Microsoft usava tecnici cinesi nei progetti cloud del Dipartimento della Difesa USA

Dopo la pubblicazione di un'inchiesta da parte di ProPublica, Microsoft ha annunciato che gli ingegneri con sede in Cina non saranno più coinvolti nella manutenzione dei sistemi cloud utilizzati dal Dipartimento della Difesa degli Stati Uniti. La decisione arriva in risposta alle preoccupazioni sulla sicurezza delle infrastrutture governative e sulla possibilità che informazioni sensibili potessero essere esposte a rischi di cyberspionaggio.

L'inchiesta di ProPublica ha rivelato che, per anni, Microsoft ha impiegato personale tecnico cinese nel supporto a infrastrutture critiche per l'apparato militare statunitense, affidandosi a un sistema di controllo noto come "digital escort". Questi supervisori statunitensi, pur in possesso delle necessarie autorizzazioni di sicurezza, erano spesso privi di competenze tecniche sufficienti per valutare con accuratezza l'operato dei colleghi stranieri. Secondo quanto riportato, molti di essi provenivano dall'ambiente militare ma avevano un'esperienza minima nel campo della programmazione, e in alcuni casi venivano pagati poco più del salario minimo.

L'utilizzo di questa pratica, finora sconosciuta persino ad alcuni enti interni al Pentagono come la Defense Information Systems Agency (DISA), ha destato sorpresa anche tra esperti di sicurezza nazionale. Harry Coker, ex direttore nazionale per la cybersicurezza durante l'amministrazione Biden e in precedenza dirigente della CIA e della NSA, ha definito il sistema un potenziale "paradiso per le spie", sottolineando quanto sarebbe stato vantaggioso per le agenzie di intelligence avere un accesso simile a dati così sensibili.

I dati gestiti da Microsoft per conto del Dipartimento della Difesa appartengono ai livelli 4 e 5 di impatto, il che significa che un'eventuale compromissione potrebbe avere conseguenze "gravi o catastrofiche" su operazioni militari, persone e beni. Nonostante Microsoft abbia assicurato che i lavoratori esteri non avessero accesso diretto ai dati dei clienti o ai sistemi operativi, gli ingegneri in Cina avrebbero potuto comunque acquisire conoscenze dettagliate sulle architetture cloud in uso presso enti governativi.

In risposta alla crescente pressione pubblica, il segretario alla Difesa Pete Hegseth ha dichiarato su X: "Ingegneri stranieri - di qualsiasi paese, inclusa ovviamente la Cina - non dovrebbero MAI avere accesso o svolgere manutenzione sui sistemi del Dipartimento della Difesa".

A stretto giro, Frank X. Shaw, Chief Communications Officer di Microsoft, ha comunicato ufficialmente la fine dell'impiego di team tecnici con sede in Cina per attività legate al governo americano: "Abbiamo apportato modifiche al nostro supporto per i clienti governativi statunitensi per garantire che nessun team di ingegneri basato in Cina fornisca più assistenza tecnica per il cloud e i servizi correlati del Dipartimento della Difesa".

Al momento, non ci sono prove che suggeriscano che i tecnici coinvolti abbiano installato malware o vulnerabilità intenzionali nei sistemi, ma resta il timore che eventuali attività sospette possano essere passate inosservate, proprio a causa della scarsa preparazione tecnica dei supervisori. Un digital escort, intervistato in forma anonima, ha ammesso: "Ci fidiamo del fatto che non stiano facendo nulla di male, ma in realtà non possiamo esserne sicuri". Ora l'attenzione si sposta sulla necessità di rivedere i sistemi già toccati da personale straniero per escludere eventuali compromissioni.