Unclessify
Unclessify
Lingua
Il servizio "Digital Escorts" di Microsoft potrebbe esporre i dati del Dipartimento della Difesa agli hacker cinesi — ProPublica
ProPublica

Il servizio "Digital Escorts" di Microsoft potrebbe esporre i dati del Dipartimento della Difesa agli hacker cinesi — ProPublica

ProPublicaUSA2026public16/06/2026
#surveillance#defense#technology#propublica#usa#year 2026#investigation#declassified#cia

Fonte Proprietaria: ProPublicaUSA

Condividi:

Nota Legale

Questo contenuto e stato pubblicato da ProPublica. Tutti i diritti, responsabilita e accuratezza delle informazioni sono di esclusiva competenza di ProPublica. Unclessify si limita a indicizzare e rendere accessibile il contenuto declassificato.

Leggi il Disclaimer Completo →

Articolo Completo

Il reportage evidenzia il supporto tecnico cinese: Microsoft utilizza ingegneri in Cina per aiutare a mantenere i sistemi informatici del Dipartimento della Difesa — con una supervisione minima.

Il servizio "Digital Escorts" di Microsoft potrebbe esporre i dati del Dipartimento della Difesa agli hacker cinesi — ProPublica

Punti salienti del report

  • Supporto tecnico cinese: Microsoft si avvale di ingegneri in Cina per la manutenzione dei sistemi informatici del Dipartimento della Difesa, con una supervisione minima da parte del personale statunitense.
  • Lacuna di competenze: gli addetti alla sicurezza digitale spesso non possiedono le competenze tecniche necessarie per controllare ingegneri stranieri con capacità ben più avanzate, lasciando così dati altamente sensibili vulnerabili agli attacchi informatici.
  • Avvertenze ignorate: diverse persone coinvolte nel progetto hanno dichiarato a ProPublica di aver avvertito Microsoft che l'accordo era intrinsecamente rischioso, ma l'azienda lo ha comunque lanciato e ampliato.

Questi estratti sono stati scritti dai giornalisti e dai redattori che hanno lavorato a questo articolo.

Un'inchiesta di ProPublica ha rivelato che Microsoft si avvale di ingegneri in Cina per la manutenzione dei sistemi informatici del Dipartimento della Difesa, con una supervisione minima da parte del personale statunitense, lasciando così alcuni dei dati più sensibili del Paese vulnerabili agli attacchi informatici del suo principale avversario nel cyberspazio.

Questo accordo, fondamentale per l'aggiudicazione da parte di Microsoft dell'appalto federale per il cloud computing una decina di anni fa, si basa sulla presenza di cittadini statunitensi in possesso di autorizzazioni di sicurezza per supervisionare il lavoro e fungere da barriera contro lo spionaggio e il sabotaggio.

Ma questi lavoratori, noti come "accompagnatori digitali", spesso non possiedono le competenze tecniche necessarie per controllare ingegneri stranieri con capacità ben più avanzate, come ha scoperto ProPublica. Alcuni sono ex militari con poca esperienza di programmazione, pagati poco più del salario minimo per il lavoro svolto.

"Confidiamo che ciò che stanno facendo non sia dettato da cattiveria, ma in realtà non possiamo esserne certi", ha affermato una escort che ha accettato di parlare a condizione di anonimato, temendo ripercussioni professionali.

Il sistema è in funzione da quasi un decennio, sebbene la sua esistenza venga resa pubblica qui per la prima volta.

Microsoft ha dichiarato a ProPublica di aver rivelato al governo federale i dettagli relativi al modello di scorta digitale. Tuttavia, ex funzionari governativi hanno affermato in alcune interviste di non aver mai sentito parlare di scorte digitali. Il programma sembra essere così poco conosciuto che persino l'agenzia IT del Dipartimento della Difesa ha avuto difficoltà a trovare qualcuno che lo conoscesse. "Letteralmente nessuno sembra saperne nulla, quindi non so come procedere", ha dichiarato Deven King, portavoce della Defense Information Systems Agency.

Anche gli esperti di sicurezza nazionale e di cybersicurezza contattati da ProPublica si sono detti sorpresi di apprendere dell'esistenza di un simile accordo, soprattutto in un momento in cui la comunità dell'intelligence statunitense, i principali membri del Congresso e l'amministrazione Trump considerano la superiorità digitale della Cina una delle principali minacce per il Paese.

L' Ufficio del Direttore dell'Intelligence Nazionale ha definito la Cina "la minaccia informatica più attiva e persistente per le reti del governo statunitense, del settore privato e delle infrastrutture critiche". Uno degli esempi più eclatanti di questa minaccia si è verificato nel 2023, quando hacker cinesi si sono infiltrati nelle caselle di posta elettronica basate su cloud di alti funzionari del governo statunitense, rubando dati ed e-mail del Segretario al Commercio, dell'ambasciatore statunitense in Cina e di altri funzionari che si occupavano di questioni di sicurezza nazionale. Gli intrusi hanno scaricato circa 60.000 e-mail solo dal Dipartimento di Stato.

Con il presidente Donald Trump e i suoi alleati preoccupati per lo spionaggio, il Dipartimento di Stato ha annunciato a maggio l'intenzione di " revocare in modo aggressivo i visti per gli studenti cinesi", una promessa che il presidente sembra aver poi ritrattato . L'amministrazione sta anche cercando di organizzare la vendita della popolare piattaforma di social media TikTok , di proprietà di una società cinese che, secondo alcuni legislatori, potrebbe consegnare dati sensibili degli utenti statunitensi a Pechino e alimentare la disinformazione con i suoi suggerimenti di contenuti. Tuttavia, gli esperti hanno dichiarato a ProPublica che l'accompagnamento digitale rappresenta una minaccia alla sicurezza nazionale ben maggiore rispetto a entrambe queste problematiche e costituisce un'occasione ideale per le spie.

"Se fossi un agente operativo, lo considererei un'opportunità di accesso estremamente preziosa. Dobbiamo essere molto preoccupati al riguardo", ha affermato Harry Coker , ex dirigente della CIA e della National Security Agency. Coker, che è stato anche direttore nazionale per la sicurezza informatica durante l'amministrazione Biden, ha aggiunto che lui e i suoi ex colleghi della comunità dell'intelligence "avrebbero tanto voluto avere un accesso di quel tipo".

È difficile sapere se ingegneri sotto la supervisione di agenti di scorta digitali abbiano mai condotto un attacco informatico contro il governo degli Stati Uniti. Ma Coker si è chiesto se ciò "potrebbe essere in parte una spiegazione per molte delle sfide che abbiamo affrontato nel corso degli anni".

Microsoft utilizza il sistema di scorta per gestire le informazioni governative più sensibili che non rientrano nella categoria "classificata". Secondo il governo, questa categoria ad "alto livello di impatto" include "dati che riguardano la protezione della vita e la rovina finanziaria". La "perdita di riservatezza, integrità o disponibilità" di queste informazioni "potrebbe avere un effetto negativo grave o catastrofico" su operazioni, beni e individui, ha affermato il governo. Nel Dipartimento della Difesa, i dati sono classificati come "Livello di impatto" 4 e 5 e includono materiali che supportano direttamente le operazioni militari.

John Sherman, che è stato responsabile dell'ufficio informazioni del Dipartimento della Difesa durante l'amministrazione Biden, si è detto sorpreso e preoccupato per i risultati dell'inchiesta di ProPublica. "Probabilmente avrei dovuto saperlo", ha affermato. Ha poi dichiarato all'agenzia di stampa che la situazione richiede una "revisione approfondita da parte della DISA, del Cyber ​​Command e di altri soggetti coinvolti".

In una dichiarazione inviata via e-mail, la Defense Information Systems Agency ha affermato che i fornitori di servizi cloud "sono tenuti a stabilire e mantenere controlli per la verifica e l'impiego di specialisti qualificati", ma l'agenzia non ha risposto alle domande di ProPublica in merito alle qualifiche degli accompagnatori digitali.

Non è chiaro se altri fornitori di servizi cloud per il governo federale utilizzino assistenti digitali come parte del loro supporto tecnico. Amazon Web Services e Google Cloud hanno rifiutato di rilasciare dichiarazioni ufficiali per questo articolo. Oracle non ha risposto alle richieste di commento.

Microsoft ha rifiutato di mettere a disposizione i propri dirigenti per interviste per questo articolo. In risposta alle domande inviate via e-mail, l'azienda ha rilasciato una dichiarazione in cui afferma che il suo personale e i suoi collaboratori operano in modo "conforme ai requisiti e alle procedure del governo degli Stati Uniti".

Secondo la dichiarazione, i dipendenti globali "non hanno accesso diretto ai dati o ai sistemi dei clienti". Gli addetti all'assistenza "con le autorizzazioni e la formazione appropriate forniscono supporto diretto. A questo personale viene fornita una formazione specifica sulla protezione dei dati sensibili, sulla prevenzione dei danni e sull'uso dei comandi/controlli specifici all'interno dell'ambiente". Inoltre, Microsoft ha affermato di avere un processo di revisione interno noto come "Lockbox" per "assicurarsi che la richiesta sia considerata sicura o che non presenti alcun motivo di preoccupazione". Un portavoce dell'azienda ha rifiutato di fornire dettagli specifici sul suo funzionamento, ma ha affermato che è integrato nel sistema e prevede la revisione da parte di un dipendente Microsoft negli Stati Uniti.

Nel corso degli anni, diverse persone coinvolte nel progetto, tra cui un responsabile della sicurezza informatica di Microsoft, hanno avvertito l'azienda che tale accordo presenta rischi intrinseci, secondo quanto riferito a ProPublica da queste stesse persone. Nonostante la presenza di una scorta, gli ingegneri stranieri hanno accesso a dettagli minuziosi sul cloud federale, informazioni che gli hacker potrebbero sfruttare. Inoltre, le guardie del corpo statunitensi che sorvegliano questi lavoratori non sono adeguatamente attrezzate per individuare attività sospette, hanno affermato due delle fonti.

Anche coloro che hanno contribuito a sviluppare il sistema di scorta riconoscono che chi svolge il lavoro potrebbe non essere in grado di individuare i problemi.

"Se qualcuno eseguisse uno script chiamato 'fix_servers.sh' ma questo compisse effettivamente un'azione dannosa, [il sistema di scorta] non ne avrebbe la minima idea", ha dichiarato a ProPublica via e-mail Matthew Erickson, ex ingegnere Microsoft che ha lavorato al sistema di scorta. Detto questo, ha ribadito che "la portata dei sistemi che potrebbero compromettere" è limitata.

Il Dipartimento della Difesa richiede che chiunque lavori con i suoi dati più sensibili sia cittadino statunitense, cittadino di un territorio statunitense o residente permanente. "Nessun cittadino straniero può avere tale accesso", secondo i requisiti di sicurezza del cloud del dipartimento. Microsoft, tuttavia, ha una forza lavoro globale, quindi ha creato il sistema di scorta digitale come soluzione alternativa. Ecco un esempio di come funziona e del rischio che comporta:

È necessario supporto tecnico per un prodotto cloud di Microsoft.

An illustration showing an ominous view of a Microsoft cloud hovering over the Pentagon, with logos for different Microsoft products raining down onto the Pentagon.

Un ingegnere Microsoft in Cina presenta una richiesta online per poter svolgere il lavoro.

An illustration of workers in glowing red cubicles looking at code on their computers.

Un accompagnatore residente negli Stati Uniti ritira il biglietto.

An illustration of a worker seated in front of a glowing blue computer monitor with code on the screen.

L'ingegnere e l'accompagnatore si incontrano sulla piattaforma di videoconferenza Microsoft Teams.

A split-screen illustration showing, on the left, a red computer monitor illuminating a worker looking at the screen with the Beijing skyline in the background. On the right is a blue computer monitor illuminating a worker looking at the screen with the Washington, D.C., skyline in the background.

L'ingegnere invia comandi informatici alla scorta statunitense, offrendo l'opportunità di inserire codice dannoso.

An illustration showing hands typing on a computer keyboard, bathed in red light, with mysterious code overlaid.

La scorta, che potrebbe non possedere competenze tecniche avanzate, inserisce i comandi nel sistema cloud federale.

An illustration showing the Microsoft cloud illuminated in red with red code raining ominously down onto the Pentagon. The windows in the Pentagon are lit up in red.
Illustrations for ProPublica

Il Dipartimento della Difesa richiede che chiunque lavori con i suoi dati più sensibili sia cittadino statunitense, cittadino di un territorio statunitense o residente permanente. "Nessun cittadino straniero può avere tale accesso", secondo i requisiti di sicurezza del cloud del dipartimento. Microsoft, tuttavia, ha una forza lavoro globale, quindi ha creato il sistema di scorta digitale come soluzione alternativa. Ecco un esempio di come funziona e del rischio che comporta:

È necessario supporto tecnico per un prodotto cloud di Microsoft.

An illustration showing an ominous view of a Microsoft cloud hovering over the Pentagon, with logos for different Microsoft products raining down onto the Pentagon.

Un ingegnere Microsoft in Cina presenta una richiesta online per poter svolgere il lavoro.

An illustration of workers in glowing red cubicles looking at code on their computers.

Un accompagnatore residente negli Stati Uniti ritira il biglietto.

An illustration of a worker seated in front of a glowing blue computer monitor with code on the screen.

L'ingegnere e l'accompagnatore si incontrano sulla piattaforma di videoconferenza Microsoft Teams.

A split-screen illustration showing, on the left, a red computer monitor illuminating a worker looking at the screen with the Beijing skyline in the background. On the right is a blue computer monitor illuminating a worker looking at the screen with the Washington, D.C., skyline in the background.

L'ingegnere invia comandi informatici alla scorta statunitense, offrendo l'opportunità di inserire codice dannoso.

An illustration showing hands typing on a computer keyboard, bathed in red light, with mysterious code overlaid.

La scorta, che potrebbe non possedere competenze tecniche avanzate, inserisce i comandi nel sistema cloud federale.

An illustration showing the Microsoft cloud illuminated in red with red code raining ominously down onto the Pentagon. The windows in the Pentagon are lit up in red.

A gennaio, una società appaltatrice di Microsoft chiamata Insight Global ha pubblicato un annuncio in cui si cercava una scorta per accompagnare ingegneri sprovvisti di autorizzazioni di sicurezza "nell'ambiente protetto" del governo federale e per "proteggere informazioni riservate e sicure da fughe di dati", un termine tecnico del settore per indicare una perdita di dati. La paga iniziale era di 18 dollari l'ora.

Sebbene l'annuncio specificasse che determinate competenze tecniche fossero "altamente preferite" e "un vantaggio", il requisito principale era il possesso di un'autorizzazione di sicurezza di livello "segreto" valida, rilasciata dal Dipartimento della Difesa.

"Queste persone ottengono questi lavori perché hanno le autorizzazioni necessarie, non perché sono ingegneri informatici", ha affermato l'accompagnatore che ha accettato di parlare in forma anonima e che lavora per Insight Global.

Ogni mese, il team di scorta dell'azienda, composto da circa 50 persone, gestisce centinaia di interazioni con ingegneri e sviluppatori di Microsoft con sede in Cina, inserendo i comandi di questi lavoratori nelle reti federali, ha affermato il dipendente.

In una dichiarazione rilasciata a ProPublica, Insight Global ha affermato di "valutare le capacità tecniche di ogni risorsa durante l'intero processo di selezione per garantire che possiedano le competenze tecniche richieste" per il lavoro e di fornire loro la formazione necessaria. L'azienda ha inoltre precisato che gli accompagnatori ricevono una formazione aggiuntiva in materia di sicurezza informatica e "consapevolezza delle minacce interne" nell'ambito del processo di autorizzazione di sicurezza governativa.

"Sebbene per ricoprire questo ruolo possa essere richiesto un nulla osta di sicurezza, esso rappresenta solo un tassello del puzzle", ha affermato l'azienda.

Microsoft non ha risposto alle domande relative a Insight Global.

“Il percorso di minor resistenza”

Quando, negli anni 2000, è emersa la moderna tecnologia cloud, offrendo potenza di calcolo e archiviazione dati su richiesta tramite internet, ha introdotto cambiamenti fondamentali nelle operazioni del governo federale.

Per decenni, i dipartimenti federali hanno utilizzato server informatici di proprietà e gestiti dal governo stesso per archiviare dati e alimentare le reti. Il passaggio al cloud ha comportato lo spostamento di tali attività in enormi data center esterni gestiti da aziende tecnologiche.

I funzionari federali credevano che il cloud avrebbe fornito maggiore potenza, efficienza e risparmi sui costi. Ma la transizione significava anche che il governo avrebbe ceduto parte del controllo su chi gestiva e accedeva alle sue informazioni a società come Microsoft, i cui dipendenti avrebbero assunto compiti precedentemente svolti dai tecnici informatici federali.

Per affrontare i rischi di questa rivoluzione, nel 2011 il governo ha avviato il Federal Risk and Authorization Management Program , noto come FedRAMP. Nell'ambito di questo programma, le aziende che desideravano vendere i propri servizi cloud al governo dovevano stabilire come avrebbero garantito che il personale che lavorava con dati federali sensibili avesse le necessarie "autorizzazioni di accesso" e fosse sottoposto a controlli sui precedenti. Oltre a ciò, il Dipartimento della Difesa aveva le proprie linee guida per il cloud, che richiedevano che le persone che gestivano dati sensibili fossero cittadini statunitensi o residenti permanenti.

Questo rappresentava un problema per Microsoft, data la sua dipendenza da una vasta forza lavoro globale, con importanti attività in India, Cina e Unione Europea. Pertanto, l'azienda si rivolse a un responsabile di programma senior di nome Indy Crowley per rassicurare i funzionari federali. Noto per la sua familiarità con le normative e la sua capacità di comunicare nel gergo governativo ricco di acronimi, i colleghi lo soprannominarono "l'esperto di FedRAMP".

In un'intervista a ProPublica, Crowley ha dichiarato di essersi rivolto direttamente ai vertici di FedRAMP, sostenendo che il rischio relativo derivante dalla forza lavoro globale di Microsoft fosse minimo. Per avvalorare la sua tesi, ha raccontato di aver incalzato un funzionario di FedRAMP sulla provenienza del codice sorgente dei prodotti forniti da altri fornitori governativi, come IBM. Il funzionario, ha affermato Crowley, non è stato in grado di affermare con certezza che solo cittadini statunitensi avessero lavorato al prodotto in questione. Secondo Crowley, il cloud non dovrebbe essere trattato in modo diverso.

Crowley ha affermato di aver incontrato anche potenziali clienti in diverse agenzie governative e ha dichiarato a ProPublica che il Dipartimento della Difesa era "quello che avanzava le richieste più pressanti". Preoccupati per la forza lavoro globale dell'azienda, i funzionari gli hanno chiesto chi di Microsoft si sarebbe occupato "dietro le quinte" del cloud. Visti i requisiti di cittadinanza del dipartimento, i funzionari hanno sollevato la possibilità che Microsoft "assuma direttamente un gruppo di cittadini statunitensi per la manutenzione del cloud federale", ha riferito Crowley a ProPublica. Per Microsoft, la proposta era inaccettabile, ha spiegato Crowley, perché l'aumento dei costi del lavoro per un'implementazione su larga scala renderebbe la transizione al cloud proibitivamente costosa per il governo.

"Si tratta sempre di trovare un equilibrio tra costi, impegno e competenze", ha dichiarato a ProPublica. "Quindi bisogna trovare la soluzione più adatta". Assumere accompagnatori virtuali per supervisionare la forza lavoro estera di Microsoft si è rivelata "la strada più semplice", ha affermato Crowley.

Microsoft non ha risposto alle domande di ProPublica in merito alla versione dei fatti di Crowley.

Quando presentò l'idea a Microsoft, i colleghi ebbero reazioni contrastanti. Tom Keane, all'epoca vicepresidente aziendale per la piattaforma cloud di Microsoft, Azure, accolse con favore l'idea, secondo un ex dipendente coinvolto nelle discussioni, poiché avrebbe permesso all'azienda di espandersi. Ma lo stesso ex dipendente, che si occupava di strategia di sicurezza informatica, ha dichiarato a ProPublica che si opponevano all'idea, considerandola troppo rischiosa dal punto di vista della sicurezza. Sia Keane che Crowley minimizzarono le preoccupazioni, ha affermato l'ex dipendente, che lasciò l'azienda prima che il concetto di scorta venisse implementato.

"Le persone che ostacolavano l'espansione non sono rimaste", ha dichiarato l'ex dipendente a ProPublica.

Crowley ha dichiarato di non ricordare la discussione. Keane non ha risposto alle richieste di commento.

Nel suo percorso per diventare una delle aziende più preziose al mondo, Microsoft ha ripetutamente anteposto il profitto aziendale alla sicurezza dei clienti, come ha scoperto ProPublica. L'anno scorso, l'organizzazione giornalistica ha riportato che il colosso tecnologico ha ignorato uno dei suoi ingegneri quando questi ha ripetutamente avvertito che una falla in un prodotto esponeva il governo degli Stati Uniti; hacker russi sponsorizzati dallo stato hanno poi sfruttato tale vulnerabilità in uno dei più grandi attacchi informatici della storia. Microsoft ha difeso la sua decisione di non risolvere il problema, affermando di aver ricevuto "diverse revisioni" e che l'azienda valuta una varietà di fattori quando prende decisioni in materia di sicurezza.

Una carenza di competenze fin dall'inizio

L'idea di una scorta non era nuova. Il National Institute of Standards and Technology , l'ente federale preposto alla definizione degli standard, aveva già stabilito delle raccomandazioni su come eseguire la manutenzione IT in loco, ad esempio in un ufficio governativo ad accesso limitato. Le linee guida stabiliscono che "il personale addetto alla manutenzione che non possiede le autorizzazioni di sicurezza appropriate o non è cittadino statunitense" deve essere scortato e supervisionato da "personale organizzativo autorizzato, in possesso di tutte le autorizzazioni necessarie, con le opportune autorizzazioni di accesso e con le qualifiche tecniche adeguate".

All'epoca, il governo specificò l'intento della raccomandazione: negare "agli individui privi delle necessarie autorizzazioni di sicurezza... o che non sono cittadini statunitensi, l'accesso visivo ed elettronico" alle informazioni governative sensibili.

Ma gli accompagnatori nel cloud non sarebbero necessariamente in grado di raggiungere tale obiettivo, dato il divario di competenze tecniche tra loro e le controparti Microsoft da cui riceverebbero istruzioni.

Tuttavia, quello squilibrio era intrinseco al modello di scorta.

Erickson, l'ex ingegnere Microsoft che ha lavorato al modello, ha dichiarato a ProPublica che gli addetti alla sicurezza sono "in qualche modo tecnicamente competenti", ma principalmente "servono solo a garantire che i dipendenti non visualizzino accidentalmente o intenzionalmente" password, dati dei clienti o informazioni di identificazione personale. "Se ci sono problemi con i servizi cloud sottostanti, solo le persone che lavorano su quei servizi in Microsoft avrebbero le conoscenze necessarie per risolverli", ha affermato.

Per Erickson, le minacce avanzate provenienti da avversari stranieri non erano all'ordine del giorno, e affermò di non avere "alcun motivo per sospettare di qualcuno più di quanto non fosse in base al suo paese d'origine".

"Non credo che ci siano minacce aggiuntive da parte dei dipendenti Microsoft che lavorano in altri Paesi", ha affermato.

An illustration showing a worker in a room full of computer monitors with bright blue warning symbols on the screens. The worker is seated in front of one larger blue monitor displaying a world map with various points on the map highlighted.
Illustrazione di Andrea Wise/ProPublica. Immagini di origine: Bevan Goldswain/Getty Images, kontekbrothers/Getty Images, amgun/Getty Images.
An illustration showing a worker in a room full of computer monitors with bright blue warning symbols on the screens. The worker is seated in front of one larger blue monitor displaying a world map with various points on the map highlighted.

Pradeep Nair, ex vicepresidente di Microsoft che ha dichiarato di aver contribuito allo sviluppo del concetto fin dall'inizio, ha affermato che la strategia di scorta digitale ha permesso all'azienda di "entrare più velocemente sul mercato", posizionandola in modo da aggiudicarsi importanti contratti federali per il cloud. Ha spiegato che gli addetti alla scorta "completano una formazione specifica per il ruolo prima di accedere a qualsiasi sistema di produzione" e che una serie di misure di sicurezza, tra cui i registri di controllo, ovvero la traccia digitale dell'attività di sistema, possono avvisare Microsoft o il governo di potenziali problemi.

"Grazie alla rigorosità di questi controlli, il rischio residuo è minimo", ha affermato Nair.

Ma esperti legali e di sicurezza informatica affermano che tali presupposti ignoravano l'enorme minaccia informatica proveniente in particolare dalla Cina. Proprio nel periodo in cui Microsoft stava sviluppando la sua strategia di scorta, un attacco attribuito a hacker sponsorizzati dallo stato cinese ha provocato la più grande violazione di dati del governo statunitense fino a quel momento. Il furto inizialmente aveva come obiettivo un appaltatore governativo e alla fine ha compromesso le informazioni personali di oltre 22 milioni di persone , la maggior parte delle quali richiedenti autorizzazioni di sicurezza federali.

Le leggi cinesi consentono ai funzionari governativi di raccogliere dati "a condizione che stiano svolgendo attività considerate legittime", ha affermato Jeremy Daum, ricercatore senior presso il Paul Tsai China Center della Yale Law School. Il supporto tecnologico che Microsoft fornisce al governo statunitense in Cina rappresenta un'opportunità di spionaggio, "che si tratti di inserire in uno di questi incarichi un professionista dell'intelligence o di estorcere informazioni direttamente a chi già ricopre tali posizioni", ha spiegato Daum. "Sarebbe difficile per qualsiasi cittadino o azienda cinese opporsi in modo significativo a una richiesta diretta da parte delle forze di sicurezza o delle forze dell'ordine".

Erickson ha riconosciuto che la presenza di una scorta non impedisce agli sviluppatori stranieri "di fare cose 'cattive'. Permette semplicemente di avere una registrazione e un testimone". Ha aggiunto che se la scorta sospetta attività illecite, interromperà la sessione e redigerà un rapporto sull'incidente per ulteriori indagini.

Non è chiaro in che misura i funzionari federali abbiano compreso queste informazioni.

Un portavoce di Microsoft ha dichiarato che l'azienda ha descritto il modello di scorta digitale nei documenti presentati al governo nell'ambito delle procedure di autorizzazione per i fornitori di servizi cloud. Tuttavia, si è rifiutata di fornire tali documenti o di rivelare a ProPublica il linguaggio esatto utilizzato per descrivere l'accordo di scorta, adducendo il potenziale rischio per la sicurezza derivante dalla sua divulgazione pubblica.

Oltre a un revisore esterno, la documentazione di Microsoft sarebbe stata teoricamente esaminata da diverse agenzie governative, tra cui FedRAMP e DISA. La DISA ha dichiarato che i materiali "non sono divulgabili al pubblico". La General Services Administration, che ospita FedRAMP, non ha risposto alle richieste di commento.

Chi ha gli "occhi giusti" per il lavoro?

Nel giugno 2016, Microsoft ha annunciato di aver ottenuto l'autorizzazione FedRAMP per lavorare con alcuni dei dati più sensibili del governo. Matt Goodrich, all'epoca direttore di FedRAMP, ha dichiarato che l'accreditamento era "una testimonianza della capacità di Microsoft di soddisfare i rigorosi requisiti di sicurezza del governo".

Nello stesso periodo, Microsoft ha messo in pratica il concetto di scorta, coinvolgendo contatti del colosso della difesa Lockheed Martin per assumere addetti alla scorta nel cloud, secondo quanto riferito a ProPublica da due persone coinvolte nel contratto.

Un responsabile di progetto, che ha chiesto di rimanere anonimo per poter descrivere discussioni riservate, ha dichiarato a ProPublica di essere stato scettico fin dall'inizio riguardo al sistema di scorta e di aver espresso tali perplessità al suo omologo in Microsoft. Il responsabile era particolarmente preoccupato che i nuovi assunti non avessero la "giusta capacità di analisi" necessaria per il lavoro, dato il salario relativamente basso offerto da Microsoft, ma il sistema è stato comunque implementato.

Lockheed Martin ha rimandato le domande a Leidos, società che ha rilevato la divisione IT di Lockheed in seguito alla fusione del 2016. Leidos ha rifiutato di commentare.

Man mano che Microsoft si aggiudicava un numero maggiore di appalti governativi, l'azienda si è rivolta a ulteriori subappaltatori, in genere agenzie di reclutamento, per assumere un numero maggiore di addetti alla sicurezza digitale.

Analizzando i profili su LinkedIn, ProPublica ha identificato almeno due aziende di questo tipo: Insight Global e ASM Research, la cui società madre è il colosso della consulenza Accenture. Sebbene la portata degli affari di ciascuna azienda con Microsoft non sia chiara, ProPublica ha riscontrato un numero maggiore di dipendenti che si identificano come "accompagnatori digitali" presso Insight Global, molti dei quali ex militari, rispetto ad ASM. ASM e Accenture non hanno risposto alle richieste di commento.

Preoccupazioni riguardanti la Cina

Alcuni dipendenti di Insight Global hanno riscontrato lo stesso problema dell'ex manager di Lockheed: una discrepanza di competenze tra gli addetti alla scorta statunitensi e gli ingegneri Microsoft che supervisionano. Gli ingegneri potrebbero descrivere brevemente il lavoro da svolgere, ad esempio aggiornare un firewall, installare un aggiornamento per correggere un bug o esaminare i log per risolvere un problema. Quindi, con un controllo limitato, l'addetto alla scorta copia e incolla i comandi dell'ingegnere nel cloud federale.

"Stanno dando istruzioni molto tecniche a persone non esperte", ha affermato l'attuale addetto alla sicurezza di Insight Global, aggiungendo che questa situazione offre innumerevoli opportunità di hacking. Ad esempio, ha spiegato che un ingegnere potrebbe installare un aggiornamento che permetta a un estraneo di accedere alla rete.

"Verranno scoperti? Assolutamente sì", ha detto la scorta a ProPublica. "Verranno scoperti prima che si verifichino danni? Non ne ho idea."

La scorta era particolarmente preoccupata per le decine di multe presentate ogni settimana dai lavoratori con sede in Cina. L'attacco informatico contro funzionari federali nel 2023, in cui hacker cinesi rubarono 60.000 email, ha accentuato tale timore.

Il Cyber ​​Safety Review Board (CSRB), l'organismo federale che ha indagato sull'attacco, ha attribuito a Microsoft la responsabilità delle falle di sicurezza che hanno permesso agli hacker di penetrare nel sistema. Il suo rapporto pubblicato non menzionava le scorte digitali, né come elemento coinvolto nell'attacco né come rischio da mitigare. Sherman, ex responsabile informatico del Dipartimento della Difesa, e Coker, ex funzionario dell'intelligence, entrambi membri del CSRB, hanno dichiarato a ProPublica di non ricordare che il comitato avesse mai discusso di scorte digitali, che ora considerano una grave minaccia. L'amministrazione Trump ha successivamente sciolto il CSRB.

Nella sua dichiarazione, Microsoft ha affermato di aspettarsi che gli addetti alla scorta "svolgano una varietà di compiti tecnici", descritti nei contratti con i fornitori. Insight Global ha dichiarato di valutare i potenziali candidati per assicurarsi che possiedano tali competenze e di formare i nuovi dipendenti su "tutte le politiche di sicurezza e conformità applicabili fornite da Microsoft".

Ma un dipendente di Insight Global ha dichiarato a ProPublica che il programma di formazione non è minimamente sufficiente a colmare il divario di conoscenze. Inoltre, per gli accompagnatori è difficile acquisire esperienza sul campo perché la tipologia di lavoro che svolgono è molto varia. "Non è possibile ricevere una formazione adeguata su tutta la vasta gamma di aspetti da considerare", ha affermato.

La persona che fungeva da scorta ha affermato di aver ripetutamente sollevato le proprie preoccupazioni in merito alla lacuna di conoscenze con Microsoft, nel corso di diversi anni e fino ad aprile, e con gli avvocati di Insight Global. Ha dichiarato che la relativa inesperienza delle scorte digitali, unita alle leggi cinesi che concedono ai funzionari del paese ampi poteri di raccolta dati, ha reso le reti del governo statunitense eccessivamente esposte. Microsoft ha ripetutamente ringraziato la persona che ha fornito la scorta per aver sollevato la questione, mentre Insight Global ha affermato che ne avrebbe tenuto conto, ha riferito la persona stessa. Non è chiaro se Microsoft o Insight Global abbiano intrapreso azioni per affrontare il problema; nessuna delle due società ha risposto alle domande sulla versione dei fatti fornita dalla scorta.

Nella sua dichiarazione, Microsoft ha affermato di incontrarsi regolarmente con i suoi appaltatori "per discutere delle operazioni e far emergere domande o preoccupazioni". L'azienda ha inoltre sottolineato di disporre di ulteriori livelli di "controlli di sicurezza e monitoraggio", tra cui "revisioni automatizzate del codice per rilevare e prevenire rapidamente l'introduzione di vulnerabilità".

"Microsoft presume che chiunque abbia accesso ai sistemi di produzione, indipendentemente dalla posizione o dal ruolo, possa rappresentare un rischio per il sistema, intenzionalmente o meno", ha affermato l'azienda nel suo comunicato.

Un altro avvertimento, un rischio crescente

L'anno scorso, circa tre mesi dopo la pubblicazione del rapporto degli investigatori governativi sull'attacco informatico del 2023 alle email dei funzionari statunitensi, un ex collaboratore di Insight Global di nome Tom Schiller ha contattato una hotline del Dipartimento della Difesa e ha scritto a diversi legislatori federali per metterli in guardia sul sistema di scorta digitale. Aveva familiarizzato con il sistema durante un breve periodo di lavoro presso l'azienda come sviluppatore di software. A luglio dello scorso anno, le denunce di Schiller sono arrivate all'Ufficio dell'Ispettore Generale della Defense Information Systems Agency. Schiller ha dichiarato a ProPublica che l'ufficio ha condotto un interrogatorio sotto giuramento con lui e, separatamente, con altre tre persone collegate a Insight Global. Ad agosto, l'ispettore generale ha scritto a Schiller per comunicargli l'archiviazione del caso.

"Abbiamo condotto un'analisi preliminare del reclamo e abbiamo stabilito che la questione non rientra nelle competenze dell'ispettorato generale della DISA e deve essere affrontata dalla dirigenza della DISA competente", ha dichiarato l'ispettore generale aggiunto per le indagini nella lettera. "Abbiamo trasmesso le informazioni da lei fornite alla dirigenza."

Un portavoce dell'ispettore generale, il cui ufficio dovrebbe operare in modo indipendente per indagare su potenziali sprechi, frodi e abusi, ha dichiarato a ProPublica di non essere autorizzato a parlare della questione e ha indirizzato le domande all'ufficio stampa della DISA.

"Se l'ufficio stampa mi contatta e desidera collaborare per formulare una risposta tramite il loro ufficio, sarò più che felice di farlo", ha affermato il portavoce. "Tuttavia, non risponderò ad alcuna richiesta dei media riguardante le attività dell'OIG senza prima aver parlato con l'ufficio stampa."

L'ufficio stampa della DISA non ha risposto alle domande in merito. Dopo che un portavoce aveva inizialmente affermato di non essere riuscito a trovare nessuno che avesse mai sentito parlare del concetto di scorta, l'agenzia ha successivamente riconosciuto, in una dichiarazione a ProPublica, che le scorte vengono utilizzate "in ambienti non classificati selezionati" presso il Dipartimento della Difesa per "la diagnosi e la risoluzione avanzata dei problemi da parte di esperti del settore". Facendo eco alla dichiarazione di Microsoft, ha proseguito: "Gli esperti sotto la supervisione di una scorta non hanno accesso diretto e pratico ai sistemi governativi, ma offrono piuttosto indicazioni e raccomandazioni agli amministratori autorizzati che svolgono i compiti".

Non è chiaro se e quali discussioni, se ce ne sono state, abbiano avuto luogo tra Microsoft, Insight Global e DISA, o qualsiasi altra agenzia governativa, in merito alle scorte digitali.

Ma David Mihelcic, ex responsabile tecnologico della DISA, ha affermato che qualsiasi visibilità sulla rete del Dipartimento della Difesa rappresenta un "rischio enorme".

"Qui hai una persona di cui non ti fidi affatto perché probabilmente fa parte dei servizi segreti cinesi, e l'altra persona non è realmente competente", ha detto.

Il rischio potrebbe aggravarsi di giorno in giorno, con il peggioramento delle relazioni tra Stati Uniti e Cina in un contesto di crescente guerra commerciale, un tipo di conflitto che, secondo gli esperti, potrebbe sfociare in ritorsioni informatiche da parte della Cina.

Nel corso di una testimonianza davanti a una commissione del Senato a maggio, il presidente di Microsoft, Brad Smith, ha affermato che l'azienda sta continuamente "allontanando i cinesi dalle agenzie". Non ha fornito ulteriori dettagli su come ciò sia avvenuto e Microsoft non ha risposto alle domande successive in merito a tale affermazione.

Contenuti correlati

Commenti (0)