Risiko pertahanan dan keamanan Microsoft: Teknisi dari Tiongkok mengelola cloud Departemen Pertahanan AS

“Pengawal Digital”: Trik aneh yang digunakan Microsoft untuk mengakali undang-undang keamanan AS demi kepentingan Tiongkok

### Risiko keamanan yang sangat besar? Microsoft meminta insinyur Tiongkok untuk mengelola cloud Pentagon ### Setelah terungkapnya skandal Tiongkok: Microsoft segera mengubah kebijakannya – tetapi kerusakan sudah terjadi ###

Terungkapnya fakta bahwa para insinyur Tiongkok mengelola infrastruktur cloud yang sangat sensitif milik Departemen Pertahanan AS untuk Microsoft telah memicu salah satu kontroversi keamanan terbesar dalam beberapa waktu terakhir. Apa yang dimulai sebagai solusi hemat biaya untuk dukungan teknis telah berkembang menjadi potensi risiko keamanan nasional dengan magnitude yang cukup besar.

Terbongkarnya praktik berbahaya

Selama hampir satu dekade, Microsoft menyediakan infrastruktur cloud berbasis Azure untuk Departemen Pertahanan AS. Kolaborasi ini, yang memiliki arti strategis dan finansial yang sangat besar bagi Microsoft, didasarkan pada sistem yang sekarang dianggap sangat lalai dalam menangani data pemerintah yang sangat sensitif.

Penelitian investigatif oleh organisasi Amerika ProPublica pada Juli 2025 mengungkapkan apa yang dianggap oleh banyak pakar keamanan sebagai kerentanan keamanan yang tidak dapat diterima: Microsoft mengalihdayakan pemeliharaan infrastruktur Departemen Pertahanan kepada teknisi dari negara-negara non-AS, khususnya Tiongkok. Praktik ini tidak hanya telah berlangsung selama bertahun-tahun tetapi juga merupakan faktor penting dalam keberhasilan Microsoft memenangkan kontrak pemerintah di sektor komputasi awan.

Berkaitan dengan ini:

• ProPublica: Sebuah program Microsoft yang kurang dikenal memungkinkan Departemen Pertahanan terekspos pada peretas Tiongkok

Sistem “Pendamping Digital”

Sistem yang dikembangkan oleh Microsoft didasarkan pada apa yang disebut "pendamping digital"—warga negara AS dengan izin keamanan yang sesuai yang seharusnya memantau pekerjaan teknisi asing dari jarak jauh. Pendamping digital ini bertindak sebagai perantara antara insinyur Microsoft Tiongkok dan sistem cloud Pentagon, memasukkan perintah dan instruksi dari kolega asing mereka ke dalam sistem pemerintah.

Masalah dengan sistem ini terletak pada kelemahan struktural dasarnya: para pengawal digital seringkali kurang memiliki keahlian teknis untuk memantau pekerjaan rekan-rekan mereka dari Tiongkok dengan benar. Banyak dari pengawal ini adalah mantan personel militer dengan sedikit pengalaman pemrograman, yang hanya menerima upah minimum untuk pekerjaan penting ini. Salah satu pengawal baru-baru ini merangkum masalah tersebut: “Kami percaya bahwa apa yang mereka lakukan bukanlah tindakan jahat, tetapi kami benar-benar tidak dapat memastikannya.”.

Akses ke data yang sangat sensitif

Para insinyur Tiongkok berpotensi memiliki akses ke informasi yang diklasifikasikan sebagai "Tingkat Dampak 4 dan 5" – data yang dianggap sangat sensitif tetapi tidak secara resmi diklasifikasikan sebagai rahasia. Kategori ini mencakup konten yang secara langsung mendukung operasi militer, serta data lain yang jika bocor, menurut pedoman Pentagon, dapat memiliki "konsekuensi serius atau bencana" bagi keamanan nasional.

Tingkat Dampak 5 (IL5) dirancang khusus untuk Sistem Keamanan Nasional (NSS) yang tidak terklasifikasi yang mendukung misi Departemen Pertahanan dan memproses Informasi Tidak Terklasifikasi yang Dikendalikan (CUI), yang membutuhkan tingkat perlindungan lebih tinggi daripada IL4. Informasi ini dapat mencakup penelitian dan pengembangan, data logistik, dan konten penting misi lainnya yang dapat menyebabkan kerusakan signifikan jika disalahgunakan.

Model bisnis Microsoft dan penghindaran kepatuhan

Jalan menuju dominasi komputasi awan

Pada tahun 2010-an, Microsoft memantapkan dirinya sebagai penyedia layanan cloud pemerintah yang dominan. Perusahaan ini memenangkan kontrak cloud senilai $10 miliar dengan Departemen Pertahanan pada tahun 2019, yang kemudian dibatalkan pada tahun 2021 setelah perselisihan hukum. Pada tahun 2022, Microsoft, bersama dengan Amazon, Google, dan Oracle, mengamankan bagian dari kontrak cloud baru senilai hingga $9 miliar.

Keberhasilan ini sebagian didasarkan pada kemampuan Microsoft untuk memanfaatkan sumber daya global sambil tampaknya memenuhi persyaratan keamanan yang ketat dari pemerintah AS. Sistem Digital Escort adalah solusi kreatif namun berisiko untuk masalah mendasar: Bagaimana sebuah perusahaan teknologi global dengan operasi yang luas di Tiongkok, India, dan Eropa dapat memenuhi persyaratan staf yang ketat untuk kontrak pemerintah AS?

FedRAMP dan penghindaran peraturan keselamatan

Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) didirikan pada tahun 2011 untuk menyediakan pendekatan standar dalam menilai, memantau, dan mengotorisasi produk dan layanan komputasi awan berdasarkan Undang-Undang Manajemen Keamanan Informasi Federal (FISMA). FedRAMP mewajibkan penyedia layanan awan yang ingin bekerja sama dengan pemerintah federal untuk memastikan bahwa pemeriksaan latar belakang dilakukan terhadap karyawan yang menangani data pemerintah federal yang sangat sensitif.

Departemen Pertahanan merumuskan pedoman tambahan untuk komputasi awan yang mengharuskan karyawan yang menangani data rahasia untuk menjadi warga negara AS atau penduduk tetap. Persyaratan ini menimbulkan tantangan signifikan bagi Microsoft, karena perusahaan tersebut bergantung pada tenaga kerja global dari India, Tiongkok, Uni Eropa, dan wilayah lainnya.

Indy Crowley, seorang manajer program senior di Microsoft, mengembangkan program Digital Escort sebagai cara untuk menghindari persyaratan FedRAMP dan Departemen Pertahanan AS. Sistem ini memungkinkan para insinyur asing di negara-negara seperti Tiongkok untuk memberikan dukungan yang memadai tanpa memerlukan akses langsung ke sistem pemerintah.

Peran Badan Sistem Informasi Pertahanan (DISA)

Badan Sistem Informasi Pertahanan (DISA) berfungsi sebagai organisasi pendukung TI pusat untuk Departemen Pertahanan dan bertanggung jawab untuk mengembangkan dan memelihara Panduan Persyaratan Keamanan Komputasi Awan DoD (SRG). DISA mendefinisikan persyaratan keamanan mendasar yang digunakan DoD untuk menilai postur keamanan penyedia layanan cloud.

Meskipun memiliki peran sentral dalam memantau keamanan cloud, DISA tampaknya kurang mengetahui program Digital Escort milik Microsoft. Juru bicara DISA awalnya menyatakan bahwa mereka tidak dapat menemukan siapa pun yang pernah mendengar tentang konsep Escort. Kemudian, lembaga tersebut mengkonfirmasi bahwa Escort digunakan di "lingkungan terpilih yang tidak terklasifikasi" di Departemen Pertahanan untuk "diagnosis dan penyelesaian masalah tingkat lanjut oleh para ahli industri.".

Kurangnya komunikasi dan pengawasan

Kurangnya kejelasan mengenai pejabat pemerintah mana yang diberi informasi tentang sistem Digital Escort menimbulkan pertanyaan serius tentang pengawasan dan komunikasi antara Microsoft dan lembaga pemerintah terkait. Meskipun Microsoft mengklaim telah mengungkapkan praktik-praktiknya selama proses otorisasi, perwakilan pemerintah menyatakan terkejut dan tidak dapat mengingat informasi tersebut.

David Mihelcic, mantan Kepala Teknologi DISA, menggambarkan setiap upaya untuk mengakses jaringan Departemen Pertahanan sebagai "risiko besar" dan menggambarkan situasi tersebut secara drastis: "Di sini Anda memiliki satu orang yang benar-benar tidak Anda percayai karena mereka mungkin berada di intelijen Tiongkok, dan orang lainnya sebenarnya tidak kompeten.".

Reaksi langsung dan konsekuensi politik

Menteri Pertahanan Hegseth turun tangan

Pengungkapan ProPublica memicu reaksi politik langsung di tingkat tertinggi. Menteri Pertahanan Pete Hegseth menanggapi laporan tersebut secara langsung, mengumumkan dalam pesan video di X (sebelumnya Twitter): “Insinyur asing – dari negara mana pun, termasuk tentu saja Tiongkok – TIDAK PERNAH boleh mengakses sistem Departemen Pertahanan.”.

Hegseth memerintahkan peninjauan selama dua minggu terhadap semua kontrak komputasi awan Departemen Pertahanan untuk memastikan bahwa tidak ada spesialis Tiongkok yang terlibat dalam proyek yang sedang berjalan. Dia menyatakan secara tegas: "Tiongkok sama sekali tidak akan terlibat dalam layanan komputasi awan kami mulai sekarang.".

Dalam pernyataannya, Hegseth juga sebagian menyalahkan pemerintahan Obama, karena merekalah yang menegosiasikan kesepakatan cloud awal. Ia berbicara tentang "tenaga kerja murah dari Tiongkok" yang penggunaannya "jelas tidak dapat diterima" dan представляет potensi kerentanan dalam sistem komputer Departemen Pertahanan.

Microsoft menanggapi tekanan tersebut

Menghadapi tekanan politik, Microsoft bereaksi dengan cepat. Frank X. Shaw, Kepala Komunikasi perusahaan, mengkonfirmasi di X pada hari Jumat bahwa Microsoft telah melakukan perubahan pada dukungannya untuk pelanggan pemerintah AS "untuk memastikan bahwa tidak ada tim teknik yang berbasis di Tiongkok yang memberikan dukungan teknis untuk layanan cloud pemerintah Departemen Pertahanan dan layanan terkait.".

Pengumuman ini datang hanya beberapa jam setelah Menteri Pertahanan Hegseth mengumumkan penyelidikan atas penggunaan insinyur asing oleh Microsoft. Kecepatan respons menunjukkan bahwa perusahaan menyadari keseriusan situasi dan potensi dampaknya terhadap kontrak pemerintah yang menguntungkan.

Penyelidikan Senat

Senator Tom Cotton, ketua Komite Intelijen Senat dan anggota Komite Angkatan Bersenjata, mengirim surat kepada Menteri Pertahanan Hegseth pada hari Kamis yang meminta informasi dan dokumen tentang program tersebut. Cotton menuntut daftar semua kontraktor Departemen Pertahanan yang mempekerjakan personel Tiongkok, serta rincian lebih lanjut tentang bagaimana "pengawas digital" AS dilatih untuk mendeteksi aktivitas mencurigakan.

“Mengingat laporan-laporan baru-baru ini yang mengkhawatirkan tentang Microsoft yang menggunakan insinyur di Tiongkok untuk memelihara sistem Departemen Pertahanan, saya telah meminta Menteri Pertahanan untuk menyelidiki masalah ini,” kata Cotton dalam sebuah X-Post. “Kita harus melindungi diri kita dari semua ancaman dalam rantai pasokan militer kita.”.

Kerentanan teknis dan risiko keamanan

Masalah kesenjangan keterampilan

Salah satu masalah paling mendasar dengan sistem Pengawal Digital adalah perbedaan signifikan dalam keahlian teknis antara para insinyur Tiongkok dan pengawas Amerika mereka. "Kesenjangan keterampilan" ini menciptakan situasi berbahaya di mana teknisi asing yang sangat terampil diawasi oleh warga negara AS yang jauh kurang berkualitas.

Matthew Erickson, mantan insinyur Microsoft yang mengerjakan program tersebut, menjelaskan masalahnya dengan gamblang: “Jika seseorang menjalankan skrip bernama 'fix_servers.sh' yang sebenarnya melakukan sesuatu yang jahat, maka [para pengawal] tidak akan tahu.” Pernyataan ini menyoroti kelemahan mendasar sistem tersebut: ketidakmampuan para pengawas untuk mengidentifikasi kode yang berpotensi berbahaya.

Perekrutan dan kualifikasi Pendamping Digital

Rekrutmen Pengawal Digital sebagian ditangani oleh Lockheed Martin, dengan kandidat dipilih terutama berdasarkan izin keamanan mereka daripada keterampilan teknis mereka. Lowongan pekerjaan untuk posisi pengawal yang membutuhkan sertifikasi keamanan Departemen Pertahanan dimulai dengan upah minimum $18 per jam.

Sebuah tim pengawal yang terdiri dari sekitar 50 orang di Insight Global berkomunikasi setiap bulan dengan para insinyur Microsoft yang berbasis di Tiongkok dan memasukkan ratusan perintah ke dalam sistem pemerintah. Seorang manajer proyek memperingatkan Microsoft bahwa para pengawal yang dipekerjakan, karena upah rendah dan kurangnya pengalaman khusus, "tidak akan memiliki kemampuan yang tepat" untuk pekerjaan tersebut.

Langkah-langkah keamanan otomatis dan keterbatasannya

Microsoft bersikeras bahwa sistem Escort menggabungkan beberapa lapisan keamanan, termasuk alur kerja persetujuan dan tinjauan kode otomatis melalui sistem tinjauan internal yang disebut "Lockbox." Sistem ini dirancang untuk memastikan bahwa permintaan diklasifikasikan sebagai aman atau menimbulkan kekhawatiran.

Namun, detail dari langkah-langkah keamanan ini tetap tidak jelas, dan Microsoft menolak untuk mengungkapkan informasi spesifik tentang cara kerja sistem Lockbox, dengan alasan risiko keamanan. Kurangnya transparansi ini memperkuat kekhawatiran para kritikus tentang efektivitas pengamanan yang diterapkan.

Konteks historis dan insiden keamanan sebelumnya

Sejarah Microsoft dengan peretas Tiongkok

Kontroversi seputar para insinyur Tiongkok ini sangat bermasalah mengingat sejarah Microsoft yang terdokumentasi terkait serangan siber dari Tiongkok. Perusahaan ini telah berulang kali menjadi sasaran peretas dari Tiongkok dan Rusia yang berhasil menyusup ke sistem Microsoft.

Pada tahun 2023, peretas Tiongkok berhasil mencuri ribuan email dari akun email Kementerian Luar Negeri dan Kementerian Perdagangan. Insiden ini menggarisbawahi ancaman nyata yang ditimbulkan oleh operasi siber Tiongkok dan membuat keputusan Microsoft untuk mengizinkan insinyur Tiongkok bekerja dengan sistem Pentagon semakin dipertanyakan.

Ancaman keamanan global saat ini

Hanya beberapa hari setelah mengungkap skandal Digital Escort, Microsoft kembali dilanda insiden keamanan signifikan lainnya. Pada Juli 2025, kerentanan besar dalam produk Microsoft yang banyak digunakan memungkinkan beberapa kelompok peretas Tiongkok untuk membobol puluhan organisasi di seluruh dunia dan setidaknya dua lembaga federal AS.

Keterkaitan waktu antara insiden-insiden ini memperkuat kekhawatiran tentang kemampuan Microsoft untuk mempertahankan langkah-langkah keamanan yang memadai terhadap ancaman siber Tiongkok. Charles Carmakal, Kepala Teknologi di Mandiant, Google, memperingatkan: "Sangat penting untuk memahami bahwa banyak pihak kini secara aktif mengeksploitasi kerentanan ini.".

Pusat Keamanan dan Pertahanan menawarkan saran ahli dan informasi terkini untuk secara efektif mendukung perusahaan dan organisasi dalam memperkuat peran mereka dalam kebijakan keamanan dan pertahanan Eropa. Bekerja sama erat dengan Kelompok Kerja Pertahanan SME Connect, pusat ini secara khusus mempromosikan usaha kecil dan menengah (UKM) yang ingin mengembangkan lebih lanjut kapasitas inovatif dan daya saing mereka di sektor pertahanan. Sebagai titik kontak utama, Pusat ini menciptakan jembatan penting antara UKM dan strategi pertahanan Eropa.

Berkaitan dengan ini:

• Kelompok Kerja Koneksi UKM di Bidang Pertahanan – Memperkuat UKM di Sektor Pertahanan Eropa

Sertifikasi Model Kematangan Keamanan Siber (CMMC) dan Tantangan Kepatuhan

CMMC sebagai respons terhadap kerentanan keamanan

Program Sertifikasi Model Kematangan Keamanan Siber (CMMC) dikembangkan oleh Departemen Pertahanan untuk memperkuat keamanan siber di industri pertahanan dan melindungi informasi sensitif yang tidak terklasifikasi dengan lebih baik. CMMC dirancang untuk menegakkan perlindungan Informasi Kontrak Federal (FCI) dan Informasi Tidak Terklasifikasi yang Dikendalikan (CUI).

Kerangka kerja CMMC 2.0, yang diperkenalkan pada November 2021, terdiri dari tiga tingkat kematangan, masing-masing dengan persyaratan spesifik yang semakin ketat. Level 1 berfokus pada praktik kebersihan siber dasar untuk kontraktor yang menangani FCI, sementara Level 2 dan 3 dirancang untuk organisasi yang memproses CUI dan membutuhkan tingkat keamanan yang lebih tinggi.

Kepatuhan CMMC Microsoft dan masalah pengawalan

Terungkapnya sistem Digital Escort menimbulkan pertanyaan serius tentang kepatuhan Microsoft terhadap persyaratan CMMC. CMMC Level 2 dan yang lebih tinggi dirancang khusus untuk melindungi CUI – tepatnya jenis informasi yang berpotensi diakses oleh para insinyur Tiongkok melalui sistem Escort.

Microsoft mengklaim bahwa pelanggan dapat menunjukkan kepatuhan CMMC di berbagai lingkungan cloud, termasuk cloud komersial untuk tingkat keamanan yang lebih rendah dan cloud kedaulatan AS untuk persyaratan keamanan yang lebih tinggi. Namun, fakta bahwa para insinyur Tiongkok memiliki akses ke data IL4 dan IL5 menunjukkan potensi pelanggaran prinsip-prinsip dasar CMMC.

Klasifikasi Tingkat Dampak dan Signifikansinya

Klasifikasi Tingkat Dampak Departemen Pertahanan (DoD) merupakan elemen penting untuk memahami tingkat keparahan skandal Digital Escort. Tingkat Dampak 4 (IL4) mencakup Informasi Tidak Rahasia yang Dikendalikan (CUI), sedangkan Tingkat Dampak 5 (IL5) dirancang untuk data Sistem Keamanan Nasional (NSS) yang tidak diklasifikasikan.

Informasi IL-5 memerlukan tingkat perlindungan yang lebih tinggi daripada IL-4 dan mencakup informasi penting misi serta data NSS. Pengungkapan informasi IL-5 tanpa izin dapat memiliki konsekuensi serius atau bencana bagi keamanan nasional. Fakta bahwa para insinyur Tiongkok berpotensi memiliki akses ke kedua kategori tersebut membuat kerentanan keamanan ini sangat mengkhawatirkan.

Perspektif internasional dan implikasi geopolitik

Konflik siber AS-Tiongkok dalam konteksnya

Skandal pengawalan digital terjadi di tengah memburuknya hubungan AS-Tiongkok dan perang dagang yang sedang berlangsung—jenis konflik yang menurut para ahli dapat menyebabkan pembalasan siber dari Tiongkok. Pemerintah AS mengakui bahwa kemampuan siber Tiongkok merupakan salah satu ancaman paling agresif dan berbahaya bagi Amerika Serikat.

Harry Coker, mantan pejabat tinggi CIA dan NSA, menggambarkan struktur pengawalan tersebut secara blak-blakan: “Jika saya seorang agen, saya akan melihat ini sebagai jalur untuk akses yang sangat berharga. Kita perlu sangat khawatir tentang hal ini.” Penilaian oleh seorang ahli intelijen ini menggarisbawahi potensi keparahan kerentanan keamanan dari perspektif intelijen.

Dampak pada rantai pasokan teknologi global

Skandal ini memunculkan pertanyaan yang lebih luas tentang keamanan penyedia perangkat lunak pihak ketiga yang digunakan di seluruh pemerintahan federal. Pada Desember 2024, peretas Tiongkok meretas BeyondTrust, penyedia keamanan siber swasta, untuk mendapatkan akses ke stasiun kerja Departemen Keuangan AS, termasuk yang ada di Kantor Pengawasan Aset Asing dan kantor Menteri Keuangan Janet Yellen.

Insiden-insiden ini menunjukkan kerentanan rantai pasokan teknologi yang kompleks yang menjadi tumpuan pemerintah modern. Insiden-insiden ini juga menyoroti kesulitan dalam mempertahankan sistem nasional yang benar-benar aman di dunia yang terglobalisasi di mana segala sesuatu bersifat internasional dan sangat internasional, seperti yang diamati oleh pakar keamanan Bruce Schneier.

Reaksi industri dan opini para ahli

Pakar keamanan mulai membunyikan alarm

Beberapa pakar keamanan siber dan mantan pejabat pemerintah menyatakan keprihatinan atas pengungkapan tersebut. John Sherman, yang menjabat sebagai Kepala Bagian Informasi Departemen Pertahanan selama pemerintahan Biden, mengatakan bahwa ia terkejut dan prihatin dengan temuan ProPublica: "Seharusnya saya sudah tahu tentang ini." Ia menyatakan bahwa situasi tersebut memerlukan "peninjauan menyeluruh oleh DISA, Komando Siber, dan pemangku kepentingan lain yang terlibat.".

Yayasan Pertahanan Demokrasi (Foundation for Defense of Democracies) menggambarkan situasi tersebut sebagai Pentagon yang "memberikan akses kepada China ke sistemnya selama lebih dari satu dekade." Organisasi ini menekankan bahwa program Departemen Pertahanan (DoD) memungkinkan para insinyur China mengakses sistem Pentagon, sekaligus berpotensi memungkinkan mereka untuk memasukkan kerentanan ke dalam sistem DoD dengan kedok pemeliharaan perangkat lunak.

Upaya pembelaan dan transparansi Microsoft

Microsoft membela sistem pengawalan tersebut dengan menyatakan bahwa sistem itu sesuai dengan standar pemerintah. Seorang juru bicara perusahaan menyatakan: “Untuk beberapa pertanyaan teknis, Microsoft melibatkan tim ahli bidang global kami untuk memberikan dukungan melalui personel AS yang berwenang, sesuai dengan persyaratan dan proses pemerintah AS.”.

Perusahaan tersebut menekankan bahwa “semua karyawan dan kontraktor dengan akses istimewa harus lulus pemeriksaan latar belakang yang disetujui pemerintah federal” dan bahwa “staf dukungan global tidak memiliki akses langsung ke data pelanggan atau sistem pelanggan.” Microsoft juga mengklaim menggunakan beberapa lapisan keamanan, termasuk alur kerja persetujuan dan tinjauan kode otomatis, untuk mencegah ancaman.

Tidak seperti kebanyakan penyedia layanan cloud di industri ini, Microsoft setuju untuk membagikan dokumen Basis of Equivalence (BoE) mereka kepada pelanggan berdasarkan perjanjian kerahasiaan, yang menunjukkan tingkat transparansi yang tidak ditawarkan oleh banyak penyedia layanan cloud lainnya.

Dampak jangka panjang dan kebutuhan akan reformasi

Perubahan struktural dalam TI pemerintah

Skandal pengawal digital dapat menyebabkan perubahan mendasar dalam cara pemerintah AS mengelola dan mengawasi infrastruktur TI-nya. Pengungkapan ini telah mengakibatkan peningkatan pengawasan terhadap praktik kontraktor pertahanan dan persyaratan yang lebih ketat untuk penugasan staf pada proyek teknologi sensitif.

Para analis memperkirakan langkah serupa akan diambil di seluruh industri karena para legislator dan pejabat militer terus fokus pada risiko keamanan siber dan integritas rantai pasokan untuk sistem TI pemerintah. Tinjauan berkelanjutan terhadap semua kontrak cloud Departemen Pertahanan dapat menyebabkan penilaian ulang praktik keamanan di seluruh industri.

Dampak pada penyedia layanan cloud lainnya

Meskipun pengungkapan saat ini berfokus pada Microsoft, masih belum jelas apakah penyedia layanan cloud lain yang bekerja untuk pemerintah AS, seperti Amazon Web Services atau Google Cloud, juga mengandalkan pengawal digital. Perusahaan-perusahaan ini menolak berkomentar ketika dihubungi oleh ProPublica.

Kemungkinan praktik serupa tersebar luas di seluruh industri dapat menyebabkan tinjauan komprehensif dan reformasi praktik keamanan cloud untuk kontrak pemerintah. Menteri Pertahanan Hegseth mengindikasikan bahwa investigasi tersebut dapat memeriksa vendor yang disertifikasi melalui program Sertifikasi Model Kematangan Keamanan Siber (CMMC).

Biaya dan efisiensi versus keselamatan

Skandal ini menimbulkan pertanyaan mendasar tentang keseimbangan antara efisiensi biaya dan keamanan dalam kontrak TI pemerintah. Penggunaan insinyur Tiongkok oleh Microsoft sebagian dimotivasi oleh keinginan untuk menekan biaya sambil tetap menyediakan dukungan teknis yang sangat terampil.

Indy Crowley, yang mengembangkan program Digital Escort, mengatakan kepada ProPublica: “Selalu ada keseimbangan antara biaya, upaya, dan keahlian. Jadi Anda menemukan apa yang cukup baik.” Mentalitas ini, yang memungkinkan Microsoft untuk memanfaatkan tenaga kerja globalnya sambil tampaknya memenuhi persyaratan pemerintah, kini dapat mengalami penilaian ulang mendasar.

Inovasi teknologi dan prospek masa depan

Otomasi dan AI dalam keamanan siber

Terungkapnya praktik pengawalan digital menggarisbawahi perlunya sistem keamanan otomatis yang lebih canggih yang dapat melengkapi atau menggantikan pengawasan manusia. Teknologi keamanan siber modern, termasuk deteksi ancaman berbasis AI dan analisis kode otomatis, dapat mengatasi beberapa kelemahan sistem pengawalan manusia.

Microsoft dan penyedia layanan cloud lainnya telah berinvestasi besar-besaran dalam solusi keamanan berbasis AI yang dapat mendeteksi aktivitas yang berpotensi berbahaya secara real-time. Teknologi ini dapat memainkan peran penting dalam mengurangi kebutuhan akan perantara manusia di masa depan, yang mungkin kekurangan keterampilan teknis yang diperlukan.

Arsitektur zero-trust dan implementasinya

Skandal ini juga memperkuat gerakan menuju arsitektur keamanan zero-trust, yang berasumsi bahwa tidak ada entitas – baik di dalam maupun di luar perimeter jaringan – yang secara otomatis dapat dipercaya. Pendekatan ini memerlukan verifikasi dan pemantauan terus-menerus terhadap semua pengguna dan perangkat sebelum akses ke sistem dan data diberikan.

Untuk layanan cloud pemerintah, penerapan prinsip zero-trust yang kuat dapat mengurangi beberapa risiko yang terkait dengan penggunaan bantuan teknis asing. Sistem seperti itu akan mengharuskan setiap tindakan—terlepas dari siapa yang melakukannya—diverifikasi melalui beberapa lapisan keamanan.

Dampak ekonomi dan dinamika pasar

Dampak pada bisnis Microsoft di pemerintahan

Bisnis pemerintah Microsoft merupakan pendorong pendapatan yang signifikan bagi perusahaan. Menurut laporan pendapatan triwulanan terbarunya, Microsoft menghasilkan pendapatan yang substansial dari kontrak pemerintah, dengan lebih dari setengah dari pendapatan kuartal pertama sebesar $70 miliar berasal dari pelanggan yang berbasis di AS.

Divisi layanan cloud Azure, yang terdampak oleh kontroversi ini, menghasilkan lebih dari 25% dari total pendapatan perusahaan, menurut para analis. Setiap penurunan kemampuan Microsoft dalam jangka panjang untuk memenangkan atau mempertahankan kontrak pemerintah dapat memiliki dampak finansial yang signifikan.

Dampak kompetitif dalam industri komputasi awan

Skandal ini dapat menguntungkan para pesaing Microsoft di industri komputasi awan, khususnya Amazon Web Services (AWS), yang sudah menjadi penyedia komputasi awan terbesar, dan Google Cloud. Jika lembaga pemerintah mulai mempertanyakan praktik keamanan Microsoft, mereka mungkin akan beralih ke penyedia alternatif yang dapat menawarkan jaminan keamanan yang lebih kuat.

Kontroversi ini juga dapat menyebabkan peningkatan standar keamanan di seluruh industri, karena para vendor mencoba menjauhkan diri dari masalah yang terungkap dalam kasus Microsoft. Hal ini dapat mengakibatkan biaya yang lebih tinggi, tetapi juga peningkatan praktik keamanan di seluruh industri.

Dampak pada rantai pasokan teknologi global

Pengungkapan ini juga menimbulkan pertanyaan yang lebih luas tentang keberlanjutan rantai pasokan teknologi global di tengah ketegangan geopolitik. Banyak perusahaan teknologi bergantung pada talenta dan sumber daya dari berbagai negara, termasuk negara-negara yang dianggap sebagai calon musuh.

Tren "friend-shoring" atau "near-shoring" untuk layanan teknologi penting dapat meningkat seiring upaya pemerintah untuk mengurangi ketergantungan pada pemasok asing yang berpotensi bermasalah. Hal ini dapat menyebabkan perubahan signifikan dalam struktur dan cara perusahaan teknologi global beroperasi.

Reformasi regulasi dan konsekuensi politik

Potensi perubahan legislatif

Skandal pendampingan digital dapat menyebabkan reformasi peraturan yang signifikan yang bertujuan untuk mencegah pelanggaran keamanan serupa di masa mendatang. Kongres dapat memperkenalkan persyaratan yang lebih ketat untuk mempekerjakan pekerja asing pada proyek-proyek pemerintah yang sensitif atau mewajibkan pemeriksaan latar belakang dan persyaratan pemantauan yang lebih luas.

Reformasi yang mungkin dilakukan juga dapat mencakup perluasan persyaratan transparansi bagi penyedia layanan cloud yang bekerja sama dengan pemerintah, termasuk pelaporan terperinci tentang kewarganegaraan dan kualifikasi semua karyawan yang memiliki akses ke sistem pemerintah.

Dampak pada praktik pengadaan di masa depan

Kontroversi ini juga dapat menyebabkan perubahan mendasar dalam praktik pengadaan pemerintah. Kontrak di masa mendatang dapat mencakup persyaratan keamanan yang lebih ketat, perluasan hak audit, dan sanksi yang lebih berat untuk pelanggaran keamanan.

Pemerintah juga dapat mulai memprioritaskan keamanan lebih kuat daripada biaya, yang dapat menyebabkan peningkatan pengeluaran untuk layanan TI, tetapi juga jaminan keamanan yang lebih kuat. Hal ini terutama berlaku untuk proyek-proyek yang sangat sensitif yang melibatkan data keamanan nasional.

Skandal Microsoft Digital Escort telah mengungkap kerentanan kritis dalam cara pemerintah AS mengelola dan memantau sistem TI-nya yang paling sensitif. Terungkapnya bahwa teknisi Tiongkok memiliki akses ke sistem cloud Pentagon selama lebih dari satu dekade tidak hanya memicu respons politik dan korporasi secara langsung, tetapi juga menimbulkan pertanyaan mendasar tentang keseimbangan antara efektivitas biaya dan keamanan nasional.

Respons cepat Menteri Pertahanan Hegseth dan perubahan kebijakan segera dari Microsoft menunjukkan kesadaran akan keseriusan situasi ini. Namun, implikasi skandal ini jauh melampaui praktik perusahaan tunggal. Hal ini menyentuh pertanyaan mendasar tentang bagaimana masyarakat demokratis dapat melindungi infrastruktur digital mereka yang paling penting di dunia yang semakin saling terhubung dan sarat dengan muatan geopolitik.

Implikasi jangka panjangnya kemungkinan akan mencakup penilaian ulang mendasar terhadap praktik keamanan cloud, persyaratan regulasi yang lebih ketat, dan berpotensi perancangan ulang bagaimana perusahaan teknologi global berinteraksi dengan pemerintah nasional. Meskipun krisis langsung mungkin dapat diatasi oleh perubahan kebijakan Microsoft dan investigasi Pentagon, tantangan yang lebih luas untuk menyeimbangkan keamanan dan efisiensi dalam lanskap teknologi global tetap ada.

Saya akan dengan senang hati menjadi penasihat pribadi Anda.

Kepala Pengembangan Bisnis

Ketua Kelompok Kerja Pertahanan SME Connect

LinkedIn

 

 

Saya akan dengan senang hati menjadi penasihat pribadi Anda.

saya di wolfenstein∂xpert.digital menghubungi

Hubungi saya di +49 7348 4088 965 .

LinkedIn