माइक्रोसॉफ्ट की रक्षा और सुरक्षा जोखिम: चीन के तकनीशियनों ने अमेरिकी रक्षा विभाग के क्लाउड का रखरखाव किया - छवि: एक्सपर्ट.डिजिटल
पेंटागन स्कैंडल ने खुलासा किया: कैसे माइक्रोसॉफ्ट चीन के तकनीशियनों ने सालों तक अमेरिकी प्रणालियों तक पहुंच दी
"डिजिटल एस्कॉर्ट्स": विचित्र चाल जिसके साथ Microsoft अमेरिकी सुरक्षा कानून चीन के लिए घिरे हुए हैं
### सुरक्षा का बड़ा ख़तरा? माइक्रोसॉफ्ट ने पेंटागन क्लाउड का रखरखाव चीनी इंजीनियरों से करवाया था ### चीन के खुलासे के बाद: माइक्रोसॉफ्ट ने तुरंत अपनी नीति बदली - लेकिन नुकसान पहले ही हो चुका था ###
Microsoft के लिए चीनी इंजीनियरों ने अमेरिकी रक्षा विभाग के अत्यधिक संवेदनशील क्लाउड इन्फ्रास्ट्रक्चर के बाद जो अनावरण किया है, उसने हाल के दिनों के सबसे बड़े सुरक्षा विवादों में से एक को ट्रिगर किया है। तकनीकी सहायता के लिए एक लागत -नियोजित समाधान के रूप में शुरू हुआ, जो कि संभावित राष्ट्रीय सुरक्षा जोखिम में काफी हद तक विकसित हुआ।
एक खतरनाक अभ्यास का अनावरण
लगभग एक दशक तक, Microsoft ने अमेरिकी रक्षा विभाग के लिए Azure- आधारित क्लाउड बुनियादी ढांचा प्रदान किया है। यह सहयोग, जो Microsoft के लिए भारी रणनीतिक और वित्तीय महत्व का था, एक ऐसी प्रणाली पर आधारित था जिसे अब अत्यधिक संवेदनशील सरकारी डेटा से निपटने में घोर लापरवाही के रूप में वर्गीकृत किया गया है।
अमेरिकी संगठन Prublica द्वारा खोजी अनुसंधान जुलाई 2025 में प्रकाश में लाया गया, जिसे कई सुरक्षा विशेषज्ञ अस्वीकार्य सुरक्षा अंतराल कहते हैं: Microsoft ने भी गैर-अमेरिका देशों से, विशेष रूप से चीन से अपने रक्षा विभाग के बुनियादी ढांचे की देखरेख को छोड़ दिया। यह अभ्यास न केवल वर्षों के लिए स्थापित किया गया था, बल्कि क्लाउड कंप्यूटिंग क्षेत्र में सरकारी आदेशों को जीतने में माइक्रोसॉफ्ट की सफलता के लिए एक निर्णायक कारक भी था।
के लिए उपयुक्त:
"डिजिटल एस्कॉर्ट्स" की प्रणाली
माइक्रोसॉफ्ट द्वारा विकसित यह प्रणाली तथाकथित "डिजिटल एस्कॉर्ट्स" पर निर्भर थी - उचित सुरक्षा मंजूरी वाले अमेरिकी नागरिक जिन्हें विदेशी तकनीशियनों के काम पर दूर से नज़र रखने का काम सौंपा गया था। ये डिजिटल साथी चीनी माइक्रोसॉफ्ट इंजीनियरों और पेंटागन के क्लाउड सिस्टम के बीच मध्यस्थ के रूप में काम करते थे, और अपने विदेशी समकक्षों से प्राप्त आदेशों और निर्देशों को सरकारी सिस्टम में डालते थे।
इस प्रणाली की समस्या इसकी मौलिक संरचनात्मक कमजोरी में निहित है: डिजिटल एस्कॉर्ट्स में अक्सर अपने चीनी सहयोगियों के काम की पर्याप्त निगरानी करने के लिए तकनीकी विशेषज्ञता नहीं होती थी। इनमें से कई साथी कम प्रोग्रामिंग अनुभव वाले पूर्व सैन्य सदस्य थे, जिन्हें इस महत्वपूर्ण कार्य के लिए न्यूनतम मजदूरी से थोड़ा अधिक मिला। एक वर्तमान एस्कॉर्ट ने समस्या को अभिव्यक्त किया: "हमें विश्वास है कि आप जो करते हैं वह दुर्भावनापूर्ण नहीं है, लेकिन हम वास्तव में इसे नहीं देख सकते हैं"।
अत्यधिक संवेदनशील डेटा तक पहुंच
चीनी इंजीनियरों के पास संभावित रूप से "प्रभाव स्तर 4 और 5" की जानकारी तक पहुँच थी—ऐसा डेटा जिसे बेहद संवेदनशील माना जाता है लेकिन आधिकारिक तौर पर वर्गीकृत नहीं किया गया है। इस श्रेणी में वह सामग्री शामिल है जो सीधे सैन्य अभियानों का समर्थन करती है, साथ ही अन्य डेटा भी जिसके समझौता होने से राष्ट्रीय सुरक्षा के लिए "गंभीर या विनाशकारी परिणाम" हो सकते हैं, पेंटागन के दिशानिर्देशों के अनुसार।
प्रभाव स्तर 5 (IL5) विशेष रूप से अवर्गीकृत राष्ट्रीय सुरक्षा प्रणालियों (NSS) के लिए डिज़ाइन किया गया है, जो DoD मिशन और प्रक्रिया नियंत्रित अवर्गीकृत सूचना (CUI) का समर्थन करता है, जिसके लिए IL4 की तुलना में उच्च सुरक्षा की आवश्यकता होती है। इस जानकारी में अनुसंधान और विकास, रसद डेटा और अन्य मिशन -राजनीतिक सामग्री शामिल हो सकती है जो समझौता करते समय काफी नुकसान पहुंचा सकती है।
Microsoft का व्यवसाय मॉडल और अनुपालन बाईपास
क्लाउड डोमिनेंस का रास्ता
Microsoft 2010 के दशक में सरकारी क्लाउड सेवाओं के प्रमुख प्रदाता के रूप में खुद को स्थापित करने में कामयाब रहा। 2019 में, कंपनी ने रक्षा मंत्रालय के साथ 10 बिलियन डॉलर का क्लाउड कॉन्ट्रैक्ट जीता, जिसे बाद में कानूनी विवादों के बाद 2021 में रद्द कर दिया गया। 2022 में, अमेज़ॅन, Google और ओरेकल के साथ मिलकर, Microsoft को $ 9 बिलियन तक के नए क्लाउड कॉन्ट्रैक्ट्स का हिस्सा मिला।
ये सफलताएं आंशिक रूप से Microsoft की वैश्विक संसाधनों का उपयोग करने की क्षमता पर आधारित थीं और साथ ही साथ अमेरिकी सरकार की सख्त सुरक्षा आवश्यकताओं को पूरा करने के लिए। डिजिटल एस्कॉर्ट सिस्टम एक मौलिक समस्या का एक रचनात्मक लेकिन जोखिम भरा समाधान था: चीन, भारत और यूरोप में व्यापक संचालन के साथ एक वैश्विक प्रौद्योगिकी कंपनी अमेरिकी सरकारी अनुबंधों के लिए प्रतिबंधात्मक कर्मियों की आवश्यकताओं को कैसे पूरा कर सकती है?
फेड्रैम्प और सुरक्षा नियमों की परिधि
संघीय सूचना सुरक्षा प्रबंधन अधिनियम (FISMA) के तहत क्लाउड कंप्यूटिंग उत्पादों और सेवाओं के मूल्यांकन, निगरानी और प्राधिकरण के लिए एक मानकीकृत दृष्टिकोण की पेशकश करने के लिए 2011 में संघीय जोखिम और प्राधिकरण प्रबंधन कार्यक्रम (FEDRAMP) को पेश किया गया था। फेड्रैम्प क्लाउड प्रदाताओं से मांग करता है जो संघीय सरकार के साथ काम करना चाहते हैं ताकि यह सुनिश्चित हो सके कि पृष्ठभूमि परीक्षा उन कर्मचारियों के लिए की जाती है जो अत्यधिक संवेदनशील संघीय सरकार के आंकड़ों से निपटते हैं।
रक्षा मंत्रालय ने अतिरिक्त क्लाउड दिशानिर्देश तैयार किए हैं जो उस कर्मचारियों को निर्धारित करते हैं जो वर्गीकृत डेटा से निपटने वाले कर्मचारियों को अमेरिकी नागरिक या स्थायी निवासी होना चाहिए। Microsoft के लिए ये आवश्यकताएं एक महत्वपूर्ण चुनौती थीं, क्योंकि कंपनी भारत, चीन, यूरोपीय संघ और अन्य क्षेत्रों से एक वैश्विक कार्यबल पर भरोसा करती है।
Microsoft के एक वरिष्ठ कार्यक्रम प्रबंधक, Indy Crowley, ने FedRamp और DoD आवश्यकताओं से बचने के लिए डिजिटल एस्कॉर्ट कार्यक्रम को एक तरह से विकसित किया। इस प्रणाली ने चीन जैसे देशों में विदेशी इंजीनियरों को सरकारी प्रणालियों तक सीधी पहुंच के बिना उचित सहायता प्रदान करने में सक्षम बनाया।
रक्षा सूचना प्रणाली एजेंसी (DISA) की भूमिका
रक्षा सूचना प्रणाली एजेंसी (DISA) रक्षा मंत्रालय के लिए एक केंद्रीय आईटी सहायता संगठन के रूप में कार्य करती है और DoD क्लाउड कंप्यूटिंग सुरक्षा आवश्यकताओं गाइड (SRG) के विकास और रखरखाव के लिए जिम्मेदार है। DISA मूल सुरक्षा आवश्यकताओं को परिभाषित करता है जो DoD क्लाउड सेवा प्रदाता की सुरक्षा स्थिति का आकलन करने के लिए उपयोग करता है।
क्लाउड सुरक्षा की निगरानी में उनकी केंद्रीय भूमिका के बावजूद, DISA को Microsoft के डिजिटल एस्कॉर्ट कार्यक्रम के बारे में बहुत कम ज्ञान था। DISA के एक प्रवक्ता ने शुरू में कहा कि एस्कॉर्ट अवधारणा के बारे में सुनने वाले किसी भी व्यक्ति को खोजने में सक्षम नहीं होना चाहिए। एजेंसी ने बाद में पुष्टि की कि रक्षा विभाग के "चयनित अवर्गीकृत वातावरण" में एस्कॉर्ट्स का उपयोग "उन्नत समस्या निदान और उद्योग विशेषज्ञों के समाधान" के लिए किया जाता है।
संचार और पर्यवेक्षण का अभाव
डिजिटल एस्कॉर्ट प्रणाली के बारे में जिन सरकारी अधिकारियों को सूचित किया गया था, उनकी अस्पष्टता Microsoft और जिम्मेदार सरकारी एजेंसियों के बीच पर्यवेक्षण और संचार के बारे में गंभीर सवाल उठाती है। जबकि Microsoft ने प्राधिकरण प्रक्रिया के दौरान अपनी प्रथाओं का खुलासा करने का दावा किया था, सरकारी अधिकारी आश्चर्यचकित थे और प्रासंगिक जानकारी को याद नहीं कर सकते थे।
DISA के पूर्व मुख्य प्रौद्योगिकी अधिकारी डेविड मिहेलिक ने रक्षा मंत्रालय के नेटवर्क में किसी भी दृश्यता को "भारी जोखिम" के रूप में वर्णित किया और स्थिति की काफी विशेषता बताई: "यहां आपके पास एक ऐसा व्यक्ति है जिसका आप वास्तव में भरोसा नहीं करते हैं क्योंकि वह शायद चीनी गुप्त सेवा में है, और दूसरा व्यक्ति वास्तव में सक्षम नहीं है"।
तत्काल प्रतिक्रिया और राजनीतिक परिणाम
रक्षा मंत्री हेगसेथ हस्तक्षेप करता है
प्रोपब्लिका के खुलासे पर उच्चतम स्तर पर तुरंत राजनीतिक प्रतिक्रियाएँ भड़क उठीं। रक्षा मंत्री पीट हेगसेथ ने इन रिपोर्टों पर तुरंत प्रतिक्रिया देते हुए, एक्स (जिसे पहले ट्विटर कहा जाता था) पर एक वीडियो संदेश में घोषणा की: "विदेशी इंजीनियरों को—किसी भी देश के, जिसमें चीन भी शामिल है—किसी भी देश को रक्षा विभाग के सिस्टम तक कभी भी पहुँच नहीं दी जानी चाहिए।"
हेगसेथ ने रक्षा मंत्रालय के सभी क्लाउड कॉन्ट्रैक्ट्स की दो सप्ताह की समीक्षा का आदेश दिया ताकि यह सुनिश्चित किया जा सके कि कोई भी चीनी विशेषज्ञ चल रही परियोजनाओं में शामिल नहीं हैं। उन्होंने स्पष्ट रूप से समझाया: "चीन की अब से हमारी क्लाउड सेवाओं में कोई भागीदारी नहीं होगी"।
अपने बयान में, हेगसेथ ने ओबामा प्रशासन को भी जिम्मेदार ठहराया क्योंकि उसने मूल क्लाउड सौदे पर बातचीत की थी। उन्होंने "सस्ते चीनी श्रमिकों" की बात की, जिसका उपयोग "स्पष्ट रूप से अस्वीकार्य" है और डीओडी कंप्यूटर सिस्टम में एक संभावित कमजोर बिंदु का प्रतिनिधित्व करता है।
Microsoft दबाव पर प्रतिक्रिया करता है
राजनीतिक दबाव के मद्देनजर, Microsoft ने जल्दी से प्रतिक्रिया व्यक्त की। कंपनी के मुख्य संचार अधिकारी फ्रैंक एक्स। शॉ ने शुक्रवार को एक्स पर पुष्टि की कि माइक्रोसॉफ्ट ने अमेरिकी सरकारी ग्राहकों के लिए अपने समर्थन में बदलाव किया था, "यह सुनिश्चित करने के लिए कि चीन में स्थित कोई इंजीनियरिंग टीम नहीं हैं।
रक्षा मंत्री हेगसेथ ने माइक्रोसॉफ्ट के विदेशी इंजीनियरों के उपयोग की जांच की घोषणा करने के बाद ही इस घोषणा को केवल कुछ घंटे दिए गए थे। प्रतिक्रिया की गति स्थिति की गंभीरता और इसके आकर्षक सरकारी अनुबंधों पर संभावित प्रभावों के लिए कंपनी के बारे में जागरूकता को इंगित करती है।
सीनेटर -परीक्षा
सीनेट की खुफिया एजेंसी के अध्यक्ष और एआरएम बल समिति के सदस्य सीनेटर टॉम कॉटन ने गुरुवार को रक्षा मंत्री हेगसेथ को एक पत्र भेजा और कार्यक्रम के बारे में जानकारी और दस्तावेज पूछे। कॉटन ने उन सभी डीओडी श्रमिकों की एक सूची के लिए कहा जो चीनी कर्मचारियों को नियुक्त करते हैं, साथ ही इस बात के बारे में अधिक जानकारी है कि कैसे हमें "डिजिटल एस्कॉर्ट्स" को संदिग्ध गतिविधियों को पहचानने के लिए प्रशिक्षित किया जाता है।
कॉटन ने एक एक्स-पोस्ट में कॉटन ने कहा, "माइक्रोसॉफ्ट पर सबसे कम उम्र और परेशान करने वाली रिपोर्टों के मद्देनजर, जो चीन में इंजीनियर डीओडी सिस्टम को बनाए रखने के लिए उपयोग करता है, मैंने रक्षा मंत्री से इस मामले की जांच करने के लिए कहा।" "हमें अपनी सेना की आपूर्ति श्रृंखला में सभी खतरों से खुद को बचाना होगा"।
तकनीकी कमजोरियां और सुरक्षा जोखिम
कौशल अंतर समस्या
डिजिटल एस्कॉर्ट सिस्टम की सबसे बुनियादी समस्याओं में से एक चीनी इंजीनियरों और उनके अमेरिकी गार्डों के बीच तकनीकी विशेषज्ञता में काफी विसंगति थी। इस "स्किल्स गैप" ने एक खतरनाक स्थिति बनाई जिसमें उच्च योग्य विदेशी तकनीशियनों की निगरानी काफी कम योग्य अमेरिकी नागरिकों द्वारा की गई थी।
मैथ्यू एरिकसन, एक पूर्व Microsoft इंजीनियर, जिन्होंने कार्यक्रम पर काम किया था, ने समस्या को स्पष्ट रूप से समझाया: "यदि कोई 'Fix_servers.sh' नामक स्क्रिप्ट करता है, लेकिन जो वास्तव में कुछ घातक करता है, तो [एस्कॉर्ट्स] का कोई विचार नहीं होगा"। यह कथन प्रणाली की मूलभूत कमजोरी को दर्शाता है: संभावित हानिकारक कोड की निगरानी की अक्षमता की पहचान करना।
डिजिटल एस्कॉर्ट्स की भर्ती और योग्यता
डिजिटल एस्कॉर्ट्स की भर्ती को आंशिक रूप से लॉकहीड मार्टिन द्वारा ले लिया गया था, उम्मीदवारों को मुख्य रूप से उनकी सुरक्षा रिलीज के कारण चुना गया था, न कि उनके तकनीकी कौशल के कारण। डीओडी सुरक्षा प्रमाणन के साथ एस्कॉर्ट पदों के लिए नौकरी के विज्ञापन $ 18 प्रति घंटे की न्यूनतम मजदूरी के साथ शुरू हुए।
इनसाइट ग्लोबल में लगभग 50 लोगों की एक एस्कॉर्ट टीम ने चीन में स्थित Microsoft इंजीनियरों के साथ मासिक रूप से संवाद किया और सरकारी प्रणालियों में सैकड़ों आदेशों को स्वीकार किया। एक प्रोजेक्ट मैनेजर ने Microsoft को चेतावनी दी कि कम भुगतान और विशेषज्ञता के अनुभव की कमी के कारण सेट एस्कॉर्ट्स को इस कार्य के लिए सही आँखें होंगी।
स्वचालित सुरक्षा उपाय और उनकी सीमाएँ
Microsoft ने जोर देकर कहा कि एस्कॉर्ट सिस्टम में कई सुरक्षा स्तर शामिल थे, जिसमें "लॉकबॉक्स" नामक एक आंतरिक समीक्षा प्रणाली द्वारा अनुमोदन वर्कफ़्लो और स्वचालित कोड समीक्षा शामिल हैं। इस प्रणाली को यह सुनिश्चित करना चाहिए कि पूछताछ को सुरक्षित के रूप में वर्गीकृत किया जाए या चिंता को जन्म दिया जाए।
हालांकि, इन सुरक्षा उपायों का विवरण अस्पष्ट रहा, और Microsoft ने सुरक्षा जोखिमों का हवाला देते हुए लॉकबॉक्स सिस्टम के कामकाज के बारे में विशिष्ट जानकारी प्रकट करने से इनकार कर दिया। इस गैर -ट्रांसपेरेंसी ने कार्यान्वित सुरक्षात्मक उपायों की प्रभावशीलता के बारे में आलोचकों की चिंताओं को मजबूत किया।
ऐतिहासिक संदर्भ और पिछली सुरक्षा घटनाएं
चीनी हैकर्स के साथ Microsoft की कहानी
चीनी इंजीनियरों के बारे में विवाद विशेष रूप से चीनी साइबर हमलों के साथ Microsoft के प्रलेखित इतिहास की पृष्ठभूमि के खिलाफ समस्याग्रस्त है। कंपनी को बार -बार चीन और रूस के हैकर्स द्वारा लक्षित किया गया था, जिसने माइक्रोसॉफ्ट सिस्टम्स में सफलतापूर्वक प्रवेश किया।
2023 में, चीनी हैकर्स विदेशी और वाणिज्य मंत्रालय के ई-मेल मेलबॉक्स से हजारों ईमेल चोरी करने में कामयाब रहे। ये घटनाएं वास्तविक खतरे को रेखांकित करती हैं, जो चीनी साइबर संचालन पर आधारित है, और माइक्रोसॉफ्ट के निर्णय को पेंटागन सिस्टम के साथ काम करने के लिए और अधिक संदिग्ध काम करने का निर्णय लेती है।
वर्तमान वैश्विक सुरक्षा खतरे
डिजिटल एस्कॉर्ट घोटाले को उजागर करने के कुछ दिनों बाद ही, माइक्रोसॉफ्ट को फिर से एक महत्वपूर्ण सुरक्षा घटना से मारा गया था। जुलाई 2025 में, एक व्यापक Microsoft उत्पाद में एक महत्वपूर्ण कमजोर बिंदु ने कई चीनी हैकर समूहों को दुनिया भर में दर्जनों संगठनों और कम से कम दो संघीय अधिकारियों से समझौता करने में सक्षम बनाया।
इस बार घटनाओं की निकटता चीनी साइबर खतरों के खिलाफ उचित सुरक्षा उपायों को बनाए रखने के लिए माइक्रोसॉफ्ट की क्षमता के बारे में चिंताओं को बढ़ाती है। Google के मैंडिएंट के मुख्य प्रौद्योगिकी अधिकारी चार्ल्स कारमाकल ने चेतावनी दी: "यह समझना महत्वपूर्ण है कि कई अभिनेता अब इस भेद्यता का सक्रिय रूप से शोषण कर रहे हैं"।
सुरक्षा और रक्षा के लिए हब - सलाह और जानकारी
सुरक्षा और रक्षा के लिए हब - छवि: Xpert.digital
सुरक्षा और रक्षा के लिए हब यूरोपीय सुरक्षा और रक्षा नीति में अपनी भूमिका को मजबूत करने में कंपनियों और संगठनों को प्रभावी ढंग से समर्थन करने के लिए अच्छी तरह से स्थापित सलाह और वर्तमान जानकारी प्रदान करता है। एसएमई कनेक्ट वर्किंग ग्रुप के निकट संबंध में, वह विशेष रूप से छोटी और मध्यम -सुस्त कंपनियों (एसएमई) को बढ़ावा देता है जो रक्षा के क्षेत्र में अपनी अभिनव शक्ति और प्रतिस्पर्धा का विस्तार करना चाहते हैं। संपर्क के एक केंद्रीय बिंदु के रूप में, हब एसएमई और यूरोपीय रक्षा रणनीति के बीच एक निर्णायक पुल बनाता है।
के लिए उपयुक्त:
साइबर सुरक्षा विफलता: अमेरिकी रक्षा के दिल में चीनी इंजीनियर
साइबर सुरक्षा मातुरा मॉडल प्रमाणन (सीएमएमसी) और अनुपालन चुनौतियां
सुरक्षा अंतराल के जवाब में सीएमएमसी
साइबर सुरक्षा Matura मॉडल प्रमाणन (CMMC) कार्यक्रम को DOD द्वारा रक्षा उद्योग में साइबर सुरक्षा को मजबूत करने और संवेदनशील अवर्गीकृत जानकारी को बेहतर ढंग से बचाने के लिए विकसित किया गया था। CMMC को संघीय अनुबंध सूचना (FCI) और नियंत्रित अवर्गीकृत सूचना (CUI) के संरक्षण को लागू करने के लिए डिज़ाइन किया गया है।
CMMC 2.0 फ्रेमवर्क, जिसे नवंबर 2021 में पेश किया गया था, में तीन डिग्री पकने में शामिल हैं, प्रत्येक विशिष्ट, तेजी से सख्त आवश्यकताओं के साथ। स्तर 1 ठेकेदारों के लिए बुनियादी साइबर स्वच्छता प्रथाओं पर केंद्रित है जो एफसीआई से निपटते हैं, जबकि स्तर 2 और 3 उन संगठनों के लिए डिज़ाइन किए गए हैं जो सीयूआई को संसाधित करते हैं और उच्च सुरक्षा उपायों की आवश्यकता होती है।
Microsoft का CMMC अनुपालन और एस्कॉर्ट समस्या
डिजिटल एस्कॉर्ट सिस्टम का खुलासा माइक्रोसॉफ्ट द्वारा CMMC आवश्यकताओं के अनुपालन पर गंभीर सवाल खड़े करता है। CMMC लेवल 2 और उससे ऊपर के सिस्टम विशेष रूप से CUI की सुरक्षा के लिए डिज़ाइन किए गए हैं—ठीक उसी तरह की जानकारी जिस तक एस्कॉर्ट सिस्टम के ज़रिए चीनी इंजीनियरों की पहुँच हो सकती थी।
Microsoft का दावा है कि ग्राहक विभिन्न क्लाउड वातावरणों में CMMC अनुपालन का प्रदर्शन कर सकते हैं, जिसमें निम्न स्तर के लिए वाणिज्यिक क्लाउड और उच्च सुरक्षा आवश्यकताओं के लिए US सोएग्गेग्न क्लाउड शामिल हैं। हालांकि, तथ्य यह है कि चीनी इंजीनियरों के पास IL4 और IL5 डेटा तक पहुंच थी, CMMC के मूल सिद्धांतों के संभावित उल्लंघन को इंगित करता है।
प्रभाव स्तर वर्गीकरण और उनके अर्थ
डिजिटल एस्कॉर्ट घोटाले की गंभीरता को समझने के लिए डीओडी प्रभाव स्तर का वर्गीकरण एक महत्वपूर्ण तत्व है। प्रभाव स्तर 4 (IL4) में नियंत्रित अवर्गीकृत सूचना (CUI) शामिल है, जबकि प्रभाव स्तर 5 (IL5) को अवर्गीकृत राष्ट्रीय सुरक्षा प्रणालियों (NSS) डेटा के लिए डिज़ाइन किया गया है।
IL5 जानकारी के लिए IL4 की तुलना में उच्च सुरक्षा की आवश्यकता होती है और इसमें मिशन-महत्वपूर्ण जानकारी और NSS डेटा शामिल होते हैं। IL5 जानकारी के अनधिकृत प्रकटीकरण का राष्ट्रीय सुरक्षा पर गंभीर या भयावह प्रभाव पड़ सकता है। तथ्य यह है कि चीनी इंजीनियरों के पास संभावित रूप से दोनों श्रेणियों तक पहुंच थी, सुरक्षा अंतर को विशेष रूप से खतरनाक बनाती है।
अंतर्राष्ट्रीय दृष्टिकोण और भू -राजनीतिक निहितार्थ
संदर्भ में अमेरिकी चीन साइबर संघर्ष
डिजिटल एस्कॉर्ट घोटाला अमेरिका-चीन के बिगड़ते संबंधों और चल रहे व्यापार युद्ध के बीच सामने आया है—ऐसा संघर्ष जिसके बारे में विशेषज्ञों का कहना है कि इससे चीन की साइबर जवाबी कार्रवाई हो सकती है। अमेरिकी सरकार मानती है कि चीन की साइबर क्षमताएँ अमेरिका के लिए सबसे आक्रामक और खतरनाक खतरों में से एक हैं।
सीआईए और एनएसए में एक पूर्व उच्च रैंकिंग वाले सिविल सेवक हैरी कोकर ने एस्कॉर्ट संरचना का वर्णन किया: "अगर मैं एक ऑपरेटिव होता, तो मैं इसे बेहद मूल्यवान मानता। हमें बहुत चिंतित होना होगा"। एक खुफिया विशेषज्ञ का यह मूल्यांकन खुफिया दृष्टिकोण से सुरक्षा अंतर की संभावित गंभीरता को रेखांकित करता है।
वैश्विक तकनीकी आपूर्ति श्रृंखला पर प्रभाव
यह घोटाला पूरी संघीय सरकार में उपयोग किए जाने वाले तृतीय-पक्ष सॉफ्टवेयर प्रदाताओं की सुरक्षा के बारे में व्यापक सवाल उठाता है। दिसंबर 2024 में, एक निजी साइबर सुरक्षा प्रदाता, चीनी हैकर बियोरस्ट्रस्ट ने अमेरिकी वित्त मंत्रालय तक पहुंच प्राप्त करने के लिए समझौता किया, जिसमें विदेशी संपत्ति नियंत्रण कार्यालय और वित्त मंत्री जेनेट येलेन के कार्यालय में शामिल थे।
ये घटनाएं उन जटिल तकनीकी आपूर्ति श्रृंखलाओं की भेद्यता को प्रदर्शित करती हैं जिन पर आधुनिक सरकारें निर्भर हैं। वे एक वैश्वीकृत दुनिया में वास्तव में सुरक्षित राष्ट्रीय प्रणालियों को बनाए रखने की कठिनाई का वर्णन करते हैं जिसमें सब कुछ अंतरराष्ट्रीय स्तर पर अंतर्राष्ट्रीय और इन -डेप्थ इंटरनेशनल है, जैसा कि सुरक्षा विशेषज्ञ ब्रूस श्नेयर ने नोट किया था।
उद्योग प्रतिक्रियाएं और विशेषज्ञ राय
सुरक्षा विशेषज्ञ अलार्म बढ़ाते हैं
विभिन्न साइबर सुरक्षा विशेषज्ञों और पूर्व सरकारी अधिकारियों ने खुलासे के बारे में चिंता व्यक्त की। जॉन शर्मन, जो बिडेन प्रशासन के मुख्य सूचना अधिकारी के दौरान रक्षा मंत्रालय थे, ने कहा कि वह प्रबलिस की अंतर्दृष्टि के बारे में आश्चर्यचकित और चिंतित थे: "मुझे शायद इसके बारे में पता होना चाहिए था"। उन्होंने कहा कि स्थिति ने "DISA, साइबर कमांड और अन्य हितधारकों द्वारा पूरी तरह से समीक्षा को सही ठहराया"।
लोकतंत्रों की रक्षा के लिए नींव ने एक पेंटागन के रूप में स्थिति की विशेषता बताई, जिसे "चीन ने एक दशक से अधिक समय तक अपने सिस्टम तक पहुंच प्रदान की है"। इस संगठन ने जोर दिया कि डीओडी कार्यक्रम ने चीनी इंजीनियरों को पेंटागन सिस्टम तक पहुंच प्राप्त करने में सक्षम बनाया, जबकि वे संभवतः सॉफ्टवेयर रखरखाव की आड़ में डीओडी सिस्टम में कमजोरियों को सम्मिलित कर सकते हैं।
Microsoft की रक्षा और पारदर्शिता के प्रयास
Microsoft ने सरकारी मानकों के अनुरूप एस्कॉर्ट सिस्टम का बचाव किया। एक कंपनी के प्रवक्ता ने कहा: "कुछ तकनीकी पूछताछ के लिए, Microsoft वैश्विक विशेषज्ञों की हमारी टीम द्वारा अमेरिकी सरकार की आवश्यकताओं और प्रक्रियाओं के अनुसार अधिकृत अमेरिकी कर्मचारियों से सहायता प्रदान करने के लिए प्रतिबद्ध है"।
कंपनी ने जोर देकर कहा कि "विशेषाधिकार प्राप्त पहुंच वाले सभी कर्मचारियों और ठेकेदारों को राष्ट्रव्यापी एक्सेस को पारित करना है" और "वैश्विक सहायता कर्मचारियों के पास ग्राहक डेटा या ग्राहक प्रणालियों तक सीधी पहुंच नहीं है"। Microsoft ने कई सुरक्षा स्तरों का उपयोग करने का भी दावा किया, जिसमें खतरों को रोकने के लिए अनुमोदन कार्य प्रवाह और स्वचालित कोड समीक्षा शामिल हैं।
उद्योग के लिए असामान्य, Microsoft ने गोपनीयता समझौतों के तहत ग्राहकों के साथ समतुल्यता (BOE) दस्तावेजों के अपने आधार को साझा करने के लिए सहमति व्यक्त की, जो पारदर्शिता के एक स्तर को प्रदर्शित करता है जो कई अन्य क्लाउड सेवा प्रदाताओं की पेशकश नहीं करता है।
लंबे समय तक प्रभाव और सुधार की जरूरत है
सरकार में संरचनात्मक परिवर्तन-यह
डिजिटल एस्कॉर्ट घोटाला अमेरिकी सरकार द्वारा अपने आईटी बुनियादी ढांचे का प्रबंधन और निगरानी करने के तरीके में मौलिक बदलावों को जन्म दे सकता है। रहस्योद्घाटन ने पहले से ही संवेदनशील प्रौद्योगिकी परियोजनाओं के कब्जे के लिए रक्षा ठेकेदारों के प्रथाओं और सख्त आवश्यकताओं पर नियंत्रण बढ़ाया है।
विश्लेषकों को पूरे उद्योग में इसी तरह के कदमों की उम्मीद है, क्योंकि विधायक और सैन्य अधिकारी साइबर सुरक्षा जोखिमों और सरकारी आईटी प्रणालियों के लिए आपूर्ति श्रृंखला की अखंडता पर ध्यान केंद्रित करना जारी रखते हैं। रक्षा मंत्रालय के सभी क्लाउड कॉन्ट्रैक्ट्स की चल रही समीक्षा से सुरक्षा प्रथाओं का उद्योग-व्यापी पुनर्मूल्यांकन हो सकता है।
अन्य क्लाउड प्रदाताओं पर प्रभाव
यद्यपि वर्तमान खुलासे Microsoft पर ध्यान केंद्रित करते हैं, यह स्पष्ट नहीं है कि अन्य क्लाउड प्रदाता जो अमेरिकी सरकार के लिए काम करते हैं, जैसे कि अमेज़ॅन वेब सर्विसेज या Google क्लाउड, डिजिटल एस्कॉर्ट्स पर भी निर्भर हैं। इन कंपनियों ने इस मामले पर टिप्पणी करने से इनकार कर दिया जब उन्हें प्रबलिका द्वारा संपर्क किया गया था।
संभावना है कि पूरे उद्योग में इसी तरह की प्रथाएं व्यापक हैं, सरकारी अनुबंधों के लिए क्लाउड सुरक्षा प्रथाओं की व्यापक समीक्षा और सुधार का कारण बन सकती हैं। रक्षा मंत्री हेगसेथ ने संकेत दिया कि अन्वेषक प्रदाताओं की जांच कर सकता है जो साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन (सीएमएमसी) कार्यक्रम द्वारा प्रमाणित हैं।
लागत और दक्षता बनाम सुरक्षा
घोटाला सरकार आईटी अनुबंधों में लागत दक्षता और सुरक्षा के बीच संतुलन के बारे में मौलिक प्रश्न उठाता है। Microsoft के चीनी इंजीनियरों का उपयोग कभी -कभी लागत को कम रखने की इच्छा से प्रेरित होता था और साथ ही साथ उच्च योग्य तकनीकी सहायता प्रदान करता है।
डिजिटल एस्कॉर्ट कार्यक्रम विकसित करने वाले इंडी क्रॉले ने प्रबलिका को बताया: "यह हमेशा लागत और प्रयास और विशेषज्ञता के बीच एक संतुलन है। इसलिए आप पा सकते हैं कि क्या अच्छा है"। यह मानसिकता, जिसे Microsoft ने अपने वैश्विक कार्यबल का उपयोग करने के लिए संभव बनाया, जबकि सरकार की आवश्यकताओं को स्पष्ट रूप से पूरा किया गया था, अब एक मौलिक पुनर्मूल्यांकन के अधीन हो सकता है।
तकनीकी नवाचार और भविष्य की संभावनाएं
साइबर सुरक्षा में स्वचालन और एआई
डिजिटल एस्कॉर्ट्स के बारे में खुलासे अधिक उन्नत स्वचालित सुरक्षा प्रणालियों की आवश्यकता को रेखांकित करते हैं जो मानव पर्यवेक्षण को पूरक या बदल सकते हैं। एआई-नियंत्रित खतरे का पता लगाने और स्वचालित कोड विश्लेषण सहित आधुनिक साइबर सुरक्षा प्रौद्योगिकियां, मानव एस्कॉर्ट प्रणाली की कुछ कमजोरियों को संबोधित कर सकती हैं।
Microsoft और अन्य क्लाउड प्रदाता पहले से ही AI- आधारित सुरक्षा समाधानों में काफी निवेश कर रहे हैं जो वास्तविक समय में संभावित हानिकारक गतिविधियों को पहचान सकते हैं। भविष्य में, ये प्रौद्योगिकियां मानव मध्यस्थों की आवश्यकता को कम करने में महत्वपूर्ण भूमिका निभा सकती हैं जिनके पास आवश्यक तकनीकी कौशल नहीं हो सकते हैं।
शून्य-ट्रस्ट आर्किटेक्चर और उनके कार्यान्वयन
यह घोटाला शून्य-विश्वास सुरक्षा ढाँचे की ओर बढ़ते रुझान को भी पुष्ट करता है, जो यह मानता है कि कोई भी संस्था—चाहे नेटवर्क परिधि के अंदर हो या बाहर—स्वतः विश्वसनीय नहीं है। इन तरीकों में सिस्टम और डेटा तक पहुँच प्रदान करने से पहले सभी उपयोगकर्ताओं और उपकरणों का निरंतर सत्यापन और निगरानी आवश्यक है।
सरकारी क्लाउड सेवाओं के लिए, मज़बूत शून्य-विश्वास सिद्धांतों को लागू करने से विदेशी तकनीकी सहायता के उपयोग से उत्पन्न कुछ जोखिमों को कम किया जा सकता है। ऐसी प्रणालियों के लिए प्रत्येक कार्य—चाहे वह कोई भी करे—को सुरक्षा की कई परतों द्वारा सत्यापित किया जाना आवश्यक होगा।
आर्थिक प्रभाव और बाजार की गतिशीलता
Microsoft के सरकारी व्यवसाय पर प्रभाव
Microsoft का सरकारी व्यवसाय कंपनी के लिए एक महत्वपूर्ण बिक्री कारक है। हाल ही में तिमाही परिणामों की रिपोर्ट के अनुसार, Microsoft सरकारी अनुबंधों से महत्वपूर्ण आय उत्पन्न करता है, पहली तिमाही में यूएस-आधारित ग्राहकों से टर्नओवर में $ 70 बिलियन से अधिक के साथ।
विश्लेषकों के अनुसार, एज़्योर क्लाउड सर्विसेज डिवीजन, जो विवाद से प्रभावित होता है, कंपनी की कुल बिक्री का 25% से अधिक उत्पन्न करता है। Microsoft की सरकारी अनुबंधों को हासिल करने या बनाए रखने की क्षमता के किसी भी लंबे समय तक हानि के महत्वपूर्ण वित्तीय प्रभाव हो सकते हैं।
बादल उद्योग में प्रतिस्पर्धी प्रभाव
स्कैंडल क्लाउड उद्योग में माइक्रोसॉफ्ट के प्रतियोगियों को लाभान्वित कर सकता है, विशेष रूप से अमेज़ॅन वेब सर्विसेज (AWS), जो पहले से ही सबसे बड़ा क्लाउड प्रदाता है, और Google क्लाउड है। यदि सरकारी एजेंसियां Microsoft की सुरक्षा प्रथाओं पर सवाल उठाना शुरू करती हैं, तो आप वैकल्पिक प्रदाताओं की ओर रुख कर सकते हैं जो अधिक मजबूत सुरक्षा गारंटी प्रदान कर सकते हैं।
विवाद भी सुरक्षा मानकों के एक उद्योग -संयुक्त उन्नयन को जन्म दे सकता है, क्योंकि प्रदाता माइक्रोसॉफ्ट के मामले में उठाए गए समस्याओं से खुद को दूर करने की कोशिश करते हैं। इससे उच्च लागत हो सकती है, लेकिन पूरे उद्योग में सुरक्षा प्रथाओं में भी सुधार हो सकता है।
वैश्विक तकनीकी आपूर्ति श्रृंखला पर प्रभाव
रहस्योद्घाटन भू -राजनीतिक तनावों के समय में वैश्विक प्रौद्योगिकी आपूर्ति श्रृंखलाओं की स्थिरता के बारे में व्यापक प्रश्न भी उठाते हैं। कई प्रौद्योगिकी कंपनियां विभिन्न देशों के प्रतिभाओं और संसाधनों पर भरोसा करती हैं, जिनमें संभावित विरोधियों के रूप में देखा जाता है।
महत्वपूर्ण प्रौद्योगिकी सेवाओं के "फ्रायंड-सलंग" या "निकट-स्प्रे" की प्रवृत्ति में तेजी आ सकती है क्योंकि सरकारें संभावित समस्याग्रस्त विदेशी आपूर्तिकर्ताओं पर अपनी निर्भरता को कम करने की कोशिश कर रही हैं। इससे वैश्विक प्रौद्योगिकी कंपनियों को संरचित और संचालित करने के तरीके में महत्वपूर्ण बदलाव हो सकते हैं।
नियामक सुधार और राजनीतिक परिणाम
कानून में संभावित परिवर्तन
डिजिटल एस्कॉर्ट कांड काफी नियामक सुधारों को जन्म दे सकता है जो भविष्य में समान सुरक्षा अंतराल को रोकने के लिए है। कांग्रेस विदेशी श्रमिकों के रोजगार के लिए संवेदनशील सरकारी परियोजनाओं में सख्त आवश्यकताओं को पेश कर सकती है या विस्तारित पृष्ठभूमि परीक्षण और निगरानी आवश्यकताओं को निर्धारित कर सकती है।
संभावित सुधारों में क्लाउड सेवा प्रदाताओं के लिए विस्तारित पारदर्शिता आवश्यकताएं भी शामिल हो सकती हैं, जो सरकार के साथ काम करते हैं, जिसमें उन सभी कर्मचारियों की राष्ट्रीयता और योग्यता पर विस्तृत रिपोर्टिंग शामिल है जिनके पास सरकारी प्रणालियों तक पहुंच है।
भविष्य की खरीद प्रथाओं पर प्रभाव
विवाद भी सरकार की खरीद प्रथाओं में मौलिक बदलावों को जन्म दे सकता है। भविष्य के अनुबंधों में सख्त सुरक्षा आवश्यकताएं, विस्तारित ऑडिट अधिकार और सुरक्षा उल्लंघन के लिए कठिन दंड शामिल हो सकते हैं।
सरकार लागतों के प्रति अधिक सुरक्षा को प्राथमिकता देना शुरू कर सकती है, जिससे आईटी सेवाओं के लिए उच्च खर्च हो सकता है, लेकिन अधिक मजबूत सुरक्षा गारंटी भी हो सकती है। यह विशेष रूप से अत्यधिक संवेदनशील परियोजनाओं पर लागू हो सकता है जिसमें राष्ट्रीय सुरक्षा डेटा शामिल हैं।
Microsoft डिजिटल एस्कॉर्ट घोटाले ने अमेरिकी सरकार द्वारा अपने सबसे संवेदनशील आईटी सिस्टम का प्रबंधन और निगरानी करने के तरीके में एक महत्वपूर्ण भेद्यता को उजागर किया है। चीनी तकनीशियनों के पास एक दशक के लिए पेंटागन-क्लाउड सिस्टम तक पहुंचने का अनावरण न केवल तत्काल राजनीतिक और उद्यमशीलता प्रतिक्रियाओं को ट्रिगर किया गया, बल्कि लागत दक्षता और राष्ट्रीय सुरक्षा के बीच संतुलन के बारे में बुनियादी सवाल भी उठाए गए।
रक्षा मंत्री हेगसेथ और माइक्रोसॉफ्ट तत्काल राजनीतिक परिवर्तनों की त्वरित प्रतिक्रिया स्थिति की गंभीरता के बारे में जागरूकता दिखाती है। हालांकि, इस घोटाले के निहितार्थ एक एकल कॉर्पोरेट अभ्यास से बहुत आगे निकल जाते हैं। वे इस बात को प्रभावित करते हैं कि कैसे लोकतांत्रिक समाज एक तेजी से नेटवर्क और भू -राजनीतिक दुनिया में अपने सबसे महत्वपूर्ण डिजिटल इन्फ्रास्ट्रक्चर की रक्षा कर सकते हैं।
दीर्घकालिक प्रभाव संभवतः क्लाउड सुरक्षा प्रथाओं का एक मौलिक पुनर्मूल्यांकन, सख्त नियामक आवश्यकताओं और संभवतः प्रजातियों का एक नया स्वरूप होगा कि वैश्विक प्रौद्योगिकी कंपनियां राष्ट्रीय सरकारों के साथ कैसे बातचीत करती हैं। जबकि तत्काल संकट को राजनीतिक परिवर्तनों में माइक्रोसॉफ्ट के परिवर्तनों और पेंटागन की परीक्षा से संपर्क किया जा सकता है, एक वैश्विक तकनीकी परिदृश्य में सुरक्षा और दक्षता को समेटने की व्यापक चुनौती।
सलाह - योजना - कार्यान्वयन
मार्कस बेकर
मुझे आपके निजी सलाहकार के रूप में सेवा करने में खुशी होगी।
व्यवसाय विकास प्रमुख
अध्यक्ष एसएमई कनेक्ट डिफेंस वर्किंग ग्रुप
सलाह - योजना - कार्यान्वयन
Konrad Wolfenstein
मुझे आपके निजी सलाहकार के रूप में सेवा करने में खुशी होगी।
मुझे वोल्फेंस्टीन v Xpert.digital संपर्क
मुझे +49 89 674 804 (म्यूनिख) कॉल करें
