微软公司在本周ProPublica调查报道揭露该公司与中国工程师合作维护国防部云计算系统的情况后,已决定停止这一做法。
微软首席传播官Frank Shaw在周五下午通过社交媒体平台X宣布:“针对本周早些时候有关美国监管下的外国工程师的担忧,微软已对我们的美国政府客户支持进行了调整,确保没有中国籍的工程师为国防部的云计算及相关服务提供技术支持。”
在微软宣布的同一天,国防部长Pete Hegseth表示,他的部门将对微软使用外国工程师来维护高度敏感的云系统进行调查。
Hegseth在X上的一篇帖子中指出:“来自任何国家,包括中国的外国工程师,绝不能维护或访问国防部系统。”
ProPublica的调查详细说明了微软使用中国工程师来维护国防部计算机系统的现象,并指出这一做法受到美国人员的极少监督,这使得一些国家最敏感的数据面临被黑客或间谍入侵的风险。而这种安排是微软十年前获得联邦政府云计算业务时的关键策略,它依赖于拥有安全许可的美国公民来监督这些工作,成为防止间谍和破坏的屏障。
然而,这些被称为“数字护送”的工作人员通常缺乏足够的技术知识,难以有效监管具备更高技能的外国工程师,ProPublica的调查显示。
与此同时,来自阿肯色州的共和党参议员Tom Cotton在致Hegseth的信中引用了ProPublica的调查数据,要求提供哪些国防部承包商使用中国人员维护该部门的信息和计算系统的详细信息。
Cotton在信中写道:“中国对美国构成了‘最具攻击性和危险的威胁之一’,这从其对我们关键基础设施、通信网络和供应链的渗透中可见一斑。国防部必须防范其供应链中包括分包商在内的潜在威胁。”
自2011年以来,云计算公司如微软在销售其服务给美国政府时,需说明如何确保参与联邦数据工作的人员将具备必要的“访问授权”和背景审核。此外,国防部要求处理敏感数据的人必须是美国公民或永久居民。
这使得微软面临问题,因为其依赖于全球庞大的劳动力,并在印度、中国和欧盟等地有大规模运营。
因此,微软聘请了人力资源公司,招募在美国的数字护送人员,他们拥有安全许可,能够访问敏感信息,以此来从海外专家那里获得指示。一个工程师可能会简要描述将要完成的工作,例如更新防火墙、安装修复错误的更新或审查日志以排查问题。然后,护送人员可能只需复制粘贴工程师的命令到联邦云系统。
“我们相信他们所做的不是恶意的,但我们真的无法判断,”一名护送人员在接受ProPublica采访时表示。
在回应ProPublica的调查前,微软曾表示其人员和承包商的操作“与美国政府的要求和流程一致。”
该公司的全球员工“对客户数据或客户系统没有直接访问权限,”声明中指出。具备相应许可和培训的护送人员提供直接支持,并接受了关于保护敏感数据、预防伤害以及特定命令/控制的培训。此外,微软表示其内部审核流程称为“锁盒”,以“确保请求是安全的或存在任何问题。”
提供数字护送的承包商Insight Global表示,它在面试过程中“评估每个资源的技术能力,以确保他们具备所需的技术技能,并提供培训。”
图片源于:propublica