रक्षा और सुरक्षा जोखिम: माइक्रोसॉफ्ट: चीन के तकनीशियनों ने अमेरिकी रक्षा विभाग के क्लाउड का प्रबंधन किया।

“डिजिटल एस्कॉर्ट्स”: चीन के लिए अमेरिकी सुरक्षा कानूनों को दरकिनार करने के लिए माइक्रोसॉफ्ट द्वारा इस्तेमाल की गई विचित्र तरकीब

### एक बड़ा सुरक्षा जोखिम? माइक्रोसॉफ्ट ने पेंटागन क्लाउड के रखरखाव के लिए चीनी इंजीनियरों को नियुक्त किया था ### चीन के खुलासे के बाद: माइक्रोसॉफ्ट ने तुरंत अपनी नीति बदल दी – लेकिन नुकसान पहले ही हो चुका था ###

अमेरिकी रक्षा विभाग के बेहद संवेदनशील क्लाउड इंफ्रास्ट्रक्चर का प्रबंधन माइक्रोसॉफ्ट के लिए चीनी इंजीनियरों द्वारा किए जाने के खुलासे ने हाल के समय के सबसे बड़े सुरक्षा विवादों में से एक को जन्म दिया है। तकनीकी सहायता के लिए एक किफायती समाधान के रूप में शुरू हुआ यह मामला अब एक बड़े राष्ट्रीय सुरक्षा खतरे में तब्दील हो गया है।.

एक खतरनाक प्रथा का पर्दाफाश

लगभग एक दशक तक, माइक्रोसॉफ्ट ने अमेरिकी रक्षा विभाग को एज़्योर-आधारित क्लाउड इन्फ्रास्ट्रक्चर प्रदान किया। माइक्रोसॉफ्ट के लिए इस सहयोग का रणनीतिक और वित्तीय महत्व बहुत अधिक था, लेकिन यह एक ऐसी प्रणाली पर आधारित था जिसे अब अत्यंत संवेदनशील सरकारी डेटा के प्रबंधन में घोर लापरवाही भरा माना जाता है।.

जुलाई 2025 में अमेरिकी संगठन प्रोपब्लिका द्वारा किए गए खोजी शोध में एक ऐसी सुरक्षा खामी का खुलासा हुआ जिसे कई सुरक्षा विशेषज्ञ अस्वीकार्य मानते हैं: माइक्रोसॉफ्ट ने अपने रक्षा विभाग के बुनियादी ढांचे के रखरखाव का काम अमेरिका से इतर देशों, विशेष रूप से चीन के तकनीशियनों को आउटसोर्स कर दिया था। यह प्रथा न केवल वर्षों से चली आ रही थी, बल्कि क्लाउड कंप्यूटिंग क्षेत्र में सरकारी अनुबंध हासिल करने में माइक्रोसॉफ्ट की सफलता का एक महत्वपूर्ण कारक भी थी।.

इससे संबंधित:

• प्रोपुब्लिका: माइक्रोसॉफ्ट के एक कम ज्ञात प्रोग्राम ने रक्षा विभाग को चीनी हैकरों के सामने उजागर होने का मौका दे दिया।

“डिजिटल एस्कॉर्ट्स” की प्रणाली

माइक्रोसॉफ्ट द्वारा विकसित प्रणाली तथाकथित "डिजिटल एस्कॉर्ट्स" पर आधारित थी - ये अमेरिकी नागरिक थे जिनके पास उचित सुरक्षा मंजूरी थी और जिन्हें विदेशी तकनीशियनों के काम की दूर से निगरानी करने का काम सौंपा गया था। ये डिजिटल एस्कॉर्ट्स चीनी माइक्रोसॉफ्ट इंजीनियरों और पेंटागन के क्लाउड सिस्टम के बीच मध्यस्थ के रूप में काम करते थे, और अपने विदेशी सहयोगियों से प्राप्त आदेशों और निर्देशों को सरकारी प्रणालियों में दर्ज करते थे।.

इस प्रणाली की समस्या इसकी मूलभूत संरचनात्मक कमजोरी में निहित है: डिजिटल एस्कॉर्ट्स के पास अक्सर अपने चीनी सहयोगियों के काम की ठीक से निगरानी करने के लिए आवश्यक तकनीकी विशेषज्ञता की कमी होती थी। इनमें से कई एस्कॉर्ट्स पूर्व सैन्यकर्मी थे जिन्हें प्रोग्रामिंग का बहुत कम अनुभव था और इस महत्वपूर्ण कार्य के लिए उन्हें न्यूनतम वेतन से थोड़ा ही अधिक मिलता था। हाल ही में एक एस्कॉर्ट ने इस समस्या को इस प्रकार व्यक्त किया: "हमें भरोसा है कि वे जो कर रहे हैं वह दुर्भावनापूर्ण नहीं है, लेकिन हम वास्तव में निश्चित रूप से नहीं कह सकते।".

अत्यंत संवेदनशील डेटा तक पहुंच

चीनी इंजीनियरों के पास संभवतः "प्रभाव स्तर 4 और 5" के रूप में वर्गीकृत जानकारी तक पहुंच थी - यह डेटा अत्यंत संवेदनशील माना जाता है, लेकिन आधिकारिक तौर पर गुप्त नहीं है। इस श्रेणी में वह सामग्री शामिल है जो सीधे सैन्य अभियानों का समर्थन करती है, साथ ही अन्य डेटा भी शामिल है जिसके लीक होने से, पेंटागन के दिशानिर्देशों के अनुसार, राष्ट्रीय सुरक्षा के लिए "गंभीर या विनाशकारी परिणाम" हो सकते हैं।.

इम्पैक्ट लेवल 5 (IL5) विशेष रूप से रक्षा विभाग के मिशनों का समर्थन करने वाले और नियंत्रित अवर्गीकृत सूचना (CUI) को संसाधित करने वाले अवर्गीकृत राष्ट्रीय सुरक्षा प्रणालियों (NSS) के लिए डिज़ाइन किया गया है, जिन्हें IL4 की तुलना में उच्च स्तर की सुरक्षा की आवश्यकता होती है। इस सूचना में अनुसंधान और विकास, रसद डेटा और अन्य मिशन-महत्वपूर्ण सामग्री शामिल हो सकती है, जिसके लीक होने पर भारी नुकसान हो सकता है।.

माइक्रोसॉफ्ट का व्यावसायिक मॉडल और अनुपालन से बचने के तरीके

क्लाउड प्रभुत्व का मार्ग

2010 के दशक में, माइक्रोसॉफ्ट ने सरकारी क्लाउड सेवाओं के प्रमुख प्रदाता के रूप में अपनी पहचान स्थापित की। कंपनी ने 2019 में रक्षा विभाग के साथ 10 अरब डॉलर का क्लाउड अनुबंध जीता, जिसे कानूनी विवादों के बाद 2021 में रद्द कर दिया गया। 2022 में, माइक्रोसॉफ्ट ने अमेज़न, गूगल और ओरेकल के साथ मिलकर 9 अरब डॉलर तक के नए क्लाउड अनुबंधों में हिस्सेदारी हासिल की।.

ये सफलताएँ आंशिक रूप से माइक्रोसॉफ्ट की वैश्विक संसाधनों का लाभ उठाने की क्षमता पर आधारित थीं, साथ ही साथ अमेरिकी सरकार की कड़ी सुरक्षा आवश्यकताओं को पूरा करने में भी वह सक्षम प्रतीत होती थी। डिजिटल एस्कॉर्ट सिस्टम एक मूलभूत समस्या का रचनात्मक लेकिन जोखिम भरा समाधान था: चीन, भारत और यूरोप में व्यापक परिचालन वाली एक वैश्विक प्रौद्योगिकी कंपनी अमेरिकी सरकारी अनुबंधों के लिए आवश्यक कर्मचारियों की सीमित आवश्यकताओं को कैसे पूरा कर सकती थी?

FedRAMP और सुरक्षा नियमों का उल्लंघन

फेडरल रिस्क एंड ऑथराइजेशन मैनेजमेंट प्रोग्राम (FedRAMP) की स्थापना 2011 में फेडरल इंफॉर्मेशन सिक्योरिटी मैनेजमेंट एक्ट (FISMA) के तहत क्लाउड कंप्यूटिंग उत्पादों और सेवाओं के आकलन, निगरानी और प्राधिकरण के लिए एक मानकीकृत दृष्टिकोण प्रदान करने के लिए की गई थी। FedRAMP के तहत संघीय सरकार के साथ काम करने के इच्छुक क्लाउड प्रदाताओं को यह सुनिश्चित करना अनिवार्य है कि अत्यधिक संवेदनशील संघीय सरकारी डेटा को संभालने वाले कर्मचारियों की पृष्ठभूमि की जांच की जाए।.

रक्षा विभाग ने क्लाउड संबंधी अतिरिक्त दिशानिर्देश तैयार किए हैं, जिनके अनुसार गोपनीय डेटा संभालने वाले कर्मचारियों का अमेरिकी नागरिक या स्थायी निवासी होना अनिवार्य है। ये आवश्यकताएं माइक्रोसॉफ्ट के लिए एक बड़ी चुनौती बन गईं, क्योंकि कंपनी भारत, चीन, यूरोपीय संघ और अन्य क्षेत्रों से आने वाले वैश्विक कर्मचारियों पर निर्भर है।.

माइक्रोसॉफ्ट के वरिष्ठ प्रोग्राम मैनेजर इंडी क्रॉली ने फेडरल रिजर्व डेवलपमेंट प्रोग्राम (FedRAMP) और रक्षा विभाग (DoD) की आवश्यकताओं को दरकिनार करने के लिए डिजिटल एस्कॉर्ट प्रोग्राम विकसित किया। इस प्रणाली ने चीन जैसे देशों में विदेशी इंजीनियरों को सरकारी प्रणालियों तक सीधी पहुंच की आवश्यकता के बिना पर्याप्त सहायता प्रदान करने में सक्षम बनाया।.

रक्षा सूचना प्रणाली एजेंसी (डीआईएसए) की भूमिका

रक्षा सूचना प्रणाली एजेंसी (DISA) रक्षा विभाग के लिए केंद्रीय IT सहायता संगठन के रूप में कार्य करती है और रक्षा विभाग के क्लाउड कंप्यूटिंग सुरक्षा आवश्यकताओं के दिशानिर्देश (SRG) को विकसित करने और बनाए रखने के लिए जिम्मेदार है। DISA उन मूलभूत सुरक्षा आवश्यकताओं को परिभाषित करती है जिनका उपयोग रक्षा विभाग किसी क्लाउड सेवा प्रदाता की सुरक्षा स्थिति का आकलन करने के लिए करता है।.

क्लाउड सुरक्षा की निगरानी में अपनी केंद्रीय भूमिका के बावजूद, DISA को माइक्रोसॉफ्ट के डिजिटल एस्कॉर्ट प्रोग्राम के बारे में बहुत कम जानकारी थी। DISA के एक प्रवक्ता ने शुरू में कहा कि उन्हें ऐसा कोई व्यक्ति नहीं मिला जिसने एस्कॉर्ट अवधारणा के बारे में सुना हो। बाद में, एजेंसी ने पुष्टि की कि एस्कॉर्ट्स का उपयोग रक्षा विभाग के "चुनिंदा गैर-वर्गीकृत वातावरणों" में "उद्योग विशेषज्ञों द्वारा उन्नत समस्या निदान और समाधान" के लिए किया जाता है।.

संचार और निगरानी का अभाव

डिजिटल एस्कॉर्ट सिस्टम के बारे में किन सरकारी अधिकारियों को जानकारी दी गई थी, इस संबंध में स्पष्टता की कमी से माइक्रोसॉफ्ट और संबंधित सरकारी एजेंसियों के बीच निगरानी और संचार को लेकर गंभीर सवाल उठते हैं। हालांकि माइक्रोसॉफ्ट ने दावा किया कि उसने प्राधिकरण प्रक्रिया के दौरान अपनी कार्यप्रणाली का खुलासा किया था, लेकिन सरकारी प्रतिनिधियों ने आश्चर्य व्यक्त किया और उन्हें ऐसी कोई जानकारी याद नहीं आई।.

DISA के पूर्व मुख्य प्रौद्योगिकी अधिकारी डेविड मिहेल्सिक ने रक्षा विभाग के नेटवर्क में किसी भी प्रकार की जानकारी को "बहुत बड़ा जोखिम" बताया और स्थिति का बेहद भयावह वर्णन करते हुए कहा, "यहां एक व्यक्ति ऐसा है जिस पर आप वास्तव में भरोसा नहीं कर सकते क्योंकि वह संभवतः चीनी खुफिया एजेंसी में है, और दूसरा व्यक्ति वास्तव में सक्षम नहीं है।".

तात्कालिक प्रतिक्रिया और राजनीतिक परिणाम

रक्षा मंत्री हेगसेथ ने हस्तक्षेप किया

प्रोपुब्लिका के खुलासों ने शीर्ष स्तर पर तत्काल राजनीतिक प्रतिक्रियाएं उत्पन्न कीं। रक्षा सचिव पीट हेगसेथ ने रिपोर्टों पर सीधे प्रतिक्रिया देते हुए X (पूर्व में ट्विटर) पर एक वीडियो संदेश में घोषणा की: "किसी भी देश के विदेशी इंजीनियरों को - निश्चित रूप से चीन सहित - रक्षा विभाग की प्रणालियों तक पहुंच की अनुमति कभी नहीं दी जानी चाहिए।".

हेगसेथ ने रक्षा विभाग के सभी क्लाउड अनुबंधों की दो सप्ताह की समीक्षा का आदेश दिया ताकि यह सुनिश्चित किया जा सके कि चल रही परियोजनाओं में कोई भी चीनी विशेषज्ञ शामिल न हो। उन्होंने स्पष्ट रूप से कहा: "अब से हमारी क्लाउड सेवाओं में चीन का कोई दखल नहीं होगा।".

अपने बयान में, हेगसेथ ने ओबामा प्रशासन को भी आंशिक रूप से दोषी ठहराया, क्योंकि उसी ने मूल क्लाउड समझौते पर बातचीत की थी। उन्होंने "सस्ते चीनी श्रम" की बात की, जिसका उपयोग "स्पष्ट रूप से अस्वीकार्य" था और रक्षा विभाग के कंप्यूटर सिस्टम में संभावित खामी का संकेत देता था।.

माइक्रोसॉफ्ट इस दबाव का जवाब दे रही है।

राजनीतिक दबाव का सामना करते हुए, माइक्रोसॉफ्ट ने तुरंत प्रतिक्रिया दी। कंपनी के मुख्य संचार अधिकारी फ्रैंक एक्स. शॉ ने शुक्रवार को X पर पुष्टि की कि माइक्रोसॉफ्ट ने अमेरिकी सरकारी ग्राहकों के लिए अपने समर्थन में बदलाव किए हैं, "यह सुनिश्चित करने के लिए कि चीन स्थित कोई भी इंजीनियरिंग टीम रक्षा विभाग के सरकारी क्लाउड और संबंधित सेवाओं के लिए तकनीकी सहायता प्रदान न करे।".

यह घोषणा रक्षा सचिव हेगसेथ द्वारा माइक्रोसॉफ्ट में विदेशी इंजीनियरों के उपयोग की जांच की घोषणा के कुछ ही घंटों बाद आई। प्रतिक्रिया की गति से पता चलता है कि कंपनी स्थिति की गंभीरता और अपने आकर्षक सरकारी अनुबंधों पर संभावित प्रभाव से अवगत है।.

सीनेट की जांच

सीनेट की खुफिया समिति के अध्यक्ष और सशस्त्र सेवा समिति के सदस्य सीनेटर टॉम कॉटन ने गुरुवार को रक्षा सचिव हेगसेथ को पत्र लिखकर कार्यक्रम से संबंधित जानकारी और दस्तावेज़ मांगे। कॉटन ने रक्षा विभाग के उन सभी ठेकेदारों की सूची मांगी जिनमें चीनी कर्मचारी कार्यरत हैं, साथ ही यह भी पूछा कि संदिग्ध गतिविधियों का पता लगाने के लिए अमेरिकी "डिजिटल एस्कॉर्ट्स" को किस प्रकार प्रशिक्षित किया जाता है।.

“माइक्रोसॉफ्ट द्वारा रक्षा विभाग के सिस्टमों के रखरखाव के लिए चीन में इंजीनियरों का उपयोग करने की हालिया और चिंताजनक रिपोर्टों के मद्देनजर, मैंने रक्षा सचिव से इस मामले की जांच करने का अनुरोध किया है,” कॉटन ने एक एक्स-पोस्ट में कहा। “हमें अपनी सैन्य आपूर्ति श्रृंखला में मौजूद सभी खतरों से खुद को बचाना होगा।”.

तकनीकी कमजोरियां और सुरक्षा जोखिम

कौशल अंतर की समस्या

डिजिटल एस्कॉर्ट प्रणाली की सबसे मूलभूत समस्याओं में से एक चीनी इंजीनियरों और उनके अमेरिकी पर्यवेक्षकों के बीच तकनीकी विशेषज्ञता में भारी अंतर था। इस "कौशल अंतर" ने एक खतरनाक स्थिति पैदा कर दी, जिसमें अत्यधिक कुशल विदेशी तकनीशियनों की देखरेख अपेक्षाकृत कम योग्य अमेरिकी नागरिकों द्वारा की जा रही थी।.

इस प्रोग्राम पर काम करने वाले माइक्रोसॉफ्ट के पूर्व इंजीनियर मैथ्यू एरिक्सन ने समस्या को स्पष्ट रूप से समझाया: "अगर कोई 'fix_servers.sh' नाम की स्क्रिप्ट चलाता है जो वास्तव में कुछ दुर्भावनापूर्ण काम करती है, तो [एस्कॉर्ट्स] को इसकी कोई जानकारी नहीं होगी।" यह कथन सिस्टम की मूलभूत कमजोरी को उजागर करता है: मॉनिटर्स की संभावित रूप से हानिकारक कोड की पहचान करने में असमर्थता।.

डिजिटल एस्कॉर्ट्स की भर्ती और योग्यता

डिजिटल एस्कॉर्ट्स की भर्ती प्रक्रिया का कुछ हिस्सा लॉकहीड मार्टिन द्वारा संभाला गया था, जिसमें उम्मीदवारों का चयन मुख्य रूप से उनकी सुरक्षा मंजूरी के आधार पर किया गया था, न कि उनके तकनीकी कौशल के आधार पर। रक्षा विभाग के सुरक्षा प्रमाणन की आवश्यकता वाले एस्कॉर्ट पदों के लिए नौकरी के विज्ञापन 18 डॉलर प्रति घंटे के न्यूनतम वेतन से शुरू हुए थे।.

इनसाइट ग्लोबल में लगभग 50 लोगों की एक एस्कॉर्ट टीम चीन में स्थित माइक्रोसॉफ्ट इंजीनियरों के साथ मासिक रूप से संवाद करती थी और सरकारी प्रणालियों में सैकड़ों कमांड दर्ज करती थी। एक प्रोजेक्ट मैनेजर ने माइक्रोसॉफ्ट को चेतावनी दी कि कम वेतन और विशेष अनुभव की कमी के कारण, नियुक्त किए गए एस्कॉर्ट्स के पास इस काम के लिए "सही समझ" नहीं होगी।.

स्वचालित सुरक्षा उपाय और उनकी सीमाएँ

माइक्रोसॉफ्ट ने जोर देकर कहा कि एस्कॉर्ट सिस्टम में सुरक्षा की कई परतें शामिल थीं, जिनमें अनुमोदन कार्यप्रवाह और "लॉकबॉक्स" नामक एक आंतरिक समीक्षा प्रणाली के माध्यम से स्वचालित कोड समीक्षा शामिल थी। इस प्रणाली को यह सुनिश्चित करने के लिए डिज़ाइन किया गया था कि अनुरोधों को सुरक्षित या चिंताजनक के रूप में वर्गीकृत किया जाए।.

हालांकि, इन सुरक्षा उपायों का विवरण अस्पष्ट रहा और माइक्रोसॉफ्ट ने सुरक्षा जोखिमों का हवाला देते हुए लॉकबॉक्स सिस्टम के काम करने के तरीके के बारे में विशिष्ट जानकारी देने से इनकार कर दिया। पारदर्शिता की इस कमी ने लागू किए गए सुरक्षा उपायों की प्रभावशीलता के बारे में आलोचकों की चिंताओं को और बढ़ा दिया।.

ऐतिहासिक संदर्भ और पूर्व सुरक्षा घटनाएँ

चीनी हैकरों के साथ माइक्रोसॉफ्ट का इतिहास

चीनी इंजीनियरों से जुड़ा विवाद माइक्रोसॉफ्ट के चीनी साइबर हमलों के दस्तावेजी इतिहास को देखते हुए विशेष रूप से समस्याग्रस्त है। कंपनी को चीन और रूस के हैकरों द्वारा बार-बार निशाना बनाया गया है, जिन्होंने माइक्रोसॉफ्ट सिस्टम में घुसपैठ करने में सफलता हासिल की है।.

2023 में, चीनी हैकर्स विदेश मंत्रालय और वाणिज्य मंत्रालय के ईमेल खातों से हजारों ईमेल चुराने में कामयाब रहे। ये घटनाएं चीनी साइबर गतिविधियों से उत्पन्न वास्तविक खतरे को रेखांकित करती हैं और पेंटागन सिस्टम के साथ चीनी इंजीनियरों को काम करने की अनुमति देने के माइक्रोसॉफ्ट के फैसले को और भी संदिग्ध बनाती हैं।.

वर्तमान वैश्विक सुरक्षा खतरे

डिजिटल एस्कॉर्ट घोटाले का खुलासा होने के कुछ ही दिनों बाद, माइक्रोसॉफ्ट एक और महत्वपूर्ण सुरक्षा घटना की चपेट में आ गया। जुलाई 2025 में, माइक्रोसॉफ्ट के एक व्यापक रूप से उपयोग किए जाने वाले उत्पाद में एक बड़ी खामी के कारण कई चीनी हैकिंग समूहों ने दुनिया भर के दर्जनों संगठनों और कम से कम दो अमेरिकी संघीय एजेंसियों को निशाना बनाया।.

इन घटनाओं के बीच का निकटवर्ती समय चीनी साइबर खतरों के खिलाफ पर्याप्त सुरक्षा उपायों को बनाए रखने की माइक्रोसॉफ्ट की क्षमता के बारे में चिंताओं को और पुष्ट करता है। गूगल के मैंडिएंट के मुख्य प्रौद्योगिकी अधिकारी चार्ल्स कार्मकल ने चेतावनी दी: "यह समझना महत्वपूर्ण है कि कई घातक अब सक्रिय रूप से इस भेद्यता का फायदा उठा रहे हैं।".

सुरक्षा एवं रक्षा का केंद्र - चित्र: Xpert.Digital

सुरक्षा एवं रक्षा केंद्र यूरोपीय सुरक्षा एवं रक्षा नीति में अपनी भूमिका को मजबूत करने के लिए कंपनियों और संगठनों को प्रभावी ढंग से सहयोग देने हेतु विशेषज्ञ सलाह और नवीनतम जानकारी प्रदान करता है। एसएमई कनेक्ट डिफेंस वर्किंग ग्रुप के साथ मिलकर काम करते हुए, यह विशेष रूप से उन लघु एवं मध्यम आकार के उद्यमों (एसएमई) को बढ़ावा देता है जो रक्षा क्षेत्र में अपनी नवाचार क्षमता और प्रतिस्पर्धात्मकता को और विकसित करना चाहते हैं। एक केंद्रीय संपर्क बिंदु के रूप में, यह केंद्र एसएमई और यूरोपीय रक्षा रणनीति के बीच एक महत्वपूर्ण सेतु का निर्माण करता है।.

इससे संबंधित:

• एसएमई कनेक्ट डिफेंस वर्किंग ग्रुप – यूरोपीय रक्षा क्षेत्र में एसएमई को सशक्त बनाना

साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन (सीएमएमसी) और अनुपालन संबंधी चुनौतियाँ

सुरक्षा कमजोरियों के जवाब में सीएमएमसी

रक्षा उद्योग में साइबर सुरक्षा को मजबूत करने और संवेदनशील अवर्गीकृत सूचनाओं की बेहतर सुरक्षा के लिए रक्षा विभाग द्वारा साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन (सीएमएमसी) कार्यक्रम विकसित किया गया था। सीएमएमसी को संघीय अनुबंध सूचना (एफसीआई) और नियंत्रित अवर्गीकृत सूचना (सीयूआई) की सुरक्षा को लागू करने के लिए डिज़ाइन किया गया है।.

नवंबर 2021 में शुरू किए गए CMMC 2.0 फ्रेमवर्क में तीन परिपक्वता स्तर शामिल हैं, जिनमें से प्रत्येक में विशिष्ट, उत्तरोत्तर सख्त आवश्यकताएं हैं। स्तर 1 एफसीआई (FCI) से निपटने वाले ठेकेदारों के लिए बुनियादी साइबर स्वच्छता प्रथाओं पर केंद्रित है, जबकि स्तर 2 और 3 सीयूआई (CUI) को संसाधित करने वाले और उच्च स्तर की सुरक्षा की आवश्यकता वाले संगठनों के लिए डिज़ाइन किए गए हैं।.

माइक्रोसॉफ्ट की सीएमएमसी अनुपालन और एस्कॉर्ट समस्या

डिजिटल एस्कॉर्ट सिस्टम के खुलासे से माइक्रोसॉफ्ट द्वारा सीएमएमसी आवश्यकताओं के अनुपालन पर गंभीर सवाल उठते हैं। सीएमएमसी लेवल 2 और उससे ऊपर के स्तर विशेष रूप से सीयूआई (CUI) की सुरक्षा के लिए डिज़ाइन किए गए हैं - ठीक उसी प्रकार की जानकारी जिस तक चीनी इंजीनियरों की एस्कॉर्ट सिस्टम के माध्यम से पहुंच होने की संभावना थी।.

माइक्रोसॉफ्ट का दावा है कि ग्राहक विभिन्न क्लाउड वातावरणों में CMMC अनुपालन प्रदर्शित कर सकते हैं, जिनमें कम सुरक्षा स्तरों के लिए वाणिज्यिक क्लाउड और उच्च सुरक्षा आवश्यकताओं के लिए अमेरिकी संप्रभु क्लाउड शामिल हैं। हालांकि, चीनी इंजीनियरों की IL4 और IL5 डेटा तक पहुंच CMMC के मूलभूत सिद्धांतों के संभावित उल्लंघन का संकेत देती है।.

प्रभाव स्तर वर्गीकरण और उनका महत्व

रक्षा विभाग के प्रभाव स्तर वर्गीकरण डिजिटल एस्कॉर्ट घोटाले की गंभीरता को समझने के लिए एक महत्वपूर्ण तत्व हैं। प्रभाव स्तर 4 (IL4) में नियंत्रित अवर्गीकृत सूचना (CUI) शामिल है, जबकि प्रभाव स्तर 5 (IL5) अवर्गीकृत राष्ट्रीय सुरक्षा प्रणाली (NSS) डेटा के लिए बनाया गया है।.

IL-5 जानकारी को IL-4 की तुलना में उच्च स्तर की सुरक्षा की आवश्यकता होती है और इसमें मिशन-महत्वपूर्ण जानकारी और NSS डेटा शामिल होता है। IL-5 जानकारी का अनधिकृत खुलासा राष्ट्रीय सुरक्षा के लिए गंभीर या विनाशकारी परिणाम ला सकता है। यह तथ्य कि चीनी इंजीनियरों की दोनों श्रेणियों तक संभावित पहुंच थी, इस सुरक्षा खामी को विशेष रूप से चिंताजनक बनाता है।.

अंतर्राष्ट्रीय परिप्रेक्ष्य और भूराजनीतिक निहितार्थ

अमेरिका-चीन साइबर संघर्ष के संदर्भ में

डिजिटल एस्कॉर्ट घोटाला अमेरिका-चीन संबंधों में बिगड़ते तनाव और चल रहे व्यापार युद्ध की पृष्ठभूमि में घटित हो रहा है—विशेषज्ञों का मानना ​​है कि इस तरह के संघर्ष से चीन साइबर जवाबी कार्रवाई कर सकता है। अमेरिकी सरकार यह मानती है कि चीन की साइबर क्षमताएं संयुक्त राज्य अमेरिका के लिए सबसे आक्रामक और खतरनाक खतरों में से एक हैं।.

सीआईए और एनएसए के पूर्व उच्च पदस्थ अधिकारी हैरी कोकर ने सुरक्षा व्यवस्था का स्पष्ट वर्णन करते हुए कहा: “अगर मैं एक खुफिया एजेंट होता, तो मैं इसे बेहद महत्वपूर्ण जानकारी हासिल करने का रास्ता मानता। हमें इस बारे में बहुत चिंतित होना चाहिए।” एक खुफिया विशेषज्ञ द्वारा किया गया यह आकलन खुफिया दृष्टिकोण से सुरक्षा संबंधी खतरे की संभावित गंभीरता को रेखांकित करता है।.

वैश्विक प्रौद्योगिकी आपूर्ति श्रृंखला पर प्रभाव

इस घोटाले ने संघीय सरकार में इस्तेमाल होने वाले तृतीय-पक्ष सॉफ़्टवेयर प्रदाताओं की सुरक्षा को लेकर व्यापक प्रश्न खड़े कर दिए हैं। दिसंबर 2024 में, चीनी हैकरों ने निजी साइबर सुरक्षा प्रदाता कंपनी बियॉन्डट्रस्ट को हैक करके अमेरिकी वित्त विभाग के वर्कस्टेशनों तक पहुंच हासिल कर ली, जिनमें विदेशी संपत्ति नियंत्रण कार्यालय और वित्त सचिव जेनेट येलेन का कार्यालय शामिल हैं।.

ये घटनाएँ आधुनिक सरकारों की निर्भरता वाले जटिल तकनीकी आपूर्ति श्रृंखलाओं की कमज़ोरी को दर्शाती हैं। सुरक्षा विशेषज्ञ ब्रूस श्नायर के अनुसार, ये घटनाएँ वैश्वीकृत दुनिया में वास्तव में सुरक्षित राष्ट्रीय प्रणालियों को बनाए रखने की कठिनाई को भी उजागर करती हैं, जहाँ सब कुछ अंतर्राष्ट्रीय और गहन रूप से अंतर्राष्ट्रीय है।.

उद्योग जगत की प्रतिक्रियाएं और विशेषज्ञों की राय

सुरक्षा विशेषज्ञ खतरे की घंटी बजा रहे हैं।

कई साइबर सुरक्षा विशेषज्ञों और पूर्व सरकारी अधिकारियों ने इन खुलासों पर चिंता व्यक्त की। बाइडन प्रशासन के दौरान रक्षा विभाग के मुख्य सूचना अधिकारी रहे जॉन शेरमैन ने प्रोपब्लिका के निष्कर्षों पर आश्चर्य और चिंता व्यक्त करते हुए कहा, "मुझे शायद इसके बारे में पहले से पता होना चाहिए था।" उन्होंने कहा कि इस स्थिति की "डीआईएसए, साइबर कमांड और अन्य संबंधित हितधारकों द्वारा गहन समीक्षा" की जानी चाहिए।.

फाउंडेशन फॉर डिफेंस ऑफ डेमोक्रेसीज ने इस स्थिति को इस प्रकार वर्णित किया कि पेंटागन ने "एक दशक से अधिक समय से चीन को अपने सिस्टम तक पहुंच प्रदान की है।" इस संगठन ने इस बात पर जोर दिया कि रक्षा विभाग के इस कार्यक्रम ने चीनी इंजीनियरों को पेंटागन सिस्टम तक पहुंच प्रदान की, जबकि संभावित रूप से उन्हें सॉफ्टवेयर रखरखाव के बहाने रक्षा विभाग के सिस्टम में कमजोरियां पैदा करने में सक्षम बनाया।.

माइक्रोसॉफ्ट के बचाव और पारदर्शिता संबंधी प्रयास

माइक्रोसॉफ्ट ने इस सुरक्षा प्रणाली का बचाव करते हुए कहा कि यह सरकारी मानकों के अनुरूप है। कंपनी के प्रवक्ता ने कहा, "कुछ तकनीकी पूछताछ के लिए, माइक्रोसॉफ्ट अमेरिकी सरकार की आवश्यकताओं और प्रक्रियाओं के अनुसार, अधिकृत अमेरिकी कर्मियों के माध्यम से सहायता प्रदान करने के लिए अपने वैश्विक विषय विशेषज्ञों की टीम को नियुक्त करता है।".

कंपनी ने इस बात पर ज़ोर दिया कि “विशेषाधिकार प्राप्त पहुँच वाले सभी कर्मचारियों और ठेकेदारों को संघीय रूप से अनुमोदित पृष्ठभूमि जाँच से गुज़रना होगा” और “वैश्विक सहायता कर्मचारियों के पास ग्राहक डेटा या ग्राहक प्रणालियों तक सीधी पहुँच नहीं है।” माइक्रोसॉफ्ट ने खतरों को रोकने के लिए अनुमोदन कार्यप्रवाह और स्वचालित कोड समीक्षा सहित सुरक्षा की कई परतों का उपयोग करने का भी दावा किया।.

उद्योग जगत के लिए असामान्य रूप से, माइक्रोसॉफ्ट ने गैर-प्रकटीकरण समझौतों के तहत अपने समतुल्यता आधार (बीओई) दस्तावेजों को ग्राहकों के साथ साझा करने पर सहमति व्यक्त की, जो पारदर्शिता का एक ऐसा स्तर दर्शाता है जो कई अन्य क्लाउड सेवा प्रदाता प्रदान नहीं करते हैं।.

दीर्घकालिक प्रभाव और सुधार की आवश्यकता

सरकारी आईटी में संरचनात्मक परिवर्तन

डिजिटल एस्कॉर्ट घोटाले से अमेरिकी सरकार द्वारा अपने आईटी बुनियादी ढांचे के प्रबंधन और निगरानी के तरीके में मूलभूत बदलाव आ सकते हैं। इन खुलासों के परिणामस्वरूप रक्षा ठेकेदारों की कार्यप्रणाली की गहन जांच और संवेदनशील प्रौद्योगिकी परियोजनाओं में कर्मचारियों की भर्ती के लिए सख्त आवश्यकताएं लागू हो गई हैं।.

विश्लेषकों का मानना ​​है कि उद्योग जगत में भी इसी तरह के कदम उठाए जाएंगे, क्योंकि विधायक और सैन्य अधिकारी साइबर सुरक्षा जोखिमों और सरकारी आईटी प्रणालियों की आपूर्ति श्रृंखला की अखंडता पर ध्यान केंद्रित कर रहे हैं। रक्षा विभाग के सभी क्लाउड अनुबंधों की चल रही समीक्षा से सुरक्षा प्रथाओं का व्यापक पुनर्मूल्यांकन हो सकता है।.

अन्य क्लाउड प्रदाताओं पर प्रभाव

हालांकि मौजूदा खुलासे माइक्रोसॉफ्ट पर केंद्रित हैं, लेकिन यह स्पष्ट नहीं है कि अमेरिकी सरकार के लिए काम करने वाले अन्य क्लाउड प्रदाता, जैसे कि अमेज़न वेब सर्विसेज या गूगल क्लाउड, भी डिजिटल एस्कॉर्ट्स पर निर्भर हैं या नहीं। प्रोपब्लिका द्वारा संपर्क किए जाने पर इन कंपनियों ने टिप्पणी करने से इनकार कर दिया।.

उद्योग जगत में इसी तरह की प्रथाओं के व्यापक रूप से प्रचलित होने की संभावना सरकारी अनुबंधों के लिए क्लाउड सुरक्षा प्रथाओं की व्यापक समीक्षा और सुधार का मार्ग प्रशस्त कर सकती है। रक्षा सचिव हेगसेथ ने संकेत दिया कि जांच में साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन (सीएमएमसी) कार्यक्रम के माध्यम से प्रमाणित विक्रेताओं की भी जांच की जा सकती है।.

लागत और दक्षता बनाम सुरक्षा

इस घोटाले ने सरकारी आईटी अनुबंधों में लागत-दक्षता और सुरक्षा के बीच संतुलन को लेकर बुनियादी सवाल खड़े कर दिए हैं। माइक्रोसॉफ्ट द्वारा चीनी इंजीनियरों का उपयोग आंशिक रूप से उच्च कुशल तकनीकी सहायता प्रदान करते हुए लागत को कम रखने की इच्छा से प्रेरित था।.

डिजिटल एस्कॉर्ट प्रोग्राम विकसित करने वाले इंडी क्रॉली ने प्रोपब्लिका को बताया: “लागत, प्रयास और विशेषज्ञता के बीच हमेशा संतुलन बनाए रखना पड़ता है। इसलिए आपको वह तरीका ढूंढना पड़ता है जो पर्याप्त रूप से अच्छा हो।” यह मानसिकता, जिसने माइक्रोसॉफ्ट को सरकारी आवश्यकताओं को पूरा करते हुए अपने वैश्विक कार्यबल का लाभ उठाने में सक्षम बनाया, अब एक मौलिक पुनर्मूल्यांकन के अधीन हो सकती है।.

तकनीकी नवाचार और भविष्य की संभावनाएं

साइबर सुरक्षा में स्वचालन और एआई

डिजिटल एस्कॉर्ट्स के बारे में हुए खुलासे उन्नत स्वचालित सुरक्षा प्रणालियों की आवश्यकता को रेखांकित करते हैं जो मानवीय निगरानी की पूरक या प्रतिस्थापन हो सकती हैं। एआई-संचालित खतरे का पता लगाने और स्वचालित कोड विश्लेषण सहित आधुनिक साइबर सुरक्षा प्रौद्योगिकियां, मानवीय एस्कॉर्ट प्रणाली की कुछ कमजोरियों को दूर कर सकती हैं।.

माइक्रोसॉफ्ट और अन्य क्लाउड प्रदाता पहले से ही एआई-आधारित सुरक्षा समाधानों में भारी निवेश कर रहे हैं जो संभावित रूप से हानिकारक गतिविधियों का वास्तविक समय में पता लगा सकते हैं। ये प्रौद्योगिकियां भविष्य में मानव मध्यस्थों की आवश्यकता को कम करने में महत्वपूर्ण भूमिका निभा सकती हैं, जिनके पास आवश्यक तकनीकी कौशल की कमी हो सकती है।.

शून्य-विश्वास वास्तुकला और उनका कार्यान्वयन

इस घोटाले ने शून्य-विश्वास सुरक्षा प्रणालियों की ओर बढ़ते रुझान को और बल दिया है, जो यह मानती हैं कि नेटवर्क परिधि के अंदर या बाहर कोई भी इकाई स्वतः विश्वसनीय नहीं है। इन दृष्टिकोणों के तहत सिस्टम और डेटा तक पहुंच प्रदान करने से पहले सभी उपयोगकर्ताओं और उपकरणों का निरंतर सत्यापन और निगरानी आवश्यक है।.

सरकारी क्लाउड सेवाओं के लिए, सुदृढ़ शून्य-विश्वास सिद्धांतों को लागू करने से विदेशी तकनीकी सहायता के उपयोग से जुड़े कुछ जोखिमों को कम किया जा सकता है। ऐसी प्रणालियों के लिए यह आवश्यक होगा कि प्रत्येक कार्य—चाहे उसे कोई भी करे—सुरक्षा के कई स्तरों के माध्यम से सत्यापित किया जाए।.

आर्थिक प्रभाव और बाजार की गतिशीलता

माइक्रोसॉफ्ट के सरकारी कारोबार पर प्रभाव

सरकारी क्षेत्र में कारोबार माइक्रोसॉफ्ट के लिए राजस्व का एक महत्वपूर्ण स्रोत है। अपनी नवीनतम तिमाही आय रिपोर्ट के अनुसार, माइक्रोसॉफ्ट सरकारी अनुबंधों से काफी राजस्व अर्जित करता है, जिसमें पहली तिमाही के 70 अरब डॉलर के राजस्व का आधे से अधिक हिस्सा अमेरिका स्थित ग्राहकों से प्राप्त हुआ है।.

विश्लेषकों के अनुसार, एज़्योर क्लाउड सर्विसेज़ डिवीज़न, जो इस विवाद से प्रभावित है, कंपनी के कुल राजस्व का 25% से अधिक हिस्सा उत्पन्न करता है। सरकारी अनुबंधों को हासिल करने या बनाए रखने की माइक्रोसॉफ्ट की क्षमता में किसी भी प्रकार की दीर्घकालिक कमी के गंभीर वित्तीय परिणाम हो सकते हैं।.

क्लाउड उद्योग में प्रतिस्पर्धात्मक प्रभाव

इस घोटाले से क्लाउड उद्योग में माइक्रोसॉफ्ट के प्रतिस्पर्धियों, विशेष रूप से अमेज़न वेब सर्विसेज (AWS), जो पहले से ही सबसे बड़ा क्लाउड प्रदाता है, और गूगल क्लाउड को फायदा हो सकता है। यदि सरकारी एजेंसियां ​​माइक्रोसॉफ्ट की सुरक्षा प्रक्रियाओं पर सवाल उठाना शुरू करती हैं, तो वे ऐसे वैकल्पिक प्रदाताओं की ओर रुख कर सकती हैं जो अधिक मजबूत सुरक्षा गारंटी प्रदान कर सकें।.

इस विवाद के चलते उद्योग जगत में सुरक्षा मानकों में व्यापक सुधार की आवश्यकता भी हो सकती है, क्योंकि विक्रेता माइक्रोसॉफ्ट के मामले में सामने आए मुद्दों से खुद को अलग करने की कोशिश करेंगे। इससे लागत बढ़ सकती है, लेकिन साथ ही उद्योग भर में सुरक्षा प्रथाओं में भी सुधार हो सकता है।.

वैश्विक प्रौद्योगिकी आपूर्ति श्रृंखला पर प्रभाव

इन खुलासों से भू-राजनीतिक तनाव के दौर में वैश्विक प्रौद्योगिकी आपूर्ति श्रृंखलाओं की स्थिरता को लेकर व्यापक प्रश्न उठते हैं। कई प्रौद्योगिकी कंपनियां विभिन्न देशों की प्रतिभा और संसाधनों पर निर्भर करती हैं, जिनमें वे देश भी शामिल हैं जिन्हें संभावित प्रतिद्वंद्वी माना जाता है।.

सरकारों द्वारा संभावित रूप से समस्याग्रस्त विदेशी आपूर्तिकर्ताओं पर अपनी निर्भरता कम करने के प्रयासों के चलते महत्वपूर्ण प्रौद्योगिकी सेवाओं के लिए "मित्र-आधारित" या "निकट-आधारित" सेवाओं की ओर रुझान में तेजी आ सकती है। इससे वैश्विक प्रौद्योगिकी कंपनियों की संरचना और संचालन में महत्वपूर्ण बदलाव आ सकते हैं।.

नियामक सुधार और राजनीतिक परिणाम

संभावित विधायी परिवर्तन

डिजिटल एस्कॉर्ट घोटाले के परिणामस्वरूप भविष्य में इसी तरह की सुरक्षा चूक को रोकने के उद्देश्य से महत्वपूर्ण नियामक सुधार हो सकते हैं। कांग्रेस संवेदनशील सरकारी परियोजनाओं पर विदेशी श्रमिकों को नियुक्त करने के लिए सख्त आवश्यकताएं लागू कर सकती है या व्यापक पृष्ठभूमि जांच और निगरानी आवश्यकताओं को अनिवार्य कर सकती है।.

संभावित सुधारों में सरकार के साथ काम करने वाले क्लाउड सेवा प्रदाताओं के लिए पारदर्शिता संबंधी आवश्यकताओं का विस्तार करना भी शामिल हो सकता है, जिसमें सरकारी प्रणालियों तक पहुंच रखने वाले सभी कर्मचारियों की राष्ट्रीयता और योग्यताओं पर विस्तृत रिपोर्टिंग शामिल है।.

भविष्य की खरीद प्रक्रियाओं पर प्रभाव

इस विवाद से सरकारी खरीद प्रक्रियाओं में भी मूलभूत बदलाव आ सकते हैं। भविष्य के अनुबंधों में सख्त सुरक्षा आवश्यकताएं, विस्तारित लेखापरीक्षा अधिकार और सुरक्षा उल्लंघनों के लिए कठोर दंड शामिल हो सकते हैं।.

सरकार लागत की तुलना में सुरक्षा को अधिक प्राथमिकता देना शुरू कर सकती है, जिससे आईटी सेवाओं पर खर्च बढ़ सकता है, लेकिन साथ ही अधिक मजबूत सुरक्षा गारंटी भी मिल सकती है। राष्ट्रीय सुरक्षा डेटा से जुड़े अत्यंत संवेदनशील परियोजनाओं के लिए यह विशेष रूप से महत्वपूर्ण हो सकता है।.

माइक्रोसॉफ्ट डिजिटल एस्कॉर्ट घोटाले ने अमेरिकी सरकार द्वारा अपने सबसे संवेदनशील आईटी सिस्टमों के प्रबंधन और निगरानी के तरीके में एक गंभीर खामी को उजागर किया है। यह खुलासा कि चीनी तकनीशियनों को एक दशक से अधिक समय तक पेंटागन के क्लाउड सिस्टम तक पहुंच प्राप्त थी, ने न केवल तत्काल राजनीतिक और कॉर्पोरेट प्रतिक्रियाओं को जन्म दिया है, बल्कि लागत-प्रभावशीलता और राष्ट्रीय सुरक्षा के बीच संतुलन के बारे में भी मूलभूत प्रश्न खड़े किए हैं।.

रक्षा सचिव हेगसेथ की त्वरित प्रतिक्रिया और माइक्रोसॉफ्ट द्वारा तत्काल नीतिगत बदलाव स्थिति की गंभीरता के प्रति उनकी जागरूकता को दर्शाते हैं। हालांकि, इस घोटाले के निहितार्थ केवल एक कॉर्पोरेट गतिविधि तक सीमित नहीं हैं। ये इस मूलभूत प्रश्न को छूते हैं कि तेजी से परस्पर जुड़े और भू-राजनीतिक रूप से तनावपूर्ण होते इस विश्व में लोकतांत्रिक समाज अपने सबसे महत्वपूर्ण डिजिटल बुनियादी ढांचे की रक्षा कैसे कर सकते हैं।.

इसके दीर्घकालिक प्रभावों में क्लाउड सुरक्षा प्रथाओं का मौलिक पुनर्मूल्यांकन, सख्त नियामक आवश्यकताएं और संभवतः वैश्विक प्रौद्योगिकी कंपनियों द्वारा राष्ट्रीय सरकारों के साथ बातचीत करने के तरीके में बदलाव शामिल हो सकते हैं। हालांकि माइक्रोसॉफ्ट के नीतिगत बदलावों और पेंटागन की जांच से तात्कालिक संकट का समाधान हो सकता है, लेकिन वैश्वीकृत तकनीकी परिदृश्य में सुरक्षा और दक्षता के बीच संतुलन बनाए रखने की व्यापक चुनौती बनी रहेगी।.

मार्कस बेकर

मुझे आपके निजी सलाहकार के रूप में सेवा करने में खुशी होगी।.

व्यवसाय विकास प्रमुख

एसएमई कनेक्ट डिफेंस वर्किंग ग्रुप के अध्यक्ष

Linkedin

Konrad Wolfenstein

मुझे आपके निजी सलाहकार के रूप में सेवा करने में खुशी होगी।.

wolfenstein ∂ xpert.digital पर संपर्क

बस मुझे +49 89 89 674 804 (म्यूनिख) ।

Linkedin