据ProPublica的调查发现,微软在中国雇佣工程师来维护美国国防部的计算机系统,这一安排几乎没有美国人员的监督,导致一些国家最敏感的数据面临来自其主要网络对手的黑客攻击风险。
这一安排对微软赢得十年前的联邦政府云计算业务至关重要,依赖于拥有安全许可的美国公民对工作进行监督,为间谍活动和破坏行为设置了一道障碍。
然而,ProPublica发现,这些被称为”数字护送员”的工作人员,往往缺乏足够的技术专长,无法有效监督那些拥有更高级技能的外国工程师。
一些护送员是曾经在军队服役的人员,编程经验非常有限,所获得的收入也仅仅略高于最低工资。
“我们相信他们的工作不是恶意的,但我们真的无法判断,”一名现任护送员在匿名条件下表示,担心泄露身份可能带来的职业后果。
这一系统已经存在近十年,但其存在至今首次被公开报道。
微软向ProPublica表示,已将护送模型的细节告知联邦政府。
但前官员在采访中表示,他们从未听说过数字护送员这一概念。
这一项目似乎处于如此低调的状态,以至于连国防部的IT机构都在试图找到对此有所了解的人时感到困难。
“没人似乎对此有任何了解,所以我不知道接下来该怎么做,”国防信息系统局发言人Deven King说。
国安和网络安全专家表示,在美国情报界及国会主要成员一致认为中国的网络能力对国家安全构成最大威胁的背景下,这样的安排让人感到震惊。
国家情报总监办公室称,中国是对美国政府、私营部门和关键基础设施网络的“最活跃和持续的网络威胁”。
一个突出的例子出现在2023年,当时中国黑客渗透了美国高级政府官员的基于云的邮箱,盗取了包括商务部长和美国驻华大使等人的数据和电子邮件。
入侵者仅从国务院下载了约60,000封电子邮件。
随着特朗普总统及其盟友对间谍活动的关切,国务院已于5月宣布计划“积极撤销中国学生的签证”,虽然总统似乎已对此表示有所后退。
该政府还试图安排对流行社交媒体平台TikTok的出售,该平台由一家中国公司拥有,部分立法者认为这可能导致敏感的美国用户数据被交给北京,并利用其内容推荐传播虚假信息。
然而,专家对ProPublica表示,数字护送制度对国家安全构成的威胁远远超过上述问题,是间谍活动的自然机会。
“如果我是特工,我会将这一情况视为获取极有价值的接入途径,我们需要对此非常关注,”前CIA和国家安全局高层执行官Harry Coker表示。
Coker补充道,他和他之前在美国情报界的同事“非常希望能够获得这样的权限”。
至于受数字护送员监督的工程师是否曾对美国政府实施过网络攻击,目前还无从得知。
但Coker想知道,这是否能为我们多年来面临的诸多挑战提供一种解释。
微软利用护送系统来处理那些属于“未分类”但仍然非常敏感的信息。
根据政府的说法,这一“高影响等级”类别包括“涉及生命保护和财务毁坏的数据”。
这些信息的“机密性、完整性或可用性”的丧失“可能会对操作、资产和个人造成严重或灾难性的负面影响”。
在国防部,这些数据被归类为“影响等级”4和5,包括直接支持军事行动的材料。
在拜登政府期间担任国防部首席信息官的John Sherman表示,听到ProPublica的调查结果感到惊讶和担忧。
“我本该知道这些事情,”他说。
他告诉该媒体,这一情况值得DISA、网络司令部和其他相关利益相关者进行彻底审查。
国防信息系统局通过电子邮件回应道,云服务提供商“必须建立并维持审核和使用合格专家的控制措施”,但该机构未对ProPublica关于护送员资格的问题作出回应。
尚不清楚其他向联邦政府提供云服务的供应商是否也使用数字护送员作为其技术支持的一部分。
亚马逊网络服务和谷歌云对本报告未做出公开评论,Oracle也未回应相关请求。
微软未向ProPublica 提供高管接受采访的机会。
在回应邮件中,该公司表示,其员工和承包商的操作符合“美国政府要求和程序”。
全球工作人员“没有直接接触客户数据或客户系统”的权限。
具有相应许可和培训的护送员提供直接支持。
这些工作人员在保护敏感数据、预防损害及在特定环境中使用特定命令/控制方面接受了特定培训。
此外,微软表示,其内部审查流程称为“锁箱”(Lockbox),以“确保请求被视为安全,没有任何需要关注的地方”。
一位公司发言人拒绝提供有关其运作方式的具体信息,但表示这一流程是内置于系统中的,并由微软在美国的员工进行审查。
多年来,参与此项工作的人,包括一名微软网络安全负责人,曾向公司警告这一安排本质上具有风险。这些人告知ProPublica,尽管有护送员在场,外国工程师仍然能接触联邦云的详细信息,而这些信息正是黑客可能利用的。
此外,负责监督这些工作的美国护送员技术能力不足以发现可疑活动,两位知情人士表示。
即使是参与开发护送系统的人也承认,执行这一工作的人员可能无法发现问题。
“如果有人运行了一个名为‘fix_servers.sh’的脚本,但它实际上做了一些恶意的事情,那么护送员根本就不会知道,”曾参与这一护送系统工作的微软工程师Matthew Erickson在给ProPublica的一封电子邮件中表示。
尽管如此,他认为“他们可以干扰的系统范围是有限的”。
一名名为Insight Global的微软承包商在一月发布了一则广告,寻求护送员将没有安全许可的工程师“带入联邦政府的安全环境”,并“保护机密和安全信息免受泄露”,这是一个行业术语,指代数据泄露。
该职位的工资起薪为每小时18美元。
虽然广告提到“高度偏好”和“不错的补充”技能,但主要要求是拥有国防部发放的有效“秘密”级别安全许可。
“人们获得这些工作的原因是因为他们有许可,而不是因为他们是软件工程师,”这名匿名护送员表示,他为Insight Global工作。
这家公司大约50人的护送团队每月处理数百次与微软在中国的工程师和开发人员的互动,负责将这些工作人员指令输入联邦网络。
在给ProPublica的声明中,Insight Global表示,它在面试过程中“评估每个资源的技术能力,以确保他们具备该职位所需的技术技能”,并提供培训。
该公司还表示,护送员在获取政府安全许可的同时,还接受额外的网络和“内部威胁意识”培训。
“虽然该角色可能要求安全许可,但这仅是拼图的一部分,”该公司表示。
在现代云技术于2000年代出现时,带来了按需计算能力和数据存储的基本变化。这一转变也推动了联邦政府的运作。
多年来,联邦部门使用由政府自己拥有和运营的计算服务器来存储数据和支持网络。
转向云计算意味着将这些工作转移到由科技公司管理的大型异地数据中心。
联邦官员相信,云计算将提供更强大的力量、更高的效率和节省成本。
但这一转变也意味着政府将部分控制权交给技术公司,比如微软,这些公司将接手此前由联邦IT工作人员处理的任务。
为了应对这一变革风险,政府于2011年启动了联邦风险和授权管理计划,简称FedRAMP。
根据该计划,想要向政府销售云服务的公司必须建立相应的措施,以确保处理敏感联邦数据的人员拥有必要的“访问授权”和背景审查。
此外,国防部有自己的云指南,要求处理敏感数据的人员必须是美国公民或永久居民。
这对微软造成了问题,因为公司依赖于庞大的全球劳动力,在印度、中国和欧盟均有重大业务。因此,微软请来了一位名为Indy Crowley的高级项目经理,让联邦官员放心。
Crowley以熟悉相关规定和能与政府对话而闻名,因而同事们称他为“FedRAMP耳语者”。
Crowley在接受ProPublica采访时表示,他直接向FedRAMP领导者提出了相对较低风险的问题。
为了证实他的观点,他曾在一次询问中就其他政府供应商(例如IBM)在提供的产品中工作的人员来源问题质疑过一名FedRAMP官员。
该官员无法确定唯一的美国公民参与了该产品。
他认为云计算不应被视为特例。
Crowley表示,他还与政府各部门的潜在客户会面。他告诉ProPublica,国防部的要求“是最严格的”。
由于担心公司全球化劳动力的担忧,官员询问谁将“在幕后”工作于云计算。
鉴于该部门的公民要求,官员们提醒微软“直接雇佣一批美国公民来维护联邦云”的可能性。
然而,Crowley告诉ProPublica,这一建议微软回绝,因为广泛实施将大大增加人工成本,使得云转型对政府来说变得不可行。
“这总是成本与努力和专业水平之间的平衡,”他告诉ProPublica。“因此,您只能找到一个‘足够好的’解决方案。”
雇佣虚拟护送员以监督微软的外国劳动力成为了“最简单的捷径”,Crowley表示。
微软未回应ProPublica对Crowley相关情况的询问。
当他将这一概念带回微软时,同事们反应不一。
正在进行的讨论中的微软云平台Azure的企业副总裁Tom Keane对此想法表示赞同,认为这一想法可以让公司扩大规模,而另一名参与网络安全战略讨论的前员工告诉ProPublica,他们反对这一概念,认为其在安全方面风险过大。
两位前员工称Keane和Crowley都无视了这些担忧,这位早在护送概念实施之前便离开公司的前员工表示。
“那些阻碍扩大的员工不会留下来,”这名前员工说。
Crowley表示,他并不记得讨论的情况,而Keane亦未对评论请求做出回应。
在成为全球最有价值公司的过程中,ProPublica发现,微软多次将公司利润置于客户安全之上。
去年,该新闻机构报道了一名工程师在反复警告该产品缺陷使美国政府暴露后,微软选择忽视该警告,随后由国家支持的俄罗斯黑客利用该缺陷进行了历史上最大的网络攻击之一。
微软为其未能解决该缺陷的决定辩护称,公司收到了“多次审查”,同时在做出安全决策时考虑多种因素。
护送员的构想并不新鲜。
联邦政府的标准设定机构国家标准与技术协会已建立了信息技术维护在现场的执行建议,例如在受限制的政府办公室中。
“缺乏适当安全许可或不是美国公民的维护人员”必须在“获得完全安全许可且拥有适当访问授权并技术合格的组织人员”的监督下执行。
这些指导方针的意图在于阻止“未获得适当安全许可…或不是美国公民的个人,获得敏感政府信息的视觉和电子访问权限”。
但在云计算中,护送员并不一定能够实现这一目标,考虑到他们与微软所指挥的同行之间的技术专长差距。
这种不平衡在护送员模型中是固有的。
参与这一模型的前微软工程师Erickson告知ProPublica,护送员是“稍有技术资格的”,但主要是“仅为确保员工不会意外或故意查看”密码、客户数据或个人身份信息。
“如果云服务存在潜在问题,”他说,“那么仅有在微软工作的人员才具备解决它的必要知识。”
在当时,外国对手的高级威胁也未成为Erickson考虑的问题。
“我并没有对来自其他国家的员工产生额外的威胁感。”
他补充道,拥有护送员并不防止外国开发人员“做出‘坏事’。这仅允许记录和见证。”
他说,如果护送员怀疑恶意活动,他们会终止会话并提交事件报告以进一步调查。
这一信息联邦官员了解多少目前尚不清楚。
微软发言人表示,公司在提出云厂商授权流程中的材料时,描述了数字护送模型。
然而,该公司未能提供这些记录或告知ProPublica,其中包含的确切语言,称公开披露可能存在的安全风险。
除了第三方审计外,微软的文档理论上还将被政府多个部门审核,包括FedRAMP和DISA。
DISA表示,这些材料“无法公开披露”。
负责FedRAMP的总务管理局未对该报告的请求做出回应。
2016年6月,微软宣布已获得FedRAMP授权,处理一些政府最敏感的数据。
当时的FedRAMP主管Matt Goodrich表示,这一认证是“微软能够满足政府严格安全要求的证明”。
就在这一时期,微软开始实践护送概念,联系国防承包商洛克希德·马丁公司雇佣云护送员。
根据参与这一合约的两名知情人士的说法,一位项目经理在保密讨论中表示,他们对护送安排从一开始就持怀疑态度,并向微软同行表达了这一看法。
这位经理尤其担心,新雇员由于微软设定的相对低工资,可能“没有合适的眼光”。但该系统仍然继续实施。
洛克希德·马丁公司对此问题不作评论。
随着微软不断获得更多的政府业务,该公司转向额外的分包商,通常是人力资源公司来雇佣更多的数字护送员。
通过分析LinkedIn上的个人资料,ProPublica识别出至少有两家这样的公司:Insight Global 和ASM Research,其母公司是咨询巨头埃森哲。
尽管微软与这些公司的具体业务范围不清晰,ProPublica发现,Insight Global的数字护送员数量明显高于ASM中的许多员工,他们中的大多数是前军人。
ASM和埃森哲未做出回应。
一些Insight Global的员工意识到了与前洛克希德经理相同的问题:美国护送员与他们所监督的微软工程师之间的技能不匹配。
工程师可能简要描述要完成的任务,例如更新防火墙、安装更新以修复错误或检查日志以排除故障。
然后,在有限的检查下,护送员将这些工程师的指令复制并粘贴到联邦云中。
“他们在告诉非技术人员非常技术性的指令,”该名现任Insight Global护送员表示,并补充道,这一安排创造了无数的黑客机会。
举个例子,他们表示,工程师可以安装一个更新,允许外部人员访问网络。
“这会被抓住吗?绝对会,”这名护送员告诉ProPublica。“这会在造成损害之前被抓住吗?不知道。”
这名护送员特别担心来自中国工作人员每周提交的数十个请求。
在2023年针对联邦官员的攻击中——中国黑客盗取了60,000封电子邮件——加剧了这一担忧。
联邦网络安全审查委员会调查了此次攻击,并指责微软的安全失误给黑客提供了机会。
而该委员会出具的报告未提及数字护送员是否与此次攻击相关,也没有指出需要缓解的风险。此外,在此后,特朗普政府已解散了该委员会。
在声明中,微软表示,其期望护送员“执行多种技术任务”,这些任务在与供应商签订的合同中有详细说明。 Insight Global表示,它评估潜在雇员,以确保他们具备相关技能,并要求新员工接受微软提供的“所有适用安全和合规政策”的培训。
但Insights的员工告知ProPublica,培训计划无法弥补知识差距。此外,由于其监督工作涵盖范围广泛,护送员工作中获得专业知识的机会也相对有限。
“了解您需要查看的各种事务并不可能,”他们表示。
这名护送员表示,他们多年来曾多次向微软提出知识差距问题,最早可追溯至几年前,并在今年4月份再次提出。
他们表示,数字护送员的相对缺乏经验,加上中国法律赋予该国官员广泛的权力,令美国政府网络面临过度暴露的风险。
微软不断感谢该护送员提出的各种问题,而Insight Global表示将对其意见予以考虑。
尚不清楚微软与Insight Global和DISA等政府机构之间是否就数字护送员进行了任何讨论。
但曾任DISA首席技术官的David Mihelcic 表示,任何对国防部网络的可见性都构成“巨大的风险”。
“在这里,您有一个人,您真的不信任,因为他们可能是中国情报机构的一员,而另一个人又真的不具备能力,”他说。
随着中美关系在贸易战争中日益紧张,专家们表示,这一风险可能正在日益加剧——这种冲突可能会导致中国进行网络报复。
在5月份的一次参议院听证会上,微软总裁Brad Smith表示,该公司正在不断“将中国人驱赶出各机构”。他没有详细说明他们是如何进入的,且微软未回应对该言论的后续询问。
图片源于:propublica
