Один из продуктов Microsoft получил одобрение, несмотря на многолетние опасения по поводу его безопасности.
Источник: Getty Images Источник: Getty Images Настройки текстаТекст рассказа Размер Маленький Стандартный Большой Ширина * Стандартный Широкий Ссылки Стандартный Оранжевый * Только для подписчиков
Узнать больше Свернуть в навигацию
В конце 2024 года федеральные эксперты по кибербезопасности вынесли тревожный вердикт по одному из крупнейших предложений Microsoft в области облачных вычислений.
Согласно внутреннему правительственному отчету, с которым ознакомилось издание ProPublica, «отсутствие надлежащей подробной документации по безопасности» технологического гиганта привело к тому, что у экспертов возникло «неуверенность в оценке общего уровня безопасности системы».
Или, как выразился один из членов команды: «Посылка — это куча дерьма».
Как отмечали эксперты, на протяжении многих лет Microsoft пыталась, но безуспешно, объяснить, как она защищает конфиденциальную информацию в облаке, когда она передается с сервера на сервер по цифровой сети. Учитывая это и другие неизвестные факторы, правительственные эксперты не могли ручаться за безопасность этой технологии.
Подобные решения были бы губительными для любой компании, стремящейся продавать свою продукцию правительству США, но для Microsoft они должны были оказаться особенно разрушительными. Продукция этого технологического гиганта оказалась в центре двух крупных кибератак против США за три года. В одной из них российские хакеры воспользовались уязвимостью, чтобы украсть конфиденциальные данные из ряда федеральных ведомств, включая Национальное управление ядерной безопасности. В другой атаке китайские хакеры проникли в электронные почтовые ящики члена кабинета министров и других высокопоставленных правительственных чиновников.
Федеральное правительство может оказаться в еще более уязвимом положении, если не сможет подтвердить кибербезопасность Microsoft Government Community Cloud High — набора облачных сервисов, предназначенных для защиты наиболее конфиденциальной информации страны.
Тем не менее, в крайне необычном шаге, последствия которого до сих пор ощущаются в Вашингтоне, Федеральная программа управления рисками и авторизации (FedRAMP) все же одобрила продукт, фактически присвоив ему знак качества в области кибербезопасности от федерального правительства. Решение FedRAMP, которое включало в себя своего рода предупреждение для любого федерального агентства, рассматривающего GCC High, помогло Microsoft расширить свою империю государственного бизнеса, оцениваемую в миллиарды долларов.
«БУМ ШАКА ЛАКА», — похвастался Ричард Уэйкман, один из главных архитекторов безопасности компании, на онлайн-форуме, отмечая это событие мемом с Леонардо Ди Каприо в фильме «Волк с Уолл-стрит». Уэйкман не ответил на запросы о комментариях.
Это был совсем не тот результат, который федеральные политики предполагали полтора десятилетия назад, когда они поддержали облачную революцию и создали FedRAMP для защиты кибербезопасности правительства. Многоуровневая система проверки программы, включавшая оценку внешних экспертов, должна была гарантировать, что поставщикам услуг, таким как Microsoft, можно доверять государственные секреты. Но расследование ProPublica, основанное на внутренних служебных записках FedRAMP, журналах, электронных письмах, протоколах совещаний и интервью с семью бывшими и нынешними государственными служащими и подрядчиками, выявило сбои на каждом этапе этого процесса. Оно также обнаружило поразительное почтение к Microsoft, даже несмотря на то, что продукты и методы работы компании были центральными элементами двух самых разрушительных кибератак, когда-либо совершенных против правительства.
FedRAMP впервые подняла вопросы о безопасности GCC High в 2020 году и попросила Microsoft предоставить подробные схемы, объясняющие методы шифрования. Но когда компания предоставила информацию, которую FedRAMP с трудом и с перерывами сочла неполной, представители программы не отклонили заявку Microsoft. Вместо этого они неоднократно сдерживали свои заявления и позволили проверке затянуться почти на пять лет. И поскольку федеральным агентствам было разрешено использовать продукт во время проверки, GCC High распространился как в правительстве, так и в оборонной промышленности. К концу 2024 года эксперты FedRAMP пришли к выводу, что у них практически не было выбора, кроме как разрешить использование технологии — не потому, что на их вопросы были даны ответы или проверка была завершена, а в основном на том основании, что продукт Microsoft уже использовался в Вашингтоне.
Сегодня ключевые подразделения федерального правительства, включая министерства юстиции и энергетики, а также оборонный сектор, полагаются на эту технологию для защиты крайне конфиденциальной информации, утечка которой, как заявило правительство, «может иметь серьезные или катастрофические негативные последствия» для операций, активов и отдельных лиц.
«Это не самая приятная история с точки зрения безопасности США», — сказал Тони Сейджер, который более тридцати лет проработал специалистом по информатике в Агентстве национальной безопасности, а сейчас является руководителем некоммерческого Центра интернет-безопасности.
По словам Сагера, на протяжении многих лет процесс FedRAMP приравнивался к реальной безопасности. Однако, как он отметил, выводы ProPublica разрушают этот фасад.
«Это не обеспечение безопасности, — сказал он. — Это показуха в сфере безопасности».
ProPublica впервые раскрывает опасения правительства по поводу этого популярного продукта. Мы также сообщаем о многолетней неспособности Microsoft предоставить документацию и доказательства по шифрованию, которые запрашивали федеральные эксперты.
Эти разоблачения появились на фоне усиления контроля со стороны Министерства юстиции за государственными подрядчиками в сфере технологий. В декабре министерство объявило о предъявлении обвинения бывшей сотруднице Accenture, которая, предположительно, ввела в заблуждение федеральные агентства относительно безопасности облачной платформы компании и ее соответствия стандартам FedRAMP. Она не признала себя виновной. Компания Accenture, которой не были предъявлены обвинения, заявила, что «заблаговременно довела этот вопрос до сведения правительства» и что она «привержена работе в соответствии с высочайшими этическими стандартами».
Компания Microsoft также столкнулась с вопросами относительно раскрытия информации правительству. Как сообщало издание ProPublica в прошлом году, компания не уведомила Министерство обороны об использовании инженеров из Китая для обслуживания государственных облачных систем, несмотря на правила Пентагона, которые гласят, что «никаким иностранным лицам не разрешается» получать доступ к наиболее конфиденциальным данным. Министерство проводит расследование этой практики, которая, по словам чиновников, могла поставить под угрозу национальную безопасность.
Microsoft защищала свою программу, утверждая, что она «тщательно контролируется и дополняется многоуровневыми мерами безопасности», но после публикации статьи ProPublica в июле прошлого года компания объявила о прекращении использования инженеров из Китая для работы в Министерстве обороны.
В ответ на письменные вопросы для этой статьи и в интервью Microsoft признала многолетнее противостояние с FedRAMP, но также заявила, что предоставила «исчерпывающую документацию» на протяжении всего процесса проверки и «исправила выявленные недостатки, где это было возможно».
«Мы подтверждаем надежность нашей продукции и всесторонние меры, предпринятые нами для обеспечения соответствия всех продуктов, авторизованных FedRAMP, требованиям безопасности и соответствия нормативным требованиям», — говорится в заявлении представителя компании, добавив, что компания «продолжит сотрудничать с FedRAMP для постоянного анализа и оценки наших услуг на предмет соответствия требованиям».
Однако, как выяснило издание ProPublica, в настоящее время в FedRAMP осталось не так много людей, с которыми можно было бы сотрудничать.
Программа стала одной из первых целей Министерства эффективности государственного управления администрации Трампа, которое сократило ее штат и бюджет. Даже FedRAMP признает, что работает «с абсолютным минимумом вспомогательного персонала» и «ограниченным обслуживанием клиентов». Примерно два десятка оставшихся сотрудников «полностью сосредоточены» на предоставлении разрешений в рекордно короткие сроки, как заявил директор FedRAMP. Сегодня ее годовой бюджет составляет всего 10 миллионов долларов, что является самым низким показателем за десятилетие, несмотря на то, что она может похвастаться рекордным количеством новых разрешений для облачных продуктов.
Как рассказали ProPublica люди, работавшие в FedRAMP, следствием всего этого стало то, что программа теперь представляет собой не более чем формальную форму для одобрения требований отрасли. Последствия такого сокращения масштабов программы для федеральной кибербезопасности имеют далеко идущий характер, особенно с учетом того, что администрация поощряет ведомства к внедрению облачных инструментов искусственного интеллекта, которые используют огромные объемы конфиденциальной информации.
Администрация общих служб (GSA), в состав которой входит FedRAMP, выступила в защиту программы, заявив, что с момента появления GCC High в 2020 году в ней были проведены «значительные реформы для укрепления управления». «Роль FedRAMP заключается в оценке того, предоставили ли облачные сервисы достаточно информации и материалов для использования ведомством, и сегодня программа работает с усиленными механизмами надзора и подотчетности, чтобы делать именно это», — говорится в заявлении представителя GSA, отправленном по электронной почте.
Агентство не ответило на письменные вопросы, касающиеся средней школы GCC High.
Мир, в котором приоритет отдается облачным технологиям.
Примерно два десятилетия назад федеральные чиновники предсказывали, что облачная революция, обеспечивающая доступ к совместно используемым вычислительным ресурсам по запросу через Интернет, положит начало эре более дешевых, безопасных и эффективных информационных технологий.
Переход в облако означал отказ от локальных серверов, принадлежащих правительству и управляемых им, в пользу серверов в крупных центрах обработки данных, обслуживаемых технологическими компаниями. Некоторые руководители ведомств неохотно отказывались от контроля, в то время как другие с нетерпением ждали этого момента.
Стремясь ускорить переход, администрация Обамы в 2011 году приняла политику «Облако прежде всего», требующую от всех ведомств внедрения облачных инструментов «всякий раз, когда существует безопасный, надежный и экономически эффективный» вариант. Для облегчения внедрения администрация создала FedRAMP, задача которой заключалась в обеспечении безопасности этих инструментов.
Система FedRAMP «сделать один раз, использовать многократно» была призвана оптимизировать и укрепить процесс государственных закупок. Ранее каждое ведомство, использующее облачный сервис, проверяло его отдельно, иногда применяя различные интерпретации федеральных требований безопасности. В рамках новой программы ведомства смогут пропускать дублирующие проверки безопасности, поскольку авторизация FedRAMP будет указывать на то, что продукт уже соответствует стандартизированным требованиям. Авторизованные продукты будут перечислены на правительственном веб-сайте, известном как FedRAMP Marketplace.
На бумаге программа представляла собой упражнение в повышении эффективности. Но на практике небольшая команда FedRAMP не смогла справиться с потоком запросов от технологических компаний, желавших получить разрешение на использование своей продукции.
Затянувшийся процесс утверждения вызывал недовольство как технологической индустрии, стремящейся получить свою долю в миллиардах федеральных долларов, так и государственных учреждений, которые находились под давлением необходимости перехода на облачные технологии. Эта динамика иногда приводила к противостоянию облачной индустрии и должностных лиц ведомств против FedRAMP. Задержка также побудила многие ведомства выбрать альтернативный путь: проводить собственные проверки продуктов, которые они хотели внедрить, используя стандарты FedRAMP.
Именно по этому «ведомственному пути» GCC High вошла в федеральную систему, причем Министерство юстиции проложило ей путь. Первоначально некоторые сотрудники Министерства юстиции опасались облачных сервисов и того, кто может получить доступ к содержащейся в них информации, включая крайне конфиденциальные судебные и правоохранительные документы, сообщил ProPublica представитель Министерства юстиции, участвовавший в принятии решения. Программа кибербезопасности министерства требовала, чтобы доступ к ИТ-системам или помощь в их разработке, эксплуатации, управлении или обслуживании имели только граждане США, если только не было получено соответствующее разрешение. Специалисты по информационным технологиям Министерства юстиции рекомендовали обратиться к GCC High, полагая, что она сможет удовлетворить повышенные требования к безопасности, сообщил чиновник, говоривший на условиях анонимности, поскольку ему не было разрешено обсуждать внутренние дела.
В соответствии с правилами FedRAMP, Microsoft поручила так называемой сторонней оценочной организации провести независимую проверку GCC High на соответствие федеральным стандартам. Затем Министерство юстиции провело собственную оценку GCC High, используя эти стандарты, и признало продукт приемлемым.
В начале 2020 года Мелинда Роджерс, заместитель главного информационного директора Министерства юстиции, официально подтвердила это решение и вскоре внедрила GCC High во всем ведомстве.
Это стало важной вехой для всех участников. Роджерс вывел Министерство юстиции на облачные технологии, а Microsoft получила значительную долю на жестком рынке облачных вычислений для федерального правительства.
Более того, решение Роджерса вывело GCC на передний план в FedRAMP Marketplace, влиятельной правительственной онлайн-платформе, объединяющей всех поставщиков облачных услуг, находящихся на рассмотрении или уже получивших разрешение. Простое упоминание о том, что компания находится «в процессе», стало для Microsoft настоящим подарком судьбы, обеспечив бесплатную рекламу на веб-сайте, используемом организациями, стремящимися приобрести облачные услуги, имеющие то, что широко воспринимается как правительственный знак качества в области кибербезопасности.
В апреле того же года школа GCC High прошла проверку в офисе FedRAMP, что стало последним этапом на ее бюрократическом пути к полному разрешению.
Отсутствующая информация в Microsoft
Теоретически, команде FedRAMP не должно было оставаться много работы после того, как независимый эксперт и Министерство юстиции провели проверку GCC High, поскольку все стороны должны были соблюдать одни и те же требования.
Однако примерно в это же время Управление по подотчетности правительства, которое расследует федеральные программы, обнаружило сбои в процессе, выявив, что проверки ведомств иногда были недостаточно качественными. Несмотря на отсутствие деталей, FedRAMP одобрила многие из этих пакетов. Признавая эти недостатки, FedRAMP начала более тщательно проверять новые пакеты, как рассказал один из бывших экспертов.
Именно в такой среде приложение Microsoft GCC High вошло в процесс проверки. Название GCC High охватывало множество сервисов и функций Office 365, которые нуждались в проверке. Эксперты FedRAMP быстро заметили, что отсутствуют ключевые материалы.
Как рассказали бывшие члены команды изданию ProPublica, команда сосредоточилась на документе, который они считали основополагающим, — так называемой «диаграмме потока данных». Эта иллюстрация должна показывать, как данные перемещаются из точки А в точку Б, и, что более важно, как они защищаются при переходе от сервера к серверу. FedRAMP требует шифрования данных во время передачи, чтобы гарантировать защиту конфиденциальной информации даже в случае ее перехвата хакерами.
Но когда команда FedRAMP попросила Microsoft предоставить схемы, показывающие, как будет происходить такое шифрование для каждой службы в GCC High, компания отказалась, заявив, что это слишком сложная задача. Поэтому эксперты предложили начать только с Exchange Online, популярной почтовой платформы.
«Это был наш лакмусовый тест, который показывал: „Это не единственное, что требуется, но если вы этого не делаете, мы еще даже близко не приблизились к цели“», — сказал один из рецензентов, говоривший на условиях анонимности, поскольку ему не было разрешено обсуждать внутренние дела. После достижения необходимого уровня детализации они перейдут от Exchange к другим сервисам в рамках GCC High.
Как сообщили ProPublica члены команды FedRAMP, это были подробности, которые другие крупные облачные провайдеры, такие как Amazon и Google, предоставляли регулярно. Однако Microsoft потребовались месяцы, чтобы ответить. Когда же она наконец ответила, по словам бывшего эксперта, компания представила аналитический документ, в котором обсуждалась стратегия шифрования GCC High, но не были указаны подробности о том, на каком этапе пути данные фактически шифруются и расшифровываются, — поэтому FedRAMP не смогла оценить, что все делается должным образом.
Представитель Microsoft признал, что компания «сформулировала проблему, связанную с представлением большого объема запрашиваемой информации в виде диаграмм», но «нашла альтернативные способы обмена этой информацией».
Роджерс, принятая на работу в Microsoft в 2025 году, отказалась от интервью. В ответ на вопросы, заданные по электронной почте, компания предоставила заявление, в котором говорится, что она «подтверждает строгую оценку, которая способствовала» ее утверждению в качестве кандидата в GCC High. Представитель компании заявил, что «абсолютно нет никакой связи» между ее приемом на работу и решениями в процессе утверждения GCC High, и что она и компания соблюдали «все правила, положения и этические стандарты».
Министерство юстиции отказалось отвечать на письменные вопросы издания ProPublica.
Ссора из-за «спагетти-пирогов»
В конце 2020 года Вашингтон столкнулся с кризисом национальной безопасности, который подчеркнул последствия уязвимости киберпространства. Российские хакеры, спонсируемые государством, большую часть года незаметно проникали в федеральные компьютерные системы, похищая конфиденциальные данные и электронные письма у американских ведомств, включая Министерство юстиции.
В то время большая часть вины лежала на техасской компании SolarWinds, чье программное обеспечение предоставило хакерам первоначальную возможность для атаки, и чье имя стало синонимом этой атаки. Но, как сообщало ProPublica, россияне использовали эту возможность для эксплуатации давней уязвимости в продукте Microsoft — той, которую компания отказывалась исправлять годами, несмотря на неоднократные предупреждения одного из своих инженеров. Microsoft защищает свое решение не устранять уязвимость, заявляя, что получила «многочисленные проверки» и что компания учитывает множество факторов при принятии решений в области безопасности.
После этих событий администрация Байдена предприняла шаги по укреплению кибербезопасности страны. В частности, в 2021 году Министерство юстиции объявило об инициативе по борьбе с кибермошенничеством, направленной на пресечение деятельности компаний и частных лиц, которые «ставят под угрозу информацию или системы США, сознательно предоставляя некачественные продукты или услуги в области кибербезопасности, сознательно искажая информацию о своих методах или протоколах кибербезопасности или сознательно нарушая обязательства по мониторингу и сообщению об инцидентах и нарушениях кибербезопасности».
Заместитель генерального прокурора Лиза Монако заявила, что ведомство будет использовать Закон о ложных заявлениях для преследования государственных подрядчиков, «когда они не соблюдают требуемые стандарты кибербезопасности, потому что мы знаем, что это подвергает риску всех нас».
Однако, по словам бывших членов команды FedRAMP, если Microsoft и испытывала какое-либо давление из-за атаки на SolarWinds или заявления Министерства юстиции, это не отразилось на переговорах по FedRAMP.
Переговоры между FedRAMP и Microsoft развивались по определенной схеме. Стороны встречались. Проходили месяцы. Microsoft возвращала ответ, который FedRAMP считала неполным или неактуальным. Чтобы повысить шансы на получение необходимой информации, команда FedRAMP предоставила Microsoft шаблон, описывающий ожидаемый уровень детализации. Но схемы, которые возвращала Microsoft, никогда не соответствовали этим ожиданиям.
«Мы так и не смогли продвинуться дальше Exchange, — сказал один из бывших рецензентов. — Нам никогда не удавалось получить доступ к такой детализации. У нас не было никакой информации о внутреннем устройстве».
В интервью ProPublica Джон Бергин, представитель Microsoft, ставший главным контактным лицом правительства, признал наличие затянувшейся переписки, но обвинил в этом FedRAMP, сравнив запросы на схемы с «поиском камней».
«Возможно, мы были некомпетентны в том, как рисовали чертежи, потому что не было стандартов, которым их можно было бы соответствовать», — сказал он. «Делали ли мы это не совсем так, как они хотели? Безусловно. Всегда чего-то не хватало, потому что не было стандартов».
Представитель Microsoft заявил, что без такого стандарта «провайдерам облачных услуг приходилось самостоятельно интерпретировать уровень абстракции и представления», что создавало «несогласованность и путаницу, а не нежелание быть прозрачными».
Но даже собственные инженеры Microsoft на протяжении многих лет испытывали трудности с построением архитектуры своих продуктов, как утверждают два человека, участвовавшие в создании облачных сервисов, используемых федеральными заказчиками. По словам людей, знакомых с технологиями Microsoft, проблема заключалась в устаревшем коде программного обеспечения, который компания использовала при создании своих облачных сервисов.
Один из экспертов FedRAMP сравнил это с «кучей спагетти в пироге». По его словам, путь данных из точки А в точку Б похож на путешествие из Вашингтона в Нью-Йорк с объездами на автобусе, пароме и самолете, а не просто на короткую поездку на поезде Amtrak. И каждый из этих объездов представляет собой возможность для взлома, если данные не зашифрованы должным образом.
Другие крупные поставщики облачных услуг, такие как Amazon и Google, создавали свои системы с нуля, сказал Сейджер, бывший специалист по компьютерным технологиям из Агентства национальной безопасности, который сотрудничал со всеми тремя компаниями во время своей работы в правительстве.
Система Microsoft «не предназначена для такого рода разграничения „безопасного“ и „небезопасного“», — сказал Сагер.
Представитель Microsoft признал, что компания сталкивается с уникальной проблемой, но подчеркнул, что ее облачные продукты соответствуют федеральным требованиям безопасности.
«В отличие от поставщиков, которые начали позже с более узким ассортиментом продукции, Microsoft управляет одной из самых масштабных корпоративных и государственных платформ в мире, обеспечивая непрерывность работы для миллионов клиентов и одновременно осуществляя масштабную модернизацию», — говорится в ответах представителя компании, присланных по электронной почте. «Эта сложность не является „спагетти-сеткой“, но она означает, что работа по разделению, изоляции и защите систем ведется непрерывно».
Представитель компании заявил, что с 2023 года Microsoft уделяет первостепенное внимание «перепроектированию архитектуры с приоритетом безопасности, снижению рисков, связанных с устаревшими системами, и усилению гарантий изоляции».
Оборотные киберпроблемы, поднимаемые оценщиками
Команда FedRAMP была не единственной стороной, выразившей сомнения по поводу GCC High. Сторонние организации Microsoft, занимающиеся оценкой соответствия стандартам, также выразили обеспокоенность.
Предполагается, что эти фирмы независимы, но нанимаются и оплачиваются компанией, которая проходит оценку. Признавая потенциальные конфликты интересов, FedRAMP призвала оценочные фирмы конфиденциально сообщать своим экспертам любые негативные отзывы, которые они не желают сообщать напрямую своим клиентам или отражать в официальных отчетах.
В 2020 году два сторонних эксперта, нанятые Microsoft, Coalfire и Kratos, сделали именно это. Они заявили FedRAMP, что не смогли получить полную картину GCC High, как сообщил ProPublica бывший эксперт FedRAMP.
«И Coalfire, и Kratos с готовностью признали, что получить от Microsoft необходимую информацию для проведения надлежащей оценки было сложно, а то и невозможно», — сообщил рецензент изданию ProPublica.
Как рассказали ProPublica люди, работавшие с FedRAMP и сотрудничавшие с ней, этот неофициальный канал помог выявить проблемы кибербезопасности, о которых правительство иначе никогда бы не узнало. В то же время они признали, что его существование подрывает саму суть и цель наличия независимых экспертов.
Представитель компании Coalfire, которая первоначально проводила оценку состояния зданий в районе GCC High, запросил у ProPublica письменные вопросы, но затем отказался отвечать.
Представитель компании Kratos, которая заменила Coalfire в качестве оценщика GCC High, отказался от интервью. В ответе на письменные вопросы, отправленном по электронной почте, представитель заявил, что компания придерживается своей официальной оценки и рекомендации GCC High и «категорически опровергает» утверждение о том, что она «когда-либо одобрила бы продукт, который мы не смогли полностью проверить». Компания «ведет открытые и откровенные беседы» со всеми клиентами, включая Microsoft, которая «предоставила все необходимые схемы для соответствия требованиям FedRAMP», — сказал представитель.
Компания Kratos заявила, что «уделила много времени совместной работе с FedRAMP в ходе их проверки» и не считает подобные обсуждения «несанкционированными переговорами».
Однако FedRAMP осталась недовольна текущей работой Kratos и посчитала, что компания «должна оказывать большее давление» на Microsoft, заявил бывший эксперт. FedRAMP включила Kratos в «план корректирующих действий», который в конечном итоге может привести к лишению аккредитации. Компания заявила, что не согласна с действиями FedRAMP, но в ответ на них предоставила «дополнительное обучение некоторым внутренним экспертам».
Представитель Microsoft сообщил ProPublica, что компания «всегда оперативно реагировала на запросы» от Kratos и FedRAMP. «Нам неизвестно о каких-либо закулисных переговорах, и мы не считаем, что они были бы необходимы, учитывая нашу прозрачность и сотрудничество с аудиторами», — сказал представитель.
В ответ на вопросы ProPublica о процессе, GSA заявила в электронном письме, что система FedRAMP «не создает конфликта интересов для профессиональных аудиторов, которые соответствуют этическим и договорным требованиям к качеству работы».
GSA не ответила на вопросы о закулисных переговорах, но заявила, что «правильная процедура» заключается в том, чтобы сторонний эксперт «официально изложил эти проблемы в заключении в ходе оценки безопасности, чтобы у поставщика облачных услуг была возможность исправить проблему».
FedRAMP прекращает переговоры
Перепалка между экспертами FedRAMP и командой Microsoft продолжалась годами, практически не принося результатов. Затем, летом 2023 года, временный директор программы Брайан Конрад получил звонок из Белого дома, который изменил ход проверки.
Китайские хакеры, спонсируемые государством, проникли в GCC, более дешевую версию государственного облака Microsoft, и похитили данные и электронные письма министра торговли, посла США в Китае и других высокопоставленных правительственных чиновников. После этого Крис ДеРуша, главный специалист Белого дома по информационной безопасности, запросил брифинг от FedRAMP, организации, которая санкционировала использование GCC.
Решение было принято еще до того, как Конрад занял свой пост, но в интервью ProPublica он сказал, что после разговора вынес для себя несколько важных выводов. Во-первых, FedRAMP должна предъявлять одинаковые требования ко всем поставщикам облачных услуг, включая Microsoft. Во-вторых, он заручился поддержкой Белого дома, твердо стоя на своем. Наконец, FedRAMP столкнется с политическим давлением, если какой-либо облачный сервис, имеющий авторизацию FedRAMP, будет взломан.
ДеРуша подтвердила рассказ Конрада о телефонном разговоре, но отказалась от дальнейших комментариев.
Спустя несколько месяцев Конрад сообщил Microsoft, что FedRAMP прекращает сотрудничество по проекту GCC High.
«После трех лет сотрудничества с командой Microsoft нам по-прежнему не хватает информации о пробелах в безопасности, поскольку существуют неизвестные факторы, которые Microsoft не смогла устранить», — написал Конрад в электронном письме в октябре 2023 года. Он добавил, что дело не в отсутствии усилий со стороны FedRAMP. Сотрудники потратили 480 часов на проверку, провели 18 сессий «углубленного технического анализа» и за эти годы неоднократно обменивались электронными письмами с компанией. Тем не менее, им по-прежнему не хватало диаграмм потоков данных — критически важной информации, «поскольку видимость состояния шифрования всех потоков и хранилищ данных имеет огромное значение», — написал он.
Если Microsoft по-прежнему хочет получить авторизацию FedRAMP, пишет Конрад, ей придется начать все сначала.
Как следует из протокола заседания, изученного ProPublica, эксперт FedRAMP, объясняя решение Министерству юстиции, заявил, что команда «не запрашивала ничего сверх того, что мы запрашивали у всех остальных» поставщиков облачных услуг. Однако, по словам эксперта, в случае с Microsoft запрос был особенно оправдан, поскольку «каждый раз, когда нам удавалось получить представление о «черном ящике», мы обнаруживали проблему».
«Мы даже не можем количественно оценить неизвестные факторы, что вызывает у нас сильное беспокойство», — говорится в протоколе заседания, где отмечается, что эксперт провел проверку.
Microsoft и Министерство юстиции США оказывают сопротивление.
Microsoft была в ярости. Неполучение разрешения и необходимость начинать процесс заново дали бы рынку сигнал о том, что с GCC High что-то не так. Клиенты и без того были сбиты с толку и обеспокоены затянувшейся проверкой, которая стала горячей темой на онлайн-форуме, используемом представителями правительства и технологических компаний. Там Уэйкман, архитектор кибербезопасности Microsoft, переложил вину на правительство, заявив, что оно «затягивает этот процесс уже много лет».
Тем временем, чтобы заручиться поддержкой Microsoft, Бергин, представитель компании по вопросам FedRAMP и бывший офицер армии, обратился к государственным лидерам, в том числе к представителю Министерства юстиции.
Представитель Министерства юстиции, говоривший на условиях анонимности, поскольку не был уполномочен обсуждать этот вопрос, сообщил, что Бергин жаловался на то, что задержка препятствует Microsoft «в полной мере вывести продукт на рынок». Затем Бергин призвал Министерство юстиции «приложить все усилия», чтобы помочь получить разрешение FedRAMP, сказал чиновник.
В декабре того года, когда стороны собрались в вашингтонской штаб-квартире GSA для обсуждения вопросов, Джастис именно этим и занялся. Роджерс, который к тому времени был назначен главным информационным директором ведомства, сидел рядом с Бергином — по другую сторону стола от Конрада, директора FedRAMP.
Роджерс и её коллеги из Министерства юстиции были заинтересованы в исходе дела. С момента утверждения и развертывания GCC High она получила высокую оценку за свою работу по модернизации ИТ-инфраструктуры и кибербезопасности ведомства. Но без одобрения FedRAMP она оказалась бы тем государственным чиновником, который понес бы убытки, если бы GCC High оказался замешан в серьезной хакерской атаке. В то же время Министерство юстиции не могло легко отказаться от использования GCC High, поскольку после широкого внедрения технологии её отключение может быть дорогостоящим и технически сложным процессом. И с его точки зрения, облако представляло собой улучшение по сравнению со старыми государственными центрами обработки данных.
Вскоре после начала совещания Бергин прервал презентацию эксперта FedRAMP, который показывал слайды PowerPoint. По его словам, согласно протоколу совещания, Министерство юстиции и независимый эксперт уже провели проверку GCC High. Он заявил, что FedRAMP «по сути, должна просто принять» их выводы.
Затем, к всеобщему удивлению команды FedRAMP, Роджерс поддержал его и, по словам двух участников конференции, подверг критике работу FedRAMP.
В своем заявлении Microsoft сообщила, что Роджерс утверждает, что подход FedRAMP «был ошибочным и неправомерно игнорировал обширные оценки, проведенные сотрудниками Министерства юстиции».
Бергин не стал оспаривать это утверждение, заявив ProPublica, что он пытался доказать, что оценка безопасности облачных продуктов является прерогативой сторонних экспертов, таких как Kratos, а не FedRAMP. И поскольку FedRAMP должна одобрять сторонние оценочные фирмы, программа должна была обратиться со своими претензиями к Kratos.
«Когда вы являетесь регулирующим органом, определяющим, кто будет проводить аудит, и отказываетесь принимать ответы своих аудиторов, это уже не моя проблема», — сказал Бергин изданию ProPublica.
Представители GSA не ответили на вопросы о встрече. Министерство юстиции отказалось от комментариев.
Крепления, рассчитанные на давление, на платформе FedRAMP
Если и были какие-либо сомнения относительно роли FedRAMP, то летом 2024 года Белый дом выпустил меморандум, в котором изложил свою позицию. В нем говорилось, что FedRAMP «должен быть способен проводить тщательные проверки» и требовать от поставщиков облачных услуг «оперативного устранения недостатков в их архитектуре безопасности». Ведомство должно «последовательно оценивать и подтверждать работоспособность сложных архитектур и схем шифрования поставщиков облачных услуг».
Но к тому моменту технология GCC High распространилась и на другие федеральные ведомства, а разрешение Министерства юстиции послужило сигналом того, что технология соответствует федеральным стандартам.
Это также распространилось на оборонный сектор, поскольку Пентагон требовал, чтобы облачные продукты, используемые его подрядчиками, соответствовали стандартам FedRAMP. Несмотря на отсутствие авторизации FedRAMP, Microsoft рекламировала GCC High как соответствующий требованиям, продавая его таким компаниям, как Boeing, которые занимаются исследованиями, разработкой и обслуживанием военных систем вооружения.
Однако из-за неопределенности с утверждением FedRAMP некоторые подрядчики начали опасаться, что использование GCC High нарушает требования. Это могло поставить под угрозу их контракты, что, в свою очередь, могло повлиять на деятельность Министерства обороны. Представители Пентагона обратились в FedRAMP с вопросом о причинах тупиковой ситуации с утверждением.
Министерство обороны подтвердило получение письменных запросов от ProPublica, но не ответило на них.
Как заявили бывшие сотрудники GSA и FedRAMP, Роджерс также продолжала оказывать давление на FedRAMP, чтобы «довести дело до конца». «По мнению сотрудников и подрядчиков, она просто не хотела оказывать давление на Microsoft в этом вопросе», и Министерство юстиции «слишком благосклонно относилось к претензиям Microsoft», — сказал ProPublica Эрик Милл, тогдашний исполнительный директор GSA по облачной стратегии.
Разрешение, несмотря на «разгромную» оценку.
Летом 2024 года FedRAMP нанял нового постоянного директора, инсайдера правительственных технологических компаний Пита Уотермана. Примерно через месяц после вступления в должность он возобновил проверку GCC High с новой командой, которая отложила в сторону споры о схемах потоков данных и вместо этого попыталась изучить доказательства от Microsoft. Но вскоре эти эксперты пришли к тому же выводу, а руководитель команды пожаловался на то, что Microsoft «оттолкнула его».
«Он вернулся и сказал: „Да, эта штука отстой“», — вспоминает Милл.
Хотя команде удалось протестировать только две из множества служб, включенных в GCC High, — Exchange Online и Teams, — этого оказалось достаточно, чтобы выявить «фундаментальные проблемы» в области управления рисками, включая «своевременное устранение уязвимостей и сканирование уязвимостей», согласно резюме результатов работы команды, с которым ознакомилось издание ProPublica.
Эти проблемы, а также отсутствие «надлежащей подробной документации по безопасности» от Microsoft, ограничивают «видимость и понимание системы» и «затрудняют принятие обоснованных решений в отношении рисков».
Команда пришла к выводу: «Существует недостаток уверенности в оценке общего уровня безопасности системы».
Представитель Microsoft заявил в своем сообщении, что компания «никогда не получала подобных отзывов в ходе общения с FedRAMP».
Когда ProPublica зачитала результаты исследования Бергину, представителю Microsoft, он сказал, что был удивлен.
«Это довольно изобличающая формулировка», — сказал Бергин, добавив, что она звучит так, как будто «обычно ассоциируется с выводом о „недостойности“. Если бы это написал оценщик, я бы забеспокоился».
Несмотря на полученные результаты, команде FedRAMP отказ Microsoft казался невозможным. «Отказ в выдаче разрешения затронет множество ведомств, которые уже используют GCC-H», — говорится в сводном документе. Команда пришла к выводу, что выдача разрешения с условиями для продолжения государственного надзора является «более выгодным» решением.
Хотя разрешения с условиями контроля не были чем-то необычным, получение такого разрешения при данных обстоятельствах стало редкостью. Эксперты GCC High обнаружили проблемы повсюду, как в том, что они смогли оценить, так и в том, что не смогли. Для них большая часть пакета оставалась обширной территорией невыразимых рисков.
Тем не менее, FedRAMP и Microsoft достигли соглашения, и на следующий день после Рождества 2024 года GCC High получил разрешение FedRAMP. По словам людей, знакомых с отчетом, FedRAMP приложил к нему сопроводительный отчет, в котором изложил недостатки и отметил, что он несет в себе неизвестные риски.
В документе подчеркивалось, что ведомствам следует внимательно изучить пакет и напрямую обращаться в Microsoft по любым вопросам.
«Неизвестные неизвестные» сохраняются.
Компания Microsoft сообщила ProPublica, что выполнила условия соглашения и «осталась в рамках показателей эффективности, требуемых FedRAMP», чтобы обеспечить «выявление, отслеживание, устранение рисков и прозрачное информирование о них».
Но при администрации Трампа в FedRAMP осталось не так много людей, которые могли бы проводить проверки.
Хотя в рекомендациях времен Байдена говорилось, что FedRAMP «должна быть экспертной программой, способной анализировать и подтверждать заявления о безопасности» поставщиков облачных услуг, GSA сообщила ProPublica, что роль программы «не в определении того, достаточно ли безопасен облачный сервис». Скорее, она заключается в том, чтобы «обеспечить агентства достаточной информацией для принятия решений по оценке рисков».
Проблема в том, что ведомствам часто не хватает персонала и ресурсов для проведения тщательных проверок, а это значит, что вся система опирается на заявления облачных компаний и оценки сторонних фирм, которым они платят за их экспертизу. Критики утверждают, что в нынешнем виде FedRAMP утратил свою актуальность.
«Задача FedRAMP — защищать интересы американского народа, когда речь идёт о передаче данных облачным компаниям», — сказал Милл, бывший сотрудник GSA, который также является соавтором меморандума Белого дома 2024 года. «Когда возникает проблема безопасности, общественность не ожидает, что FedRAMP скажет, что они всего лишь бюрократы».
Тем временем в Министерстве юстиции выясняют, что подразумевалось под «неизвестными неизвестными» в контексте программы FedRAMP в странах Персидского залива. Например, в прошлом году они обнаружили, что Microsoft полагалась на инженеров из Китая для обслуживания своих важных облачных систем, несмотря на запрет министерства на участие неграждан США в техническом обслуживании ИТ-инфраструктуры.
По словам сотрудника Министерства юстиции, который беседовал с нами, чиновники узнали об этой схеме, которая также использовалась в средней школе GCC High, не от FedRAMP или Microsoft, а из расследования ProPublica, посвященного этой практике.
Представитель Microsoft признал, что в письменном плане безопасности GCC High, представленном компанией Министерству юстиции, не упоминались иностранные инженеры, хотя он и заявил, что Microsoft передала эту информацию представителям Министерства юстиции до 2020 года. Тем не менее, с тех пор Microsoft прекратила использование китайских инженеров в государственных системах.
Бывшие и нынешние правительственные чиновники обеспокоены тем, какие еще риски могут скрываться в школе GCC High и за ее пределами.
Управление общих служб (GSA) сообщило ProPublica, что, как правило, «если имеются достоверные доказательства того, что поставщик облачных услуг предоставил заведомо ложную информацию, то это дело надлежащим образом передается в следственные органы».
По иронии судьбы, главным арбитром в вопросе о том, соответствуют ли заявленные характеристики облачных провайдеров или их сторонних экспертов, является само Министерство юстиции. Недавнее обвинение в адрес бывшей сотрудницы Accenture свидетельствует о готовности министерства использовать эту власть. В судебном документе Министерство юстиции утверждает, что бывшая сотрудница делала «ложные и вводящие в заблуждение заявления» о безопасности облачной платформы, чтобы помочь компании «получить и сохранить выгодные федеральные контракты». Ее также обвиняют в попытке «повлиять и воспрепятствовать» работе сторонних экспертов Accenture, скрывая недостатки продукта и указывая другим скрывать «истинное состояние системы» во время демонстраций, говорится в заявлении министерства. Она не признала себя виновной.
Нет никаких публичных свидетельств того, что подобное дело было возбуждено против Microsoft или кого-либо из участников процесса выдачи разрешения на строительство высотного здания в странах Персидского залива. Министерство юстиции отказалось от комментариев. Монако, заместитель генерального прокурора, инициировавший программу министерства по расследованию дел о кибермошенничестве, не ответил на запросы о комментариях.
Она покинула свой государственный пост в январе 2025 года. Компания Microsoft наняла её на должность президента по глобальным вопросам.
Представитель компании заявил, что найм Монако соответствует «всем правилам, нормам и этическим стандартам» и что она «не работает по каким-либо контрактам с федеральным правительством и не осуществляет надзор или участие в каких-либо наших сделках с федеральным правительством».
Эта статья первоначально появилась на ProPublica. ProPublica — это удостоенная Пулитцеровской премии редакция журналистских расследований. Подпишитесь на рассылку The Big Story, чтобы получать подобные статьи в свой почтовый ящик.
Источник: arstechnica.com
