Il supporto tecnico di Microsoft potrebbe aver esposto dati del Dipartimento di Giustizia e del Tesoro a avversari stranieri — ProPublica
La scorsa settimana, Microsoft ha annunciato che non si avvarrà più di team di ingegneri con sede in Cina per supportare i sistemi di cloud computing del Dipartimento della Difesa, in seguito all'inchiesta di ProPublica su questa pratica , che secondo gli esperti di sicurezza informatica potrebbe esporre il governo ad attacchi hacker e spionaggio.
Ma a quanto pare il Pentagono non era l'unica parte del governo ad affrontare una simile minaccia. Per anni, Microsoft ha utilizzato la sua forza lavoro globale, compreso il personale con sede in Cina, per la manutenzione dei sistemi cloud di altri dipartimenti federali, tra cui alcune sezioni del Dipartimento di Giustizia, del Dipartimento del Tesoro e del Dipartimento del Commercio , come ha scoperto ProPublica.
Questo lavoro è stato svolto in quello che è noto come Government Community Cloud (GCC), destinato a informazioni non classificate ma comunque sensibili. Il Federal Risk and Authorization Management Program (FRPM), l'organizzazione governativa statunitense per l'accreditamento dei servizi cloud, ha approvato il GCC per la gestione di informazioni a impatto "moderato", ovvero "la cui perdita di riservatezza, integrità e disponibilità comporterebbe gravi conseguenze negative per le operazioni, le risorse o il personale di un'agenzia".
Secondo un rapporto del 2022, la Divisione Antitrust del Dipartimento di Giustizia ha utilizzato GCC a supporto delle sue attività di indagine e contenzioso, sia in ambito penale che civile. Anche alcune sezioni dell'Agenzia per la Protezione Ambientale e del Dipartimento dell'Istruzione hanno fatto uso di GCC.
Microsoft afferma che i suoi ingegneri stranieri che lavorano nei Paesi del Consiglio di Cooperazione del Golfo (GCC) sono supervisionati da personale statunitense noto come "accompagnatori digitali", in modo simile al sistema in vigore presso il Dipartimento della Difesa.
Tuttavia, gli esperti di sicurezza informatica hanno dichiarato a ProPublica che il sostegno straniero al GCC rappresenta un'opportunità per lo spionaggio e il sabotaggio. "C'è la convinzione errata che, se i dati governativi non sono classificati, la loro diffusione non possa causare danni", ha affermato Rex Booth, ex funzionario federale per la sicurezza informatica e ora responsabile della sicurezza delle informazioni presso l'azienda tecnologica SailPoint.
Per saperne di più
"Con così tanti dati archiviati nei servizi cloud e la potenza dell'intelligenza artificiale nell'analizzarli rapidamente, anche i dati non classificati possono rivelare informazioni che potrebbero danneggiare gli interessi degli Stati Uniti", ha affermato.
Harry Coker, ex dirigente della CIA e della National Security Agency, ha affermato che le agenzie di intelligence straniere potrebbero sfruttare le informazioni ricavate dai sistemi del GCC per "risalire la corrente" e raggiungere sistemi più sensibili o addirittura classificati. "È un'opportunità che non riesco a immaginare che un servizio di intelligence non colga", ha dichiarato.
L'Ufficio del Direttore dell'Intelligence Nazionale ha definito la Cina "la minaccia informatica più attiva e persistente per le reti del governo statunitense, del settore privato e delle infrastrutture critiche". Le leggi cinesi conferiscono ai funzionari ampi poteri di raccolta dati e, secondo gli esperti, è difficile per qualsiasi cittadino o azienda cinese opporsi in modo significativo a una richiesta diretta da parte delle forze di sicurezza o delle forze dell'ordine.
Microsoft ha declinato le richieste di intervista per questo articolo. In risposta alle domande, il colosso tecnologico ha rilasciato una dichiarazione in cui lascia intendere che interromperà l'utilizzo del supporto basato in Cina per il GCC, come ha fatto di recente per i sistemi cloud del Dipartimento della Difesa.
"La scorsa settimana Microsoft ha adottato misure per rafforzare la sicurezza delle nostre offerte cloud per il Dipartimento della Difesa. D'ora in poi, adotteremo misure simili per tutti i nostri clienti governativi che utilizzano Government Community Cloud, al fine di garantire ulteriormente la sicurezza dei loro dati", si legge nella dichiarazione. Un portavoce si è rifiutato di fornire ulteriori dettagli su tali misure.
L'azienda ha inoltre dichiarato che nel corso del prossimo mese "condurrà una revisione per valutare se siano necessarie ulteriori misure".
I dipartimenti e le agenzie federali che ProPublica ha scoperto utilizzare GCC non hanno risposto alle richieste di commento.
Le ultime rivelazioni sull'utilizzo da parte di Microsoft di personale cinese per fornire servizi al governo statunitense, e la rapida risposta dell'azienda, rischiano di alimentare una tempesta in rapida evoluzione a Washington , dove i legislatori federali e l'amministrazione Trump stanno mettendo in discussione le pratiche di cybersicurezza del gigante tecnologico e cercando di contenere le potenziali ripercussioni sulla sicurezza nazionale. "Agli ingegneri stranieri, di qualsiasi paese, inclusa ovviamente la Cina, NON dovrebbe MAI essere consentito di gestire o accedere ai sistemi del Dipartimento della Difesa", ha scritto il Segretario alla Difesa Pete Hegseth in un post su X lo scorso venerdì.
La scorsa settimana, ProPublica ha rivelato che Microsoft si affida da un decennio a lavoratori stranieri, compresi quelli con sede in Cina, per la manutenzione dei sistemi informatici del Dipartimento della Difesa, con la supervisione di "accompagnatori digitali" statunitensi. Tuttavia, abbiamo scoperto che questi accompagnatori spesso non possiedono le competenze tecniche avanzate necessarie per controllare i colleghi stranieri con capacità ben più elevate, lasciando così vulnerabili informazioni altamente sensibili. In seguito all'inchiesta, Hegseth ha avviato una revisione di questa pratica.
ProPublica ha scoperto che Microsoft ha sviluppato il sistema di scorta per soddisfare i funzionari del Dipartimento della Difesa, preoccupati per i dipendenti stranieri dell'azienda, visti i requisiti di cittadinanza imposti dal dipartimento per chi gestisce dati sensibili. Microsoft ha poi ottenuto contratti federali per il cloud computing e ha dichiarato nei suoi bilanci di ricevere "ingenti entrate da contratti governativi".
Sebbene Microsoft abbia dichiarato che interromperà l'utilizzo di supporto tecnico con sede in Cina per il Dipartimento della Difesa, si è rifiutata di rispondere a domande su cosa lo sostituirà, incluso se il supporto cloud proverrà da ingegneri con sede al di fuori degli Stati Uniti. L'azienda si è inoltre rifiutata di dire se continuerà a utilizzare gli accompagnatori digitali.
Microsoft ha confermato questa settimana a ProPublica che un accordo di scorta simile era stato utilizzato nel GCC, una dinamica che ha sorpreso alcuni ex funzionari governativi ed esperti di sicurezza informatica. "In un mondo digitale sempre più complesso, i consumatori di prodotti cloud meritano di sapere come vengono gestiti i loro dati e da chi", ha affermato Booth. "Il settore della sicurezza informatica si basa sulla trasparenza".
Microsoft ha dichiarato di aver rivelato i dettagli dell'accordo di scorta con i Paesi del Consiglio di Cooperazione del Golfo (GCC) nella documentazione presentata al governo federale nell'ambito del processo di accreditamento cloud FedRAMP. L'azienda si è rifiutata di fornire i documenti a ProPublica, citando il potenziale rischio per la sicurezza derivante dalla loro divulgazione pubblica, e si è inoltre rifiutata di specificare se la sede cinese del suo personale di supporto fosse menzionata esplicitamente nei documenti.
ProPublica ha contattato altri importanti fornitori di servizi cloud per il governo federale per chiedere se si avvalgono di supporto con sede in Cina. Un portavoce di Amazon Web Services ha dichiarato in un comunicato che "AWS non utilizza personale in Cina per supportare i contratti federali". Un portavoce di Google ha affermato in un comunicato che "Google Public Sector non dispone di un programma di scorta digitale. I suoi sistemi sensibili sono invece supportati da personale pienamente qualificato che soddisfa i requisiti del governo statunitense in termini di ubicazione, cittadinanza e autorizzazione di sicurezza". Oracle ha dichiarato di "non utilizzare alcun supporto cinese per i clienti del governo federale statunitense".
