ProPublica informa que los revisores federales de ciberseguridad habían preocupaciones serias y de abriles sobre la ofrecimiento de cúmulo GCC High de Microsoftpero lo aprobaron de todos modos porque el producto ya estaba profundamente arraigado en todo el gobierno. Como dijo un miembro del equipo: “El paquete es un montón de mierda”. Del documentación: A finales de 2024, los evaluadores de ciberseguridad del gobierno federal emitieron un veredicto preocupante sobre una de las mayores ofertas de computación en la cúmulo de Microsoft. La “desliz de documentación de seguridad detallada y adecuada” del cíclope tecnológico dejó a los revisores con una “desliz de confianza para evaluar la postura universal de seguridad del sistema”, según un documentación interno del gobierno revisado por ProPublica. Durante abriles, dijeron los críticos, Microsoft había intentado, sin éxito, explicar completamente cómo protege la información confidencial en la cúmulo mientras salta de un servidor a otro a través del dominio digital. Teniendo en cuenta esa y otras incógnitas, los expertos gubernamentales no pudieron respaldar la seguridad de la tecnología.

Semejantes juicios serían condenatorios para cualquier empresa que intentara entregar sus productos al gobierno de Estados Unidos, pero deberían acontecer sido particularmente devastadores para Microsoft. Los productos del cíclope tecnológico habían estado en el centro de dos importantes ataques de ciberseguridad contra Estados Unidos en tres abriles. En uno, los piratas informáticos rusos aprovecharon una amor para robar datos confidenciales de varias agencias federales. incluida la Oficina Franquista de Seguridad Nuclear. En el otro, los hackers chinos infiltrado en las cuentas de correo electrónico de un miembro del Estancia y otros altos funcionarios gubernamentales. El gobierno federal podría citarse aún más expuesto si no pudiera probar la ciberseguridad de Government Community Cloud High de Microsoft, un conjunto de servicios basados ​​en la cúmulo destinados a custodiar parte de la información más confidencial del país.

Sin retención, en una medida muy inusual que todavía repercute en todo Washington, el Software Federal de Dirección de Autorizaciones y Riesgos (FedRAMP, por sus siglas en inglés) autorizó el producto de todos modos, otorgando lo que equivale al sello de aprobación de ciberseguridad del gobierno federal. El defecto de FedRAMP, que incluía una especie de aviso de “cuidado con el comprador” a cualquier agencia federal que considerara GCC High, ayudó a Microsoft a expandir un imperio empresarial oficial valorado en miles de millones de dólares. “BOOM SHAKA LAKA”, se jactó Richard Wakeman, uno de los principales arquitectos de seguridad de la compañía, en un foro en bisectriz, celebrando el hito con un meme de Leonardo DiCaprio en “El lobo de Wall Street”.

No fue el tipo de resultado que los formuladores de políticas federales imaginaron hace una plazo y media cuando abrazaron la revolución de la cúmulo y crearon FedRAMP para ayudar a custodiar la ciberseguridad del gobierno. Se suponía que las capas de revisión del software, que incluían una evaluación por parte de expertos externos, garantizarían que a los proveedores de servicios como Microsoft se les pudieran esperar los secretos del gobierno. Pero la investigación de ProPublica, extraída de memorandos, registros, correos electrónicos, actas de reuniones y entrevistas internas de FedRAMP con siete empleados y contratistas gubernamentales actuales y anteriores, encontró fallas en cada etapa de ese proceso. Asimismo encontró una trascendental deferencia en torno a Microsoft, incluso cuando los productos y prácticas de la compañía fueron fundamentales para dos de los ataques cibernéticos más dañinos de ningún modo llevados a lengua contra el gobierno.