Il programma "Digital Escort" di Microsoft: cosa dovresti sapere — ProPublica
Per quasi un decennio, Microsoft si è avvalsa di ingegneri in Cina per la manutenzione di sistemi informatici altamente sensibili del Dipartimento della Difesa. L'inchiesta di ProPublica rivela come un modello che si basa su "accompagnatori digitali" per supervisionare il supporto tecnico estero potrebbe rendere alcuni dei dati più sensibili del Paese vulnerabili agli attacchi informatici del suo principale avversario.
Ecco i punti chiave emersi da quel rapporto:
Solo i cittadini statunitensi in possesso di un'autorizzazione di sicurezza sono autorizzati ad accedere ai dati più sensibili del Dipartimento della Difesa.
Dal 2011, le aziende di cloud computing che desideravano vendere i propri servizi al governo degli Stati Uniti dovevano stabilire come avrebbero garantito che il personale che lavorava con dati federali possedesse le necessarie "autorizzazioni di accesso" e fosse sottoposto a controlli sui precedenti. Inoltre, il Dipartimento della Difesa richiede che le persone che gestiscono dati sensibili siano cittadini statunitensi o residenti permanenti.
Ciò ha rappresentato un problema per Microsoft, che si affida a una vasta forza lavoro globale con importanti attività in India, Cina e Unione Europea.
Per saperne di più
Microsoft ha creato il suo programma discreto di "accompagnamento digitale" per aggirare questo divieto.
Ai dipendenti Microsoft all'estero non è consentito accedere direttamente ai sistemi cloud sensibili, quindi il colosso tecnologico ha assunto "accompagnatori digitali" con sede negli Stati Uniti, in possesso di autorizzazioni di sicurezza che consentono loro di accedere a informazioni riservate, per ricevere istruzioni dagli esperti all'estero. Gli ingegneri descrivono brevemente il lavoro da svolgere, ad esempio aggiornare un firewall, installare un aggiornamento per correggere un bug o esaminare i log per risolvere un problema. L'accompagnatore copia e incolla quindi i comandi dell'ingegnere nel cloud federale.
Il problema, secondo quanto emerso da un'indagine di ProPublica, è che le escort digitali non sempre possiedono le competenze tecniche avanzate necessarie per individuare eventuali problemi.
"Confidiamo che ciò che stanno facendo non sia dettato da cattive intenzioni, ma in realtà non possiamo esserne certi", ha affermato una escort attualmente in servizio.
Le guardie del corpo gestiscono dati che, se divulgati, avrebbero effetti "catastrofici".
Microsoft utilizza il sistema di scorta per gestire le informazioni governative più sensibili che non rientrano nella categoria "riservata". Secondo il governo, ciò include "dati che riguardano la protezione della vita e la rovina finanziaria". La "perdita di riservatezza, integrità o disponibilità" di queste informazioni "potrebbe avere un effetto negativo grave o catastrofico" su operazioni, beni e individui, ha affermato il governo.
I dati del Dipartimento della Difesa in questa categoria includono materiali che supportano direttamente le operazioni militari.
Il programma potrebbe esporre i dati del Pentagono ad attacchi informatici.
Poiché le navi di scorta con base negli Stati Uniti ricevono istruzioni da ingegneri stranieri, inclusi quelli con sede in Cina, il principale avversario informatico del Paese, è possibile che una di esse possa inavvertitamente inserire codice dannoso nei sistemi informatici del Dipartimento della Difesa.
Un ex ingegnere Microsoft che ha lavorato al sistema ha riconosciuto questa possibilità. "Se qualcuno eseguisse uno script chiamato 'fix_servers.sh' ma questo in realtà facesse qualcosa di dannoso, [gli addetti alla sicurezza] non ne saprebbero nulla", ha dichiarato l'ingegnere, Matthew Erickson, a ProPublica.
Pradeep Nair, ex vicepresidente di Microsoft che ha affermato di aver contribuito allo sviluppo del concetto fin dall'inizio, ha dichiarato che una serie di misure di sicurezza, tra cui i registri di controllo, ovvero la traccia digitale dell'attività di sistema, potrebbero avvisare Microsoft o il governo di potenziali problemi. "Grazie alla rigorosità di questi controlli, il rischio residuo è minimo", ha affermato Nair.
Secondo gli esperti, i servizi di scorta digitali rappresentano un'opportunità naturale per le spie.
"Se fossi un agente operativo, lo considererei un'opportunità di accesso estremamente preziosa. Dobbiamo essere molto preoccupati al riguardo", ha affermato Harry Coker, ex dirigente della CIA e della National Security Agency. Coker, che è stato anche direttore nazionale per la sicurezza informatica durante l'amministrazione Biden, ha aggiunto che lui e i suoi ex colleghi dell'intelligence "avrebbero tanto voluto avere un accesso di quel tipo".
Le leggi cinesi consentono ai funzionari governativi di raccogliere dati "a condizione che stiano svolgendo attività considerate legittime", ha affermato Jeremy Daum, ricercatore senior presso il Paul Tsai China Center della Yale Law School. Il supporto tecnologico che Microsoft fornisce al governo statunitense in Cina rappresenta un'opportunità per lo spionaggio cinese, "che si tratti di inserire in uno di questi incarichi un professionista dell'intelligence già in forza, o di contattare direttamente le persone che già ricoprono tali posizioni per estorcere loro informazioni", ha spiegato Daum. "Sarebbe difficile per qualsiasi cittadino o azienda cinese opporsi in modo significativo a una richiesta diretta da parte delle forze di sicurezza o delle forze dell'ordine".
Microsoft afferma che il programma è approvato dal governo.
In una dichiarazione, Microsoft ha affermato che il suo personale e i suoi collaboratori operano in modo "conforme ai requisiti e alle procedure del governo degli Stati Uniti".
Secondo la dichiarazione, i dipendenti globali dell'azienda "non hanno accesso diretto ai dati o ai sistemi dei clienti". Gli addetti all'assistenza, "in possesso delle autorizzazioni e della formazione appropriate, forniscono supporto diretto. A questo personale viene impartita una formazione specifica sulla protezione dei dati sensibili, sulla prevenzione dei danni e sull'utilizzo dei comandi/controlli specifici presenti nell'ambiente".
Insight Global, un'azienda appaltatrice che fornisce servizi di scorta digitale a Microsoft, ha dichiarato di "valutare le capacità tecniche di ogni risorsa durante l'intero processo di colloquio per garantire che possiedano le competenze tecniche richieste" per il lavoro e di fornire la formazione necessaria.
Microsoft afferma di aver rivelato al governo i dettagli del programma di scorta. Ex funzionari del Pentagono hanno dichiarato di non averne mai sentito parlare.
Microsoft ha dichiarato a ProPublica di aver descritto il modello di scorta digitale nei documenti presentati al governo nell'ambito delle procedure di autorizzazione dei fornitori di servizi cloud. Ex funzionari della difesa e dell'intelligence hanno affermato, in diverse interviste, di non aver mai sentito parlare di scorte digitali. Persino l'agenzia IT del Dipartimento della Difesa non ne era a conoscenza fino a quando non è stata contattata da ProPublica per un commento.
"Probabilmente avrei dovuto saperlo", ha affermato John Sherman, che è stato responsabile dei sistemi informativi del Dipartimento della Difesa durante l'amministrazione Biden. Ha dichiarato che il sistema rappresenta un grave rischio per la sicurezza del dipartimento e ha chiesto una "revisione approfondita da parte della Defense Information Systems Agency, del Cyber Command e di altri soggetti interessati".
La DISA ha dichiarato: "Gli esperti sotto scorta non hanno accesso diretto e pratico ai sistemi governativi, ma offrono piuttosto indicazioni e raccomandazioni agli amministratori autorizzati che svolgono i compiti assegnati".
Fin dall'inizio erano stati lanciati degli avvertimenti sui rischi.
Nel corso degli anni, diverse persone hanno sollevato preoccupazioni in merito alla strategia di scorta, anche durante la sua fase di sviluppo. Un ex dipendente Microsoft, coinvolto nella strategia di sicurezza informatica dell'azienda, ha dichiarato a un dirigente di essere contrario al concetto, considerandolo troppo rischioso dal punto di vista della sicurezza.
Intorno al 2016, Microsoft si è avvalsa di alcuni contatti della Lockheed Martin per assumere delle guardie del corpo. Il responsabile del progetto afferma di aver espresso al proprio referente in Microsoft la preoccupazione che le guardie del corpo non avessero "l'occhio giusto" per il lavoro, dato il compenso relativamente basso.
Microsoft non ha risposto alle domande su questi punti.
Altri fornitori di servizi cloud non hanno specificato se anche loro si avvalgono di accompagnatrici.
Non è chiaro se anche altri importanti fornitori di servizi cloud per il governo federale utilizzino assistenti digitali nell'assistenza tecnica. Amazon Web Services e Google Cloud hanno rifiutato di rilasciare dichiarazioni ufficiali per questo articolo. Oracle non ha risposto alle richieste di commento.
