיקה ותכנים קריטיים אחרים -קריטיים העלולים לגרום נזק ניכר בעת פגיעה.

המודל העסקי של מיקרוסופט ועוקף תאימות

הדרך לדומיננטיות הענן

מיקרוסופט הצליחה לבסס את עצמו כספק דומיננטי של שירותי ענן ממשלתיים בשנות העשרים. בשנת 2019 זכתה החברה בחוזה ענן של 10 מיליארד דולר עם משרד הביטחון, שבוטל מאוחר יותר בשנת 2021 לאחר סכסוכים משפטיים. בשנת 2022, יחד עם אמזון, גוגל ואורקל, קיבלה מיקרוסופט נתח מחוזי ענן חדשים בשווי של עד 9 מיליארד דולר.

הצלחות אלה התבססו בחלקן על היכולת של מיקרוסופט להשתמש במשאבים גלובליים ובו זמנית כדי לעמוד בדרישות האבטחה הקפדניות של ממשלת ארה"ב. מערכת הליווי הדיגיטלית הייתה פיתרון יצירתי אך מסוכן לבעיה מהותית: כיצד יכולה חברת טכנולוגיה גלובלית עם פעילות נרחבת בסין, הודו ואירופה לעמוד בדרישות כוח האדם המגבילות לחוזים ממשלתיים בארה"ב?

פדרמפ ועקיפת תקנות האבטחה

התוכנית הפדרלית לניהול סיכונים והרשאות (FEDRAMP) הוצגה בשנת 2011 כדי להציע גישה סטנדרטית להערכה, פיקוח ואישור של מוצרי ושירותי מחשוב ענן לפי חוק ניהול אבטחת מידע פדרלי (FISMA). פדרמפ דרישות מספקי ענן שרוצים לעבוד עם הממשלה הפדרלית כדי להבטיח שבחינות רקע יבוצעו לעובדים העוסקים בנתוני ממשל פדרליים רגישים מאוד.

משרד ההגנה גיבש הנחיות ענן נוספות הקובעות כי עובדים העוסקים בנתונים מסווגים חייבים להיות אזרחים בארה"ב או תושבי קבע. דרישות אלה היו אתגר משמעותי עבור מיקרוסופט, מכיוון שהחברה מסתמכת על כוח עבודה עולמי מהודו, סין, האיחוד האירופי ואזורים אחרים.

אינדי קרולי, מנהלת תכניות בכירה במיקרוסופט, פיתחה את תוכנית הליווי הדיגיטלית כדרך להימנע מדרישות Fedramp ו- DoD. מערכת זו אפשרה למהנדסים זרים במדינות כמו סין לספק תמיכה מתאימה מבלי שתצטרך לקבל גישה ישירה למערכות ממשלתיות.

תפקיד סוכנות מערכות המידע להגנה (DISA)

סוכנות מערכות המידע לביטחון (DISA) משמשת כארגון תומך IT מרכזי עבור משרד ההגנה ואחראית על פיתוח ותחזוקה של מדריך דרישות האבטחה של מחשוב ענן DOD (SRG). DISA מגדירה את דרישות האבטחה הבסיסיות בהן משתמש ה- DOD כדי להעריך את מצב האבטחה של ספק שירותי ענן.

למרות תפקידם המרכזי במעקב אחר אבטחת הענן, נראה כי DISA לא היה בעל ידע מועט על תוכנית הליווי הדיגיטלית של מיקרוסופט. דובר DISA הצהיר בתחילה שהוא לא מסוגל למצוא מישהו ששמע על מושג הליווי. מאוחר יותר אישרה הסוכנות כי ליווי ב"סביבות לא מסווגות נבחרות "של משרד ההגנה משמשים ל"אבחון מתקדם לבעיות ופתרון של מומחים בתעשייה".

חוסר תקשורת ופיקוח

העמימות בה נודעו לפקידי הממשלה על מערכת הליווי הדיגיטלית מעלה שאלות רציניות לגבי פיקוח ותקשורת בין מיקרוסופט לסוכנויות הממשלה האחראיות. בעוד שמיקרוסופט טענה כי חשפה את נוהליו במהלך תהליך ההרשאה, גורמים בממשל הופתעו ולא יכלו לזכור את המידע הרלוונטי.

דייוויד מיהלצ'יץ ', לשעבר קצין הטכנולוגיה הראשי של DISA, תיאר כל נראות ברשת משרד ההגנה כ"סיכון עצום "ואפיין באופן דרסטי את המצב:" כאן יש לך אדם שאתה באמת לא סומך עליו כי היא כנראה בשירות החשאי הסיני, והאדם האחר לא ממש מסוגל אליו ".

התגובה המיידית וההשלכות הפוליטיות

שר הביטחון Hegseth מתערב

גילויים של פרובליקה הובילו לתגובות פוליטיות מיידיות ברמה הגבוהה ביותר. שר הביטחון פיט הגסטה הגיב ישירות לדיווחים והודיע בהודעת וידאו ב- X (לשעבר טוויטר): "מהנדסים זרים – מכל מדינה, כולל סין, כמובן – לעולם לא אמורים לקבל גישה למערכות DOD".

Hegseth הורה על סקירה של שבועיים של כל חוזי הענן של משרד ההגנה כדי להבטיח שאף מומחים סיניים לא יהיו מעורבים בפרויקטים שוטפים. הוא הסביר באופן קטגורי: "לסין לא תהיה שום השתתפות בשירותי הענן שלנו מעכשיו".

בהצהרתו, Hegseth גם הפך את ממשל אובמה לאחראי מכיוון שהיא ניהלה משא ומתן על עסקת הענן המקורית. הוא דיבר על "עובדים סיניים זולים", שהשימוש בהם הוא "ברור שאינו מקובל" ומייצג נקודת תורפה פוטנציאלית במערכות המחשבים של DOD.

מיקרוסופט מגיבה ללחץ

לאור הלחץ הפוליטי, מיקרוסופט הגיבה במהירות. פרנק X. שו, קצין התקשורת הראשי של החברה, אישר ביום שישי ב- X כי מיקרוסופט ביצעה שינויים בתמיכתו בלקוחות ממשלת ארה"ב, "כדי להבטיח שאין צוותי הנדסה שבסיסה בסין.

הודעה זו ניתנה שעות רק לאחר שר ההגנה הגת הודיע על חקירה של השימוש של מיקרוסופט במהנדסים זרים. מהירות התגובה מצביעה על המודעות של החברה לחומרת המצב וההשפעות הפוטנציאליות על חוזי הממשלה הרווחית שלה.

בחינה סנטוריאלית

הסנטור טום קוטון, יו"ר סוכנות המודיעין של הסנאט וחבר בוועדת כוחות הזרוע, שלח ביום חמישי מכתב לשר הביטחון הגסטה ושאל מידע ומסמכים על התוכנית. כותנה ביקשה רשימה של כל עובדי ה- DOD המעסיקים את הצוות הסיני, כמו גם פרטים נוספים על האופן בו "מלווים דיגיטליים" של ארה"ב מאומנים על מנת להכיר בפעילויות חשודות.

"לאור הדיווחים הצעירים והמטרידים ביותר על מיקרוסופט, בהם מהנדסים בסין משתמשים כדי לתחזק מערכות DOD, ביקשתי משר ההגנה לבחון את העניין", אמר קוטון ב- X-Post. "עלינו להגן על עצמנו מפני כל האיומים בשרשרת האספקה של הצבא שלנו".

חולשות טכניות וסיכוני אבטחה

בעיית פער המיומנויות

אחת הבעיות הבסיסיות ביותר של מערכת הליווי הדיגיטלית הייתה ההבדל הניכר במומחיות הטכנית בין המהנדסים הסיניים לבין המשמרות האמריקאים שלהם. "פער מיומנויות" זה יצר מצב מסוכן בו טכנאים זרים מוסמכים מאוד נבדקו על ידי אזרחי ארה"ב פחות מוסמכים באופן משמעותי.

מתיו אריקסון, מהנדס מיקרוסופט לשעבר שעבד על התוכנית, הסביר את הבעיה בבירור: "אם מישהו מבצע סקריפט בשם 'fix_servers.sh', אבל מה שעושה משהו ממאיר, אז [למלווים] לא היה מושג". הצהרה זו ממחישה את החולשה הבסיסית של המערכת: לזהות את חוסר היכולת של ניטור קוד שעלול להזיק.

גיוס והסמכה של המלווים הדיגיטליים

גיוס המלווים הדיגיטליים השתלט על ידי לוקהיד מרטין חלקית, כאשר המועמדים נבחרו בעיקר בגלל שחרורי האבטחה שלהם ולא בגלל כישוריהם הטכניים. פרסומי עבודה לתפקידי ליווי עם הסמכת אבטחת DOD החלו בשכר מינימום של 18 $ לשעה.

צוות ליווי של כ- 50 איש ב- Insight Global התקשר מדי חודש עם מהנדסי מיקרוסופט שבסיסה בסין והודה מאות פקודות במערכות ממשלתיות. מנהל פרויקטים הזהיר את מיקרוסופט כי למלווים שנקבעו יהיו העיניים הנכונות למשימה זו בגלל תשלום נמוך וחוסר ניסיון מתמחה.

אמצעי אבטחה אוטומטיים וגבולותיהם

מיקרוסופט התעקשה שמערכת הליווי כללה מספר רמות אבטחה, כולל זרימות עבודה באישור וביקורות קוד אוטומטיות על ידי מערכת סקירה פנימית בשם "Lockbox". מערכת זו צריכה להבטיח כי פניות מסווגות כבטוחות או להוליד דאגה.

עם זאת, פרטי אמצעי האבטחה הללו נותרו מעורפלים, ומיקרוסופט סירבה לחשוף מידע ספציפי על תפקוד מערכת ה- LockBox, תוך ציטוט סיכוני אבטחה. אי -הטרנספורמציה זו חיזקה את חששותיהם של המבקרים על יעילות אמצעי ההגנה המיושמים.

הקשר היסטורי ותקריות אבטחה קודמות

הסיפור של מיקרוסופט עם האקרים סיניים

המחלוקת לגבי המהנדסים הסיניים בעייתיים במיוחד על רקע ההיסטוריה המתועדת של מיקרוסופט עם התקפות סייבר סיניות. החברה הוקפצה שוב ושוב על ידי האקרים מסין ורוסיה, שנכנסה בהצלחה של מיקרוסופט מערכות.

בשנת 2023 הצליחו האקרים סיניים לגנוב אלפי מיילים מתיבות הדואר האלקטרוני של משרד החוץ והמסחר. אירועים אלה מדגישים את האיום האמיתי, המבוסס על פעולות סייבר סיניות, ומקבלים את ההחלטה של מיקרוסופט לגרום למהנדסים סיניים העובדים עם מערכות פנטגון לעבוד עוד יותר מפוקפק.

איומי אבטחה עולמיים נוכחיים

רק כמה ימים לאחר שנחשפה שערוריית הליווי הדיגיטלית, מיקרוסופט שוב נפגעה מאירוע אבטחה משמעותי. ביולי 2025, נקודת תורפה משמעותית במוצר נרחב של מיקרוסופט אפשרה למספר קבוצות האקרים סיניים להתפשר על עשרות ארגונים ברחבי העולם ולפחות שתי רשויות פדרליות.

הפעם קרבת האירועים מגדילה את החששות מהיכולת של מיקרוסופט לשמור על אמצעי אבטחה מתאימים כנגד איומי סייבר סיניים. צ'רלס כרמקאל, קצין הטכנולוגיה הראשי במנדאנט של גוגל, הזהיר: "חשוב להבין שכמה שחקנים מנצלים כעת באופן פעיל את הפגיעות הזו".

מוקד לאבטחה והגנה – תמונה: xpert.digital

מרכז האבטחה וההגנה מציע ייעוץ ומידע עדכני מבוסס על מנת לתמוך ביעילות בחברות וארגונים בחיזוק תפקידם במדיניות הביטחון והביטחון האירופית. בקשר הדוק לקבוצת העבודה של SME Connect, הוא מקדם חברות קטנות ובינוניות (SME) בפרט שרוצות להרחיב עוד יותר את כוחן והתחרותיות החדשנית שלהן בתחום ההגנה. כנקודת קשר מרכזית, הרכזת יוצרת גשר מכריע בין SME לאסטרטגיית הגנה אירופאית.

מתאים לכך:

• ההגנה בקבוצת העבודה של SME מתחברת – חיזוק חברות קטנות ובינוניות בהגנה אירופאית

הסמכת מודל Matura של אבטחת הסייבר (CMMC) ואתגרי הציות

CMMC בתגובה לפערי אבטחה

תוכנית הסמכת מודל Matura Matura (CMMC) פותחה על ידי ה- DOD כדי לחזק את אבטחת הסייבר בענף הביטחון וכדי להגן טוב יותר על מידע רגיש ללא סיווג. CMMC נועד לאכוף את ההגנה על מידע על חוזה פדרלי (FCI) ומידע ללא סיווג מבוקר (CUI).

מסגרת CMMC 2.0, שהוצגה בנובמבר 2021, כוללת שלוש דרגות הבשלה, שלכל אחת מהן דרישות ספציפיות ומחמירות יותר ויותר. דרגה 1 מתמקדת בשיטות היגיינת סייבר בסיסיות עבור קבלנים העוסקים ב- FCI, ואילו רמה 2 ו -3 מיועדים לארגונים המעבדים CUI ודורשים אמצעי אבטחה גבוהים יותר.

תאימות ה- CMMC של מיקרוסופט ובעיית הליווי

חשיפת מערכת הליווי הדיגיטלית מעלה שאלות חמורות לגבי עמידה של מיקרוסופט לדרישות CMMC. CMMC רמה 2 ורמות גבוהות יותר מיועדות במיוחד להגנה על CUI – בדיוק סוג המידע אליו ניגשים מהנדסים סיניים פוטנציאליים באמצעות מערכת הליווי.

מיקרוסופט טוענת כי לקוחות יכולים להפגין תאימות של CMMC בסביבות ענן שונות, כולל הענן המסחרי לרמות נמוכות יותר וענן Soegechegn בארה"ב לדרישות אבטחה גבוהות יותר. עם זאת, העובדה שלמהנדסים סיניים הייתה גישה לנתוני IL4 ו- IL5 מצביעה על הפרה אפשרית של העקרונות הבסיסיים של CMMC.

סיווגי רמת השפעה ומשמעותם

סיווגי רמת ההשפעה של DOD הם מרכיב קריטי להבנת חומרת שערוריית הליווי הדיגיטלית. רמת ההשפעה 4 (IL4) מכסה מידע מבוקר ללא סיווג (CUI) ואילו רמת ההשפעה 5 (IL5) מיועדת לנתוני מערכות אבטחה לאומיות לא מסווגות (NSS).

מידע על IL5 דורש הגנה גבוהה יותר מ- IL4 וכולל מידע קריטי למשימה ונתוני NSS. הגילוי הבלתי מורשה של מידע על IL5 עלול להשפיע על חמורות או קטסטרופליות על הביטחון הלאומי. העובדה שלמהנדסים סיניים הייתה גישה לשתי הקטגוריות הופכת את פער האבטחה למדאיג במיוחד.

נקודות מבט בינלאומיות והשלכות גיאו -פוליטיות

סכסוך סייבר בסין בארה"ב בהקשר

שערוריית הליווי הדיגיטלית מתרחשת על רקע הידרדרות של מערכות יחסים סיניות בארה"ב ומלחמת סחר מתמשכת – סוג הקונפליקט שעל פי חוות דעת המומחים, עלול להוביל למדדי חישוב הסייבר הסיני. ממשלת ארה"ב מכירה בכך שכישורי הסייבר של סין הם אחד האיומים האגרסיביים והמסוכנים ביותר על ארצות הברית.

הארי קוקר, לשעבר עובד מדינה בכיר ב- CIA ו- NSA, תיאר בבוטות את מבנה הליווי: "אם הייתי פעיל, הייתי מחשיב שזה יהיה בעל ערך רב. עלינו להיות מודאגים מאוד". הערכה זו של מומחה מודיעין מדגישה את החומרה הפוטנציאלית של פער האבטחה מבחינה מודיעינית.

השפעות על שרשרת האספקה הטכנולוגית הגלובלית

השערוריה מעלה שאלות רחבות יותר לגבי אבטחתם של ספקי תוכנה של צד שלישי המשמשים בממשלה הפדרלית כולה. בדצמבר 2024 התפשר האקר הסיני מעבר לטרוסט, ספקית אבטחת סייבר פרטית, כדי לקבל גישה למשרד האוצר האמריקני, כולל אלה במשרד לבקרת נכסים זרים ובמשרד שרת האוצר ג'נט ילן.

אירועים אלה מדגימים את הפגיעות של שרשראות האספקה הטכנולוגיות המורכבות עליהן תלויות ממשלות מודרניות. הם גם ממחישים את הקושי לשמור על מערכות לאומיות מאובטחות באמת בעולם הגלובלי בו הכל בינלאומי בינלאומי ובבינלאומי -פתיחה, כפי שציין מומחה האבטחה ברוס שנייר.

תגובות בתעשייה וחוות דעת מומחים

מומחי אבטחה מעלים את האזעקה

מומחי אבטחת סייבר שונים ואנשי ממשל לשעבר הביעו דאגה מהגילויים. ג'ון שרמן, שהיה משרד ההגנה במהלך קצין המידע הראשי של ממשל ביידן, אמר שהוא הופתע ודואג לתובנות של פרובליקה: "כנראה שהייתי צריך לדעת על זה". הוא אמר שהמצב הצדיק "סקירה יסודית של DISA, פיקוד הסייבר ובעלי עניין אחרים המעורבים".

הקרן להגנת הדמוקרטיות איפיינה את המצב כפנטגון, ש"סין העניקה גישה למערכות שלה במשך למעלה מעשור ". ארגון זה הדגיש כי תוכנית DOD אפשרה למהנדסים סיניים לקבל גישה למערכות פנטגון, בעוד שהם עשויים להכניס חולשות למערכות DOD במסווה של תחזוקת תוכנה.

מאמצי ההגנה והשקיפות של מיקרוסופט

מיקרוסופט הגנה על מערכת הליווי כתומכת בתקני הממשלה. דובר החברה אמר: "עבור כמה פניות טכניות, מיקרוסופט מחויבת על ידי צוות המומחים העולמי שלנו על מנת לספק תמיכה מצוות המורשה של ארה"ב, בהתאם לדרישות ותהליכים ממשלתיים בארה"ב".

החברה הדגישה כי "כל העובדים והקבלנים עם גישה מיוחסת בפריסה ארצית צריכים לעבור בחינות רקע" וכי "לעובדי התמיכה הגלובלית אין גישה ישירה לנתוני לקוחות או למערכות לקוחות". מיקרוסופט גם טענה כי היא משתמשת בכמה רמות אבטחה, כולל זרימת עבודות אישור וביקורות קוד אוטומטיות כדי למנוע איומים.

מיקרוסופט הסכימה כי מיקרוסופט הסכימה לחלוק את בסיס השוויון (BOE) עם לקוחות במסגרת הסכמי סודיות, המדגימה רמת שקיפות שאינה מציעה ספקי שירותי ענן רבים אחרים.

השפעות ארוכות טווח וצרכי הרפורמה

שינויים מבניים בממשלה-היא

שערוריית הליווי הדיגיטלית עלולה להוביל לשינויים מהותיים באופן שבו ממשלת ארה"ב מנהלת ומפקחת על תשתיות ה- IT שלה. הגילויים כבר הובילו לשליטה מוגברת של קבלני הביטחון ולדרישות מחמירות לכיבוש פרויקטים טכנולוגיים רגישים.

אנליסטים מצפים לצעדים דומים בענף כולו, מכיוון שהמחוקקים וקצינים צבאיים ממשיכים להתמקד בסיכוני אבטחת סייבר ובשלמות שרשרת האספקה למערכות IT ממשלתיות. הסקירה המתמשכת של כל חוזי הענן של משרד הביטחון עשויה להוביל להערכה מחודשת של נוהלי האבטחה.

השפעות על ספקי ענן אחרים

למרות שהגילויים הנוכחיים מתרכזים במיקרוסופט, לא ברור אם ספקי ענן אחרים העובדים עבור ממשלת ארה"ב, כמו שירותי אינטרנט של אמזון או Google Cloud, תלויים גם הם במלווים דיגיטליים. חברות אלה סירבו להגיב בעניין כשפנו אליהן על ידי פרובליקה.

האפשרות שפרקטיקות דומות בענף כולו נפוצות עלולות להוביל לבדיקה מקיפה ורפורמה של נוהלי אבטחת הענן עבור חוזים ממשלתיים. שר הביטחון Hegseth ציין כי החוקר יכול לחקור ספקים המאושרים על ידי תוכנית הסמכת מודל הבשלות ברשת (CMMC).

עלויות ויעילות לעומת אבטחה

השערוריה מעלה שאלות מהותיות לגבי האיזון בין יעילות עלות לביטחון בחוזי IT הממשלתיים. השימוש של מיקרוסופט במהנדסים סיניים הונע לפעמים על ידי הרצון לשמור על עלויות נמוכות ובמקביל להציע תמיכה טכנית מוסמכת מאוד.

אינדי קרולי, שפיתחה את תוכנית הליווי הדיגיטלית, אמרה לפרובליקה: "זה תמיד איזון בין עלויות ומאמץ ומומחיות. כך שתוכלו למצוא מה מספיק טוב". מנטליות זו, שמיקרוסופט איפשרה להשתמש בכוח העבודה הגלובלי שלה, בעוד שככל הנראה עמדו בדרישות הממשלה, ניתן היה להערכה מחדש מהערכה מחודשת.

חידושים טכנולוגיים וסיכויים עתידיים

אוטומציה ו- AI באבטחת סייבר

הגילויים לגבי המלווים הדיגיטליים מדגישים את הצורך במערכות אבטחה אוטומטיות מתקדמות יותר שיכולות להשלים או להחליף פיקוח אנושי. טכנולוגיות אבטחת סייבר מודרניות, כולל איתור איומים מבוקר על ידי AI וניתוח קוד אוטומטי, יכולות להתייחס לחלק מהחולשות של מערכת הליווי האנושית.

מיקרוסופט וספקי ענן אחרים כבר משקיעים במידה ניכרת בפתרונות אבטחה מבוססי AI שיכולים להכיר בפעילויות שעלולות להזיק בזמן אמת. בעתיד, טכנולוגיות אלה יכולות למלא תפקיד קריטי בהפחתת הצורך במתווכים אנושיים שאולי אין להם את הכישורים הטכניים הדרושים.

ארכיטקטורות אפס-אמון ויישומם

השערוריה גם מגדילה את התנועה לעבר ארכיטקטורות אבטחה אפס -אמון, אשר מניחה ששום גורם – לא בתוך או מחוץ להיקף הרשת – אמין באופן אוטומטי. גישות אלה דורשות אימות וניטור רציף של כל המשתמשים והמכשירים לפני ניתנת הגישה למערכות ונתונים.

עבור שירותי ענן ממשלתיים, יישום עקרונות אפס-אמון חזקים עשוי להפחית חלק מהסיכונים הנובעים משימוש בתמיכה טכנית זרה. מערכות כאלה ידרשו שכל פעולה – ללא קשר למי נושא אותן – מאומתת בכמה רמות אבטחה.

השפעות כלכליות ודינמיקת שוק

השפעות על העסק הממשלתי של מיקרוסופט

העסק הממשלתי של מיקרוסופט הוא גורם מכירות משמעותי עבור החברה. על פי דו"ח התוצאות הרבעוניות האחרונות, מיקרוסופט מייצרת הכנסה משמעותית מחוזים ממשלתיים, כאשר יותר ממחצית מה 70 מיליארד דולר במחזור מהלקוחות מבוססי ארה"ב ברבעון הראשון.

לדברי אנליסטים, חטיבת שירותי ענן Azure, המושפעת מהמחלוקת, מייצרת יותר מ- 25% מכלל המכירות של החברה. כל פגיעה ארוכה לטווח הארוך ביכולתה של מיקרוסופט להשיג או לשמור על חוזים ממשלתיים עשויה להיות השפעה כספית משמעותית.

השפעות תחרותיות בענף הענן

השערוריה יכולה להועיל למתחרים של מיקרוסופט בענף הענן, ובמיוחד Amazon Web Services (AWS), שהיא כבר ספקית הענן הגדולה ביותר, ו- Google Cloud. אם סוכנויות ממשלתיות יתחילו לחקור את נוהלי האבטחה של מיקרוסופט, תוכל לפנות לספקים אלטרנטיביים שיכולים להציע ערבויות אבטחה חזקות יותר.

המחלוקת יכולה להוביל גם לשדרוג ענף של תקני האבטחה, מכיוון שהספקים מנסים להתרחק מהבעיות שהועלו במקרה של מיקרוסופט. זה יכול להוביל לעלויות גבוהות יותר, אך גם שיפרו את נוהלי האבטחה בענף כולו.

השפעות על שרשרת האספקה הטכנולוגית הגלובלית

הגילויים גם מעלים שאלות רחבות לגבי הקיימות של רשתות אספקת הטכנולוגיה העולמית בתקופה של מתחים גיאו -פוליטיים. חברות טכנולוגיה רבות מסתמכות על כישרונות ומשאבים ממדינות שונות, כולל אלה הנחשבים כמתנגדים פוטנציאליים.

המגמה כלפי "פרוינד-סאלונג" או "ריסוס כמעט" של שירותי טכנולוגיה קריטיים עשויה להאיץ מכיוון שממשלות מנסות להפחית את התלות שלהן בספקים זרים פוטנציאליים. זה יכול להוביל לשינויים משמעותיים בדרך כיצד מובנות חברות טכנולוגיה גלובליות ומונחות.

רפורמות רגולטוריות והשלכות פוליטיות

שינויים פוטנציאליים בחוק

שערוריית הליווי הדיגיטלית עלולה להוביל לרפורמות רגולטוריות ניכרות שמטרתן למנוע פערי אבטחה דומים בעתיד. הקונגרס יכול להכניס דרישות מחמירות יותר להעסקת עובדים זרים לפרויקטים ממשלתיים רגישים או לרשום בדיקות רקע מורחבות ודרישות פיקוח.

רפורמות אפשריות עשויות לכלול גם דרישות שקיפות מורחבות עבור ספקי שירותי ענן העובדים עם הממשלה, כולל דיווח מפורט על הלאום והכישורים של כל העובדים שיש להם גישה למערכות ממשלתיות.

השפעות על נוהלי רכש עתידיים

המחלוקת יכולה להוביל גם לשינויים מהותיים בנוהלי הרכש של הממשלה. חוזים עתידיים עשויים להכיל דרישות אבטחה מחמירות יותר, זכויות ביקורת מורחבות ועונשים קשים יותר בגין הפרות ביטחוניות.

הממשלה יכולה גם להתחיל לתעדף ביטחון יותר עלויות, מה שעלול להוביל להוצאות גבוהות יותר עבור שירותי IT, אך גם ערבויות ביטחוניות חזקות יותר. זה יכול לחול במיוחד על פרויקטים רגישים ביותר הכוללים נתוני אבטחה לאומיים.

שערוריית הליווי הדיגיטלית של מיקרוסופט חשפה פגיעות קריטית באופן שבו ממשלת ארה"ב מנהלת ומפקחת על מערכות ה- IT הרגישות ביותר שלה. החשיפה כי לטכנאים סינים הייתה גישה למערכות ענן פנטגון במשך עשור לא רק עוררה תגובות פוליטיות ויזמות מיידיות, אלא גם העלתה שאלות בסיסיות לגבי האיזון בין יעילות עלות לביטחון לאומי.

התגובה המהירה של שר הביטחון Hegseth ושינויים פוליטיים מיידיים של מיקרוסופט מראים על מודעות לחומרת המצב. עם זאת, ההשלכות של שערוריה זו עוברות הרבה מעבר לתרגול תאגידי יחיד. הם משפיעים על שאלת הליבה כיצד חברות דמוקרטיות יכולות להגן על התשתיות הדיגיטליות הקריטיות ביותר שלהן בעולם יותר ויותר ברשת וגיאופוליטי.

ההשפעות לטווח הארוך ככל הנראה יהיו הערכה מחדש בסיסית של נוהלי אבטחת הענן, דרישות רגולטוריות מחמירות יותר ואולי גם עיצוב מחדש של המין כיצד חברות הטכנולוגיה הגלובליות מתקשרות עם ממשלות לאומיות. אמנם ניתן לפנות למשבר המיידי על ידי השינויים של מיקרוסופט בשינויים הפוליטיים ובחינת הפנטגון, אך האתגר הרחב יותר של התאמה בין ביטחון ויעילות בנוף טכנולוגי גלובלי.

מרקוס בקר

אני שמח לעזור לך כיועץ אישי.

ראש פיתוח עסקי

יו"ר SME Connect Connect Group

לינקדאין

קונרד וולפנשטיין

אני שמח לעזור לך כיועץ אישי.

קשר תחת וולפנשטיין ∂ xpert.digital

התקשר אלי מתחת +49 89 674 804 (מינכן)

לינקדאין