A Microsoft, como provedora de serviços em nuvem para o governo dos EUA, é obrigada a enviar regularmente planos de segurança para funcionários que descrevem como a empresa protegerá os sistemas federais de computadores.
No entanto, em uma submissão de 2025 ao Departamento de Defesa, a gigante da tecnologia deixou de fora os principais detalhes, incluindo o uso de funcionários com sede na China, o principal adversário cibernético dos EUA, para trabalhar em sistemas de departamento altamente sensíveis, de acordo com uma cópia obtida pela Propublica. De fato, o Plano da Microsoft, visualizado pela ProPublica, não faz referência às operações ou engenheiros estrangeiros da empresa.
O documento esconde as afirmações repetidas da Microsoft de que divulgou o acordo ao governo federal, mostrando exatamente o que foi deixado de fora ao vender seu plano de segurança para o Departamento de Defesa. O Pentágono foi investigando o uso de pessoal estrangeiro pelos contratados de TI após reportar a ProPublica no mês passado, que expuseram a prática da Microsoft.
Nosso trabalho detalhou como a Microsoft depende de “acompanhantes digitais” – pessoal dos EUA com autorizações de segurança – para supervisionar os engenheiros estrangeiros que mantêm os sistemas em nuvem do Departamento de Defesa. O departamento exige que as pessoas que lidam com dados confidenciais sejam cidadãos americanos ou residentes permanentes.
O Plano de Segurança da Microsoft, datado de 28 de fevereiro e submetido à agência de TI do departamento, distingue entre pessoal que passou e aprovou exibições de fundo para acessar sua plataforma de nuvem do governo do Azure e aqueles que não o fizeram. Mas omite o fato de que os trabalhadores que não foram rastreados incluem cidadãos fora dos EUA com sede em países estrangeiros. “Sempre que o pessoal não escrito solicita acesso ao governo do Azure, um operador que foi rastreado e tem acesso ao governo do Azure fornece acesso escoltado”, disse a empresa em seu plano.
O documento também não divulga que as acompanhantes digitais rastreadas podem ser contratadas contratadas por uma empresa de pessoal, e não por funcionários da Microsoft. A ProPublica descobriu que as acompanhantes, em muitos casos, ex -militares selecionados porque possuem autorizações de segurança ativas, geralmente não têm a experiência necessária para supervisionar os engenheiros com habilidades técnicas muito mais avançadas. A Microsoft disse ao Propublica que as acompanhantes “recebem treinamento específico para proteger dados sensíveis” e impedir danos.
A referência da Microsoft ao modelo de acompanhante vem de dois terços do caminho para o documento de 125 páginas, conhecido como “Plano de Segurança do Sistema”, em vários parágrafos sob o título “Access Access”. Funcionários do governo devem Avalie esses planos Para determinar se as medidas de segurança divulgadas nelas são aceitáveis.
Em entrevistas com o ProPublica, a Microsoft sustentou que divulgou o acordo de escolta digital no plano e que o governo o aprovou. Mas o secretário de Defesa Pete Hegseth e outros funcionários do governo expressaram choque e indignação com o modelo, levantando questões sobre o que, exatamente, a empresa divulgou ao procurar vencer e manter contratos de computação em nuvem do governo.
Nenhuma das partes envolvidas, incluindo a Microsoft e o Departamento de Defesa, comentou as omissões no plano de segurança deste ano. Mas ex -funcionários federais agora dizem que a obliquidade da divulgação, que a ProPublica está relatando pela primeira vez, pode explicar que a desconexão e provavelmente contribuiu para a aceitação da prática pelo governo. A Microsoft disse anteriormente à ProPublica que sua documentação de segurança para o governo, que remonta anos, continha uma redação semelhante em relação a acompanhantes.
O ex -diretor de informações do Departamento de Defesa, John Sherman, que disse estar familiarizado com o processo de acompanhamento digital antes dos relatórios da Propublica, chamou de “caso de não fazer a pergunta perfeita ao fornecedor, com todas as condições proibidas concebíveis explicadas”.
Em um LinkedIn post Sobre a investigação da ProPublica, Sherman disse que essa pergunta “teria fumado essa prática louca de” escoltas digitais “. Seu post continuou:” O Departamento de Defesa não pode ser exposto dessa maneira. A empresa precisa admitir que isso estava errado e se comprometer a não fazer coisas que não passam um teste de senso comum “.
Especialistas disseram que permitir que o pessoal da China realize suporte técnico e manutenção em sistemas de computadores do governo dos EUA apresenta grandes riscos à segurança. As leis na China concedem às autoridades do país ampla autoridade para coletar dados, e especialistas dizem que é difícil para qualquer cidadão ou empresa chinesa resistir significativamente a um pedido direto de forças de segurança ou aplicação da lei. O Escritório do Diretor de Inteligência Nacional considerou a China a “ameaça cibernética mais ativa e persistente ao governo dos EUA, setor privado e redes de infraestrutura crítica”.
Após os reportagens da ProPublica no mês passado, a Microsoft disse que parou de usar engenheiros da China para apoiar os sistemas de computação em nuvem do Departamento de Defesa. A empresa não respondeu diretamente a perguntas da ProPublica sobre o plano de segurança e, em vez disso, emitiu uma declaração defendendo a prática de escolta.
“As sessões acompanhadas foram fortemente monitoradas e complementadas por camadas de mitigações de segurança”, afirmou o comunicado. “Com base no feedback que recebemos, no entanto, atualizamos nossos processos para evitar qualquer envolvimento dos engenheiros da China”.
O senador Tom Cotton, um republicano que preside o Comitê Seleto de Inteligência do Senado, escreveu para Hegseth No mês passado, sugerindo que o Departamento de Defesa precisava fortalecer a supervisão de seus contratados e que os processos atuais “não sejam responsáveis pela crescente ameaça chinesa”.
“À medida que aprendemos mais sobre essas práticas ‘escoltas digitais’ e outros imprudentes – e ultrajantes – usados por alguns parceiros do Departamento de Defesa, fica claro que o departamento e o Congresso precisarão tomar mais medidas”, escreveu Cotton. Ele continuou: “Devemos implementar os protocolos e processos para adotar tecnologia inovadora de maneira rápida, eficaz e segura”.
Desde 2011, o governo usou o Programa de gerenciamento de risco e autorização federalconhecido como FedRamp, para avaliar as práticas de segurança de empresas comerciais que desejam vender serviços em nuvem para o governo federal. O Departamento de Defesa também possui suas próprias diretrizes, que incluem o requisito de cidadania para pessoas que lidam com dados confidenciais.
Tanto o FedRamp quanto o Departamento de Defesa dependem de “organizações de avaliação de terceiros” para avaliar se os fornecedores atendem aos requisitos de segurança em nuvem do governo. Enquanto o governo considera essas organizações “independente,” Eles são contratados e pagos diretamente pela empresa sendo avaliada. A Microsoft, por exemplo, disse ao Propublica que recrutou uma empresa chamada Kratos para pastorear os processos iniciais de autorização do Fedramp e do Departamento de Defesa e lidar com avaliações anuais depois de ganhar contratos federais.
Em seu site, Kratos se chama a “luz orientadora” Para organizações que buscam ganhar contratos em nuvem do governo e disse que “possui uma história de realizar avaliações de segurança bem -sucedidas”.
Em comunicado à ProPublica, a Kratos disse que seu trabalho determina “se os controles de segurança forem documentados com precisão”, mas a empresa não disse se a Microsoft o havia feito no plano de segurança que enviou à agência de TI do Departamento de Defesa.
A Microsoft disse ao Propublica que deu demonstrações do processo de escolta a Kratos, mas não diretamente às autoridades federais. O plano de segurança não faz referência a tal demonstração. A Kratos não respondeu às perguntas sobre se seus avaliadores estavam cientes de que o pessoal não escrito poderia incluir trabalhadores estrangeiros.
Um ex -funcionário da Microsoft que trabalhou com Kratos por meio de várias acreditações do FedRamp comparou o papel da Microsoft no processo para “liderar a testemunha” ao resultado desejado. “O governo aprovou o que pagamos a Kratos para dizer ao governo para aprovar. Você está pagando pelo resultado que deseja”, disse o ex -funcionário, que solicitou o anonimato para discutir o processo confidencial.
Kratos disse que “nega veementemente a caracterização de uma fonte sem nome de que os serviços da Kratos são pagos pelo jogo”. Em seu comunicado, a Kratos disse que foi “credenciada e auditada por um grupo independente e sem fins lucrativos” por fatores que “incluem imparcialidade, competência e independência”.
“Kratos contrata e mantém os especialistas em segurança e tecnologia certificados e tecnicamente sofisticados”, disse a empresa, acrescentando que seu pessoal “está além da censura em seu trabalho”.
Por sua vez, a Microsoft disse que a contratação de Kratos fazia parte de seguir o processo de avaliação em nuvem do governo. “Conforme exigido pela FedRamp, a Microsoft conta com este assessor certificado para realizar avaliações independentes em nosso nome sob a supervisão da Fedramp”, disse a Microsoft em seu comunicado.
Ainda assim, os críticos discordam do próprio processo Fedramp, dizendo que o arranjo de uma empresa que paga seu auditor apresenta um conflito de interesses inerente. Um ex -funcionário da Administração de Serviços Gerais dos EUA, que abriga Fedramp, comparou a um restaurante contratando e pagando por seu próprio inspetor de saúde, e não pela cidade.
O GSA não respondeu aos pedidos de comentário.
A Agência de Sistemas de Informação de Defesa, a agência de TI do Departamento de Defesa, revisou e aceitou o Plano de Segurança da Microsoft. Entre os envolvidos estavam os altos funcionários do DISA Roger Greenwell e Jackie Snouffer, de acordo com pessoas familiarizadas com a situação. Nenhum dos dois respondeu a mensagens telefônicas em busca de comentários, e os porta -vozes do Departamento de Defesa não responderam ao pedido da ProPublica para entrevistá -los.
Um porta -voz da DISA se recusou a comentar este artigo, dizendo: “Quaisquer respostas virão do cargo de Secretário de Defesa Pública”.
O Escritório do Secretário de Defesa não respondeu a perguntas sobre se Greenwell e Snouffer, ou qualquer pessoa da DISA, entendeu que os funcionários da Microsoft na China estariam apoiando a nuvem do Departamento de Defesa. Um porta -voz também não respondeu diretamente a perguntas sobre o plano de segurança do sistema da Microsoft, mas em um comunicado por e -mail disse que as informações nesses planos são consideradas proprietárias. O porta -voz observou que “qualquer processo que não cumpra” as restrições de departamento que impedem os estrangeiros de acessar sistemas de departamento sensíveis “representa um risco inaceitável para a infraestrutura do Departamento de Defesa”.
Dito isto, o escritório deixou a porta para o uso contínuo de engenheiros estrangeiros com acompanhantes digitais para “suporte de infraestrutura”, dizendo que “pode ser considerado um risco aceitável”, dependendo de fatores que incluem “o país de origem do cidadão estrangeiro” sendo escoltado. O departamento disse que nesses cenários trabalhadores estrangeiros teriam recursos “somente para a visão”, não o acesso “prático”. Além da China, a Microsoft tem operações na Índia, na União Europeia e em outros lugares do mundo.
Em comunicado à ProPublica na sexta -feira, o escritório de Hegseth disse que a investigação do Pentágono sobre o uso de pessoal estrangeiro pelas empresas de tecnologia “está completa e identificamos uma série de ações possíveis que o departamento poderia executar”. Um porta -voz se recusou a descrever essas ações ou dizer se o departamento seguiria com eles. Não está claro se o Plano de Segurança da Microsoft ou o papel da DISA em aprovar isso fazia parte da revisão.
“Como em todos os relacionamentos contratados, o departamento trabalha diretamente com o fornecedor para abordar preocupações, para incluir aqueles que vieram à tona com o processo de acompanhante digital da Microsoft”, disse o escritório de Hegseth no comunicado.
