Il problema è che spesso le aziende non dispongono del personale e delle risorse per condurre revisioni approfondite, il che significa che l’intero sistema si basa sulle affermazioni delle società cloud e sulle valutazioni di società terze per valutarle. Con l’approccio attuale, dicono i critici, FedRAMP ha perso il filo.
“Il compito di FedRAMP è quello di guardare le spalle del popolo americano quando i suoi dati vengono condivisi con le società cloud”, ha affermato Mill, l’ex funzionario della GSA e coautore della nota della Casa Bianca del 2024. “Quando c’è un problema di sicurezza, il pubblico non si aspetta che FedRAMP sia solo un passacarte.”
Nel frattempo, al Dipartimento di Giustizia, i funzionari stanno cercando di capire cosa intende FedRAMP per “incognite sconosciute” alla GCC High. L’anno scorso, ad esempio, l’hanno scoperto Microsoft si è affidata a ingegneri con sede in Cina per la manutenzione dei propri sistemi cloud sensibili Nonostante il divieto del Dipartimento di assistere i cittadini non statunitensi nella manutenzione informatica.
I funzionari sono venuti a conoscenza del sistema – utilizzato anche alla GCC High – non da FedRAMP o Microsoft Un’indagine propublica in praticaSecondo i dipendenti della Giustizia che hanno parlato con noi.
Un portavoce di Microsoft ha riconosciuto che il piano di sicurezza scritto per GCC High che la società ha presentato al Dipartimento di Giustizia non menzionava ingegneri stranieri, anche se ha affermato che Microsoft ha comunicato tali informazioni ai funzionari della Giustizia prima del 2020. Tuttavia, Microsoft ha smesso di utilizzare ingegneri con sede in Cina nei sistemi governativi.
I funzionari governativi precedenti e attuali temono che altri rischi possano nascondersi nel GCC High e oltre.
La GSA ha dichiarato a ProPublica che, in generale, “se esistono prove credibili che un fornitore di servizi cloud abbia fornito dichiarazioni sostanzialmente false, la questione verrà deferita all’autorità investigativa appropriata”.
Ironicamente, il giudice finale se i fornitori di servizi cloud o i loro valutatori terzi sono all’altezza delle loro affermazioni è lui stesso. Ex dipendente di Accenture presenta accuse recenti È disposto Per usare questo potere. In un documento giudiziario, il Dipartimento di Giustizia ha affermato che l’ex dipendente ha rilasciato “dichiarazioni false e fuorvianti” sulla sicurezza della piattaforma cloud per aiutare l’azienda a “ottenere e mantenere lucrosi contratti federali”. È anche accusato di aver tentato di “influenzare e ostacolare” i valutatori terzi di Accenture nascondendo carenze di prodotti e dicendo ad altri di nascondere “il vero stato del sistema” durante le proteste, ha detto il dipartimento. Si è dichiarato non colpevole.
Non vi è alcuna indicazione pubblica che tale causa sia stata intentata contro Microsoft o chiunque sia coinvolto nell’approvazione del GCC. Il Dipartimento di Giustizia ha rifiutato di commentare. Monaco, il vice procuratore generale che ha avviato l’iniziativa del dipartimento per perseguire i casi di frode sulla sicurezza informatica, non ha risposto alle richieste di commento.
Ha lasciato il suo incarico ufficiale nel gennaio 2025. Microsoft lo ha assunto per diventare presidente degli affari globali.
Un portavoce della società ha detto che l’assunzione di Monaco ha seguito “tutte le regole, i regolamenti e gli standard etici” e che lui “non lavora su alcun contratto con il governo federale né monitora o è coinvolto in nessuno dei nostri rapporti con il governo federale”.
