Министерство обороны ужесточило требования к кибербезопасности для своих поставщиков облачных сервисов. Изменения произошли после того, как издание ProPublica опубликовало данные о том, как использование Microsoft китайских инженеров сделало конфиденциальные правительственные данные уязвимыми для взлома.
автор: Рене Дадли
Министерство обороны ужесточило требования по кибербезопасности для технологических компаний, продающих Пентагону услуги облачных вычислений. Обновления, выпущенные в этом месяце, запрещают поставщикам ИТ-услуг использовать китайский персонал для работы с компьютерными системами департаментов и обязывают компании вести цифровой учет технического обслуживания, выполненного иностранными инженерами.
Фон
Изменения произошли после расследования ProPublica, которое выявило, что Microsoft на протяжении почти десятилетия использовала китайских инженеров для обслуживания правительственных компьютерных систем — практика, из-за которой некоторые из самых конфиденциальных данных страны оказались уязвимыми для взлома со стороны ее ведущего киберпротивника.
Руководители из США, известные как «цифровые эскорты», должны были осуществлять контроль за этими иностранными сотрудниками, но мы обнаружили, что им часто не хватало опыта, необходимого для эффективного руководства инженерами с гораздо более продвинутыми техническими навыками.
Что они сказали
Министерство обороны теперь заявляет в своем « Руководстве по требованиям безопасности », что работать с его облачными системами может только «персонал из неконкурентных стран», а сопровождающие, контролирующие этих иностранных работников, «должны иметь техническую квалификацию в области кода/системы или технологии, к которой они предоставляют доступ».
Кроме того, поставщики облачных услуг обязаны вести подробные журналы аудита — цифровой след действий в компьютерных системах. Журналы «должны включать идентификацию сопровождающего и сопровождаемого», включая страну происхождения, а также сведения о выполненных командах и изменённых настройках.
Почему это важно
До наших репортажей высшие должностные лица Пентагона заявляли, что им не было известно о системе цифрового сопровождения Microsoft, которую компания разработала в качестве обходного пути для соблюдения требования Министерства обороны о том, чтобы лица, обрабатывающие конфиденциальные данные, были гражданами США или имели статус постоянного жителя.
Эксперты по кибербезопасности и разведке заявили ProPublica, что эта сделка представляет серьёзную угрозу национальной безопасности, учитывая, что китайское законодательство предоставляет чиновникам страны широкие полномочия по сбору данных. Ведущие члены Конгресса, в свою очередь, призвали Министерство обороны ужесточить требования безопасности, одновременно раскритиковав Microsoft за то, что некоторые республиканцы назвали «национальным предательством». В настоящее время Пентагон проводит расследование программы цифрового сопровождения , уделяя особое внимание инженерам Microsoft, работающим в Китае.
Ответ
После публикации ProPublica компания Microsoft в июле объявила о прекращении использования китайских инженеров для обслуживания облачных систем Министерства обороны. В заявлении для этой статьи представитель компании заявил, что компания намерена внедрить новые требования министерства.
«Наша приверженность национальной безопасности основополагающая, и мы по-прежнему сосредоточены на предоставлении правительству США максимально безопасных услуг», — заявил представитель. «Недавно мы внесли изменения в модель поддержки нашего министерства и продолжим работать с нашими партнёрами по национальной безопасности над оценкой и корректировкой наших протоколов безопасности в свете новых директив».
ProPublica — некоммерческая новостная служба, которая расследует злоупотребления властью. Подпишитесь, чтобы получать наши самые важные материалы сразу после их публикации.