FedRAMP одобрил облачную платформу Microsoft GCC High 26 декабря 2024 года. Программа федеральной проверки безопасности облачных сервисов для госорганов США к тому моменту пять лет не могла подтвердить, что продукт корректно шифрует данные. Расследование опубликовало издание ProPublica 18 марта 2026 года на основе внутренних документов.
GCC High (Government Community Cloud High) обрабатывает данные Министерства юстиции, Министерства энергетики и оборонных подрядчиков, включая Boeing. Продукт предназначен для информации, близкой к засекречённой.
Спор между FedRAMP и Microsoft длился с 2019 года. Проверяющие просили Microsoft предоставить схемы потоков данных, показывающие, в каких точках данные шифруются и расшифровываются при передаче между серверами. FedRAMP предложил начать с одного продукта, Exchange Online. Microsoft потратила месяцы на ответ и прислала документ, описывающий стратегию шифрования в общих чертах. Конкретных точек шифрования в нём не было. Amazon и Google для своих облачных продуктов предоставляли такие данные без затруднений, сообщили сотрудники FedRAMP изданию ProPublica.
Мы не можем даже оценить масштаб неизвестного, и это вызывает серьёзное беспокойство.
— проверяющий FedRAMP (протоколы внутренних совещаний, через ProPublica)
FedRAMP потратил на проверку GCC High 480 часов и провёл 18 технических сессий. В октябре 2023 года и.о. директора FedRAMP Брайан Конрад сообщил Microsoft, что проверка прекращена. Компании предстояло начинать процесс заново. Новая команда летом 2024 пришла к тому же выводу. GCC High имел «ошибки, затрагивающие основы» управления рисками.
К моменту одобрения GCC High уже использовали федеральные ведомства по всей стране. Министерство юстиции одобрило продукт через альтернативный путь FedRAMP в 2020 году и разместило его в каталоге программы. Оборонные подрядчики начали использовать GCC High, поскольку правила Пентагона требовали облачную платформу с одобрением FedRAMP. Отказ в конце 2024 нарушил бы работу десятков ведомств и оборонной промышленности.
Это не безопасность. Это театр безопасности.
— Тони Сейджер (Tony Sager), бывший специалист АНБ, ныне руководитель Центра интернет-безопасности (CIS)
Аудиторы Microsoft тоже не смогли получить полную картину. Coalfire и Kratos по конфиденциальному каналу сообщали FedRAMP о проблемах с GCC High. FedRAMP создал этот канал специально для случаев, когда аудиторы не могут открыто критиковать заказчика. Компанию Kratos перевели на «план корректирующих мер» за недостаточно жёсткую позицию в отношении Microsoft. Kratos заявила, что «категорически отвергает» обвинения в том, что компания «когда-либо одобряла продукт, который не могла полностью проверить».
GCC High одобрили на фоне двух крупных кибератак на продукты Microsoft. В 2020 году хакеры SolarWinds/Nobelium использовали слабость продукта Microsoft и похитили данные Национального управления ядерной безопасности и Министерства юстиции. В 2023 году группировка Storm-0558 проникла в Microsoft GCC. Они похитили электронную почту министра торговли Джины Раймондо и посла США в Китае.
Представитель Microsoft в FedRAMP Джон Бергин, бывший военный, просил Минюст «использовать свой вес» для одобрения. Мелинда Роджерс из Минюста первоначально одобрила GCC High и затем стала директором по ИТ. На совещании в декабре 2023 она критиковала работу FedRAMP. В 2025 году Microsoft наняла Роджерс. Компания заявила, что между наймом и одобрением «нет никакой связи».
ProPublica ранее сообщала, что Microsoft привлекала инженеров из Китая для обслуживания GCC High. Минюст запрещает иностранным гражданам участвовать в ИТ-обслуживании. Пентагон запрещает иностранным лицам доступ к секретным данным. Microsoft прекратила практику после публикации ProPublica в июле 2025. Пентагон ведёт расследование.
Сам FedRAMP при администрации Трампа прошёл через сокращения DOGE (Department of Government Efficiency, подразделение по эффективности госрасходов). Программа работает примерно с двумя десятками сотрудников и бюджетом $10 млн в год. Это минимум за последнее десятилетие. Бывшие сотрудники назвали FedRAMP «немногим больше, чем штамп для промышленности».
Минюст США в 2021 году запустил программу по борьбе с кибермошенничеством среди подрядчиков. Инициатором выступила заместитель генпрокурора Лиза Монако. В декабре 2024 Минюст обвинил бывшего сотрудника Accenture в искажении данных о безопасности облачной платформы по программе FedRAMP. Монако покинула госслужбу в январе 2025. Microsoft наняла её президентом по международным вопросам. Компания заявила, что Монако «не работает с федеральными контрактами».
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
