В конце 2024 года оценщики кибербезопасности федерального правительства вынесли тревожный вердикт по одному из крупнейших предложений Microsoft по облачным вычислениям.

Согласно внутреннему правительственному отчету, рассмотренному ProPublica, «отсутствие надлежащей подробной документации по безопасности» у технологического гиганта привело к «недостатку уверенности в оценке общего состояния безопасности системы».

Или, как выразился один из членов команды: «Посылка — это куча дерьма».

По словам обозревателей, в течение многих лет Microsoft пыталась, но не смогла полностью объяснить, как она защищает конфиденциальную информацию в облаке, когда она перемещается с сервера на сервер по цифровой территории. Учитывая это и другие неизвестные, правительственные эксперты не могли поручиться за безопасность технологии.

Такие суждения были бы убийственными для любой компании, стремящейся продать свою продукцию правительству США, но особенно разрушительными они должны были стать для Microsoft. Продукты технологического гиганта оказались в центре двух крупных атак кибербезопасности на США за три года. В одном случае российские хакеры воспользовались уязвимостью, чтобы украсть конфиденциальные данные ряда федеральных агентств, включая Национальное управление ядерной безопасности. В другом случае китайские хакеры проникли в учетные записи электронной почты члена кабинета министров и других высокопоставленных правительственных чиновников.

Федеральное правительство может подвергнуться еще большей опасности, если оно не сможет проверить кибербезопасность Microsoft Government Community Cloud High, набора облачных сервисов, предназначенных для защиты некоторых из наиболее конфиденциальной информации страны.

Тем не менее, совершив весьма необычный шаг, который до сих пор находит отклик в Вашингтоне, Федеральная программа управления рисками и авторизацией, или FedRAMP, все равно разрешила продукт, вручив тем самым знак одобрения федерального правительства в области кибербезопасности. Решение FedRAMP, которое включало в себя своего рода предупреждение «покупатели, будьте осторожны» для любого федерального агентства, рассматривающего GCC High, помогло Microsoft расширить государственную бизнес-империю стоимостью в миллиарды долларов.

In late 2024, the federal government’s cybersecurity evaluators rendered a troubling verdict on one of Microsoft’s biggest cloud computing offerings.

The tech giant’s “lack of proper detailed security documentation” left reviewers with a “lack of confidence in assessing the system’s overall security posture,” according to an internal government report reviewed by ProPublica.

Or, as one member of the team put it: “The package is a pile of shit.”

For years, reviewers said, Microsoft had tried and failed to fully explain how it protects sensitive information in the cloud as it hops from server to server across the digital terrain. Given that and other unknowns, government experts couldn’t vouch for the technology’s security.

Such judgments would be damning for any company seeking to sell its wares to the US government, but it should have been particularly devastating for Microsoft. The tech giant’s products had been at the heart of two major cybersecurity attacks against the US in three years. In one, Russian hackers exploited a weakness to steal sensitive data from a number of federal agencies, including the National Nuclear Security Administration. In the other, Chinese hackers infiltrated the email accounts of a Cabinet member and other senior government officials.

The federal government could be further exposed if it couldn’t verify the cybersecurity of Microsoft’s Government Community Cloud High, a suite of cloud-based services intended to safeguard some of the nation’s most sensitive information.

Yet, in a highly unusual move that still reverberates across Washington, the Federal Risk and Authorization Management Program, or FedRAMP, authorized the product anyway, bestowing what amounts to the federal government’s cybersecurity seal of approval. FedRAMP’s ruling—which included a kind of “buyer beware” notice to any federal agency considering GCC High—helped Microsoft expand a government business empire worth billions of dollars.