Geçtiğimiz hafta Microsoft, siber güvenlik uzmanlarının ABD hükümetini bilgisayar korsanlığı ve casusluk faaliyetlerine karşı savunmasız bırakabileceği endişeleri üzerine, Savunma Bakanlığı'nın bulut bilişim sistemlerini desteklemek için Çin merkezli mühendislik ekiplerini kullanmayacağını duyurdu. Bu karar, ProPublica'nın söz konusu uygulamaya ilişkin yaptığı bir soruşturmanın ardından geldi.
Ancak durumun yalnızca Pentagon ile sınırlı kalmadığı ortaya çıktı. ProPublica'nın araştırmalarına göre Microsoft, yıllardır Adalet, Hazine ve Ticaret gibi diğer federal departmanların da bulut sistemlerini sürdürmek için, aralarında Çin'de bulunan personelin de bulunduğu küresel iş gücünü kullanmış.
Bu çalışmalar, hassas ancak sınıflandırılmamış bilgiler için tasarlanan Government Community Cloud (GCC) kapsamında gerçekleştirilmiş. ABD hükümetinin bulut akreditasyon kuruluşu olan Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), GCC'yi "kurumun operasyonları, varlıkları veya bireyleri üzerinde ciddi olumsuz etkilere yol açabilecek gizlilik, bütünlük ve kullanılabilirlik kaybının yaşanması durumunda" "orta düzeyde" etkiye sahip bilgileri işlemek üzere onaylamış.
Adalet Bakanlığı'nın Antitröst Departmanı'nın 2022 tarihli bir raporuna göre, suç ve ceza soruşturma ve dava fonksiyonlarını desteklemek için GCC'yi kullanmış. Çevre Koruma Ajansı ve Eğitim Bakanlığı'nın bazı birimleri de GCC'den faydalanmış.
Microsoft, GCC'de görev yapan yabancı mühendislerin, Savunma Bakanlığı'nda uygulanan sisteme benzer şekilde, ABD merkezli "dijital refakatçi" olarak bilinen personel tarafından denetlendiğini belirtiyor.
Buna rağmen, siber güvenlik uzmanları yabancı personelin GCC'ye destek vermesinin casusluk ve sabotaj için bir fırsat sunduğunu ifade ediyor. Eski bir federal siber güvenlik yetkilisi, "Hükümet verileri sınıflandırılmamış olsa bile, dağıtımının zarar veremeyeceği yanılgısı var. Bulut hizmetlerinde depolanan bunca veri ve yapay zekanın bunları hızlı analiz etme gücü ile, sınıflandırılmamış veriler bile ABD çıkarlarına zarar verebilecek bilgiler ortaya çıkarabilir" şeklinde konuştu.
CIA ve Ulusal Güvenlik Ajansı'nda üst düzey yöneticilik yapmış bir kişi ise, yabancı istihbarat teşkilatlarının GCC sistemlerinden elde edilen bilgileri daha hassas veya sınıflandırılmış sistemlere ulaşmak için kullanabileceğini ve bunun herhangi bir istihbarat servisinin peşini bırakmayacağı bir fırsat olduğunu belirtti.
Ulusal İstihbarat Direktörlüğü Ofisi, Çin'i ABD hükümeti, özel sektör ve kritik altyapı ağları için "en aktif ve kalıcı siber tehdit" olarak tanımlıyor. Çin'deki yasalar, ülkenin yetkililerine veri toplama konusunda geniş yetkiler veriyor ve uzmanlar, herhangi bir Çin vatandaşı veya şirketinin güvenlik güçleri veya kolluk kuvvetlerinden gelen doğrudan bir talebe anlamlı bir şekilde direnmisinin zor olduğunu belirtiyor.
Microsoft, konuyla ilgili röportaj taleplerini reddetti. Sorularına yanıt olarak şirket, Savunma Bakanlığı'nın bulut sistemleri için yaptığı gibi, Çin merkezli desteği sonlandırma yolunda adımlar atacağını belirten bir açıklama yaptı. Şirket, "Microsoft, DoD Government bulut tekliflerimizin güvenliğini artırmak için geçen hafta adımlar attı. Bundan böyle, verilerinin güvenliğini daha da sağlamak amacıyla Government Community Cloud kullanan tüm kamu müşterilerimiz için benzer adımlar atıyoruz" dedi.
Şirket ayrıca, önümüzdeki ay ek önlemlerin gerekip gerekmediğini değerlendirmek için bir inceleme yapacağını da ekledi. ProPublica'nın tespit ettiği ve GCC'yi kullanan federal departman ve kurumlar ise yorum taleplerine yanıt vermedi.
Microsoft'un Çinli iş gücünü ABD hükümetine hizmet etmek için kullanmasına ilişkin son bilgiler ve şirketin hızlı tepkisi, federal yasa koyucuların ve Trump yönetiminin teknoloji devinin siber güvenlik uygulamalarını sorguladığı ve potansiyel ulusal güvenlik sonuçlarını kontrol altına almaya çalıştığı Washington'da hızla gelişen bir tartışmayı alevlendirmesi bekleniyor. ABD Savunma Bakanı, geçtiğimiz Cuma günü yaptığı bir paylaşımda, "Çin dahil olmak üzere herhangi bir ülkeden gelen yabancı mühendislerin, Savunma Bakanlığı sistemlerini asla sürdürmesine veya bunlara erişmesine izin verilmemelidir" ifadelerini kullanmıştı.
Geçen hafta ProPublica, Microsoft'un on yıldır Savunma Bakanlığı'nın bilgisayar sistemlerini sürdürmek için ABD merkezli dijital refakatçilerin denetiminde, Çin'de bulunanlar da dahil olmak üzere yabancı işçilere güvendiğini ortaya çıkarmıştı. Ancak bu refakatçilerin, çok daha gelişmiş becerilere sahip yabancı meslektaşlarını denetlemek için genellikle yeterli teknik uzmanlığa sahip olmadığı ve bu durumun hassas bilgileri savunmasız bıraktığı tespit edilmişti. Raporlara yanıt olarak ABD Savunma Bakanı bu uygulamayı inceleme altına almıştı.
ProPublica, Microsoft'un Savunma Bakanlığı yetkililerini, hassas veri işleyen kişiler için belirlenen vatandaşlık gerekliliklerini karşılamayan yabancı çalışanları nedeniyle endişelendiren bu durumu gidermek için refakatçi düzenlemesini geliştirdiğini bulmuştu. Microsoft daha sonra federal bulut bilişim işlerini kazanmış ve kazanç raporlarında "hükümet sözleşmelerinden elde edilen önemli gelirler" elde ettiğini belirtmişti.
Microsoft, Savunma Bakanlığı için Çin merkezli teknik desteği durduracağını belirtmiş olsa da, bulut desteğinin ABD dışındaki mühendislerden gelip gelmeyeceği de dahil olmak üzere neyin yerine geçeceğine dair soruları yanıtlamayı reddetti. Şirket ayrıca dijital refakatçileri kullanmaya devam edip etmeyeceğini de söylemekten kaçındı.
Microsoft, bu hafta ProPublica'ya GCC'deki benzer bir refakatçi düzenlemesinin kullanıldığını doğruladı; bu durum bazı eski hükümet yetkililerini ve siber güvenlik uzmanlarını şaşırttı. Bir uzman, "Giderek karmaşıklaşan dijital bir dünyada, bulut ürünlerinin tüketicileri verilerinin nasıl ve kim tarafından işlendiğini bilmeyi hak ediyor. Siber güvenlik endüstrisi netliğe dayanıyor" dedi.
Microsoft, GCC refakatçi düzenlemesinin ayrıntılarını, şirketin FedRAMP bulut akreditasyon süreci kapsamında federal hükümete sunduğu belgelerde açıkladığını belirtti. Şirket, belgeleri kamuoyuna açıklamanın potansiyel güvenlik riski gerekçesiyle ProPublica'ya vermeyi reddetti ve ayrıca destek personelinin Çin'de bulunmasının belgelerde özel olarak belirtilip belirtilmediğini de söylemekten kaçındı.
ProPublica, federal hükümete hizmet veren diğer büyük bulut hizmeti sağlayıcılarıyla iletişime geçerek Çin merkezli destek kullanıp kullanmadıklarını sordu. Amazon Web Services sözcüsü yaptığı açıklamada, "AWS, federal sözleşmeleri desteklemek için Çin'deki personeli kullanmamaktadır" dedi. Google sözcüsü ise, "Google Kamu Sektörü'nün bir Dijital Refakatçi programı yoktur. Bunun yerine, hassas sistemleri ABD hükümetinin konum, vatandaşlık ve güvenlik izni gereksinimlerini karşılayan tam eğitimli personel tarafından desteklenmektedir" açıklamasında bulundu. Oracle ise "ABD federal müşterileri için herhangi bir Çin desteği kullanmamaktadır" diye belirtti.
