O que aconteceu
O Departamento de Defesa apertou os requisitos de segurança cibernética para empresas de tecnologia que vendem serviços de computação em nuvem ao Pentágono.
As atualizações, emitidas este mês, proibem os fornecedores de usar o pessoal da China para trabalhar em sistemas de computadores de departamento e exigem que as empresas mantenham uma trilha de manutenção em papel digital realizada por seus engenheiros estrangeiros.
Fundo
As mudanças seguem uma investigação do ProPublica que expôs como a Microsoft usou os engenheiros da China para manter os sistemas de computadores do governo por quase uma década-uma prática que deixou alguns dos dados mais sensíveis do país vulneráveis a hackers de seu principal adversário cibernético.
Os supervisores dos EUA, conhecidos como “acompanhantes digitais”, deveriam servir como uma verificação desses funcionários estrangeiros, mas descobrimos que eles geralmente não tinham a experiência necessária para supervisionar efetivamente os engenheiros com habilidades técnicas muito mais avançadas.
O que eles disseram
O Departamento de Defesa agora diz em seu “Guia de requisitos de segurança“Que apenas” pessoal de países não adversários “pode funcionar em seus sistemas em nuvem e que as escoltas que supervisionam esses trabalhadores estrangeiros” devem ser tecnicamente qualificados no código/sistema ou tecnologia à qual estão fornecendo acesso “.
Além disso, os provedores de nuvem devem manter registros de auditoria detalhados, uma trilha digital de ações em sistemas de computador. Os logs “devem incluir a identificação da escolta e escolta”, incluindo o país de origem, bem como os detalhes dos comandos executados e as configurações alteradas.
Por que isso importa
Até nossa reportagem, as autoridades do Pentágono disseram que não tinham conhecimento do sistema de acompanhantes digitais da Microsoft, que a empresa desenvolveu como uma subida para um requisito do Departamento de Defesa de que as pessoas que lidam com dados confidenciais sejam cidadãos dos EUA ou residentes permanentes.
Especialistas em segurança cibernética e inteligência disseram a Propublica que o acordo apresenta grandes riscos para a segurança nacional, uma vez que as leis na China concedem às autoridades do país ampla autoridade para coletar dados. Os principais membros do Congresso, por sua vez, pediram ao Departamento de Defesa que fortaleça seus requisitos de segurança enquanto explodia a Microsoft para O que alguns republicanos chamaram de “uma traição nacional”.
O Pentágono agora está conduzindo uma investigação sobre o programa de acompanhantes digitais, com foco nos engenheiros da Microsoft na China.
Resposta
Após os relatórios da ProPublica, a Microsoft anunciou em julho que pararia de usar os engenheiros da China para atender os sistemas em nuvem do Departamento de Defesa. Em um comunicado para este artigo, um porta -voz disse que a empresa estava comprometida em implementar os novos requisitos do departamento.
“Nosso compromisso com a segurança nacional é fundamental e continuamos focados em fornecer os serviços mais seguros ao governo dos EUA”, disse o porta -voz. “Recentemente, implementamos alterações em nosso modelo de apoio ao departamento e continuaremos trabalhando com nossos parceiros de segurança nacional para avaliar e ajustar nossos protocolos de segurança à luz das novas diretrizes”.
Doris Burke contribuiu com a pesquisa.
