Роджер Кресси (Roger Cressey), занимавший должность старшего советника по кибербезопасности и борьбе с терроризмом при двух президентах США, а ныне партнёр Liberty Group Ventures, раскритиковал подход Microsoft к обеспечению безопасности своих продуктов, сообщил ресурс The Register. Только за последние несколько недель Microsoft раскрыла две серьёзные уязвимости безопасности, а также сообщила, что злоумышленники использовали одну из них, связанную с SharePoint. Вторая уязвимость, которой пока не воспользовались, связана с Exchange.

Кресси отметил, что в Китае хорошо осведомлены о продуктах Microsoft, и в случае военных действий китайские хакеры будут атаковать критическую инфраструктуру США, направляя усилия на решения Microsoft по двум причинам — во-первых, продукты Microsoft присутствуют повсюду в цифровой экосистеме США, и, во-вторых, они «настолько уязвимы, что для китайцев это просто открытая дверь». Тем не менее, правительство продолжает тратить миллиарды долларов на продукты Microsoft. «Всякий раз, когда объявляется о крупных закупках продуктов Microsoft правительством, в первую очередь радуется Редмонд, а во вторую — Пекин», — говорит Кресси.

Источник изображения: Heri Susilo / Unsplash

Кресси не единственный, что критикует халатность Microsoft в отношении вопросов безопасности. Эй Джей Гротто (AJ Grotto), тоже ранее занимавшийся в Белом доме вопросами безопасности, назвал проблемы компании из Редмонда проблемой национальной безопасности, отметив, что они восходят как минимум к взлому SolarWinds. Их мнение разделяет старший вице-президент CrowdStrike по операциям против злоумышленников Адам Майерс (Adam Meyers).

Сенатор Рон Уайден (Ron Wyden) заявил, что «госучреждения стали зависимы от компании, которая не только не заботится о безопасности, но и зарабатывает миллиарды долларов, продавая услуги кибербезопасности для устранения недостатков своих продуктов». «Каждый взлом, вызванный халатностью Microsoft, приводит к увеличению государственных расходов на услуги Microsoft по информационной безопасности», — сообщил Уайден, отметив, что из этого порочного круга никогда не вырваться, если правительство не перестанет «вознаграждать Microsoft за халатность всё более крупными контрактами».

Кресси также отметил риски, связанные с присутствием Microsoft в Китае, имея в виду недавний скандал — выяснилось, что компания около 10 лет допускала китайцев к обслуживанию важнейших IT-систем Пентагона, удалённо и без должного надзора. По мнению эксперта, в Microsoft «либо неспособны, либо не желают предпринимать действия, которые действительно могли бы изменить ситуацию». Если бы речь шла о другой компании, уже давно бы появились вопросы, почему этой компании и её продуктам дозволено иметь столь важные точки соприкосновения с инфраструктурой национальной безопасности, говорит Кресси.

Источник изображения: Sonny Mauricio / Unsplash

Причина заключается в том, что что Microsoft действительно хорошо умеет продавать свои продукты, а правительство экономит средства, что затрудняет отказ от предложения «бесплатных» продуктов и услуг безопасности (на ограниченный срок), считает Кресси и другие опрошенные The Register эксперты. Тем не менее, Кресси выразил надежду, что администрация Трампа «привлечёт такие компании как Microsoft к ответственности за их провалы в области безопасности».

Как отметил The Register, на прошлой неделе председатель сенатского Комитета по разведке Том Коттон (Tom Cotton) направил письмо министру обороны Питу Хегсету (Pete Hegseth) с призывом запретить лицам, не являющимся гражданами США, доступ к системам Министерства обороны США. Коттон также высоко оценил усилия Хегсета по ограничению доступа китайских инженеров к системам Министерства обороны США (DoD) и запросил информацию о любых уязвимостях безопасности в контрактах и ПО ведомства, связанных с «бизнес-операциями Microsoft в Китае».

«Я не говорю, что мы должны избавиться от Microsoft, я говорю, что Microsoft должна лучше выполнять свою работу», — сказал Кресси, добавив, что всё общество страдает от того, что крупнейшая софтверная компания, на которую полагается страна, «продолжает относиться к безопасности как к досадной помехе, а не как к необходимости».

Министерство обороны США годами допускало Пекин к своим важнейшим системам. При этом речь идёт не о взломе — часть важных задач просто была передана Microsoft на аутсорс китайским коллегам, сообщает Reuters. При этом власти неоднократно жаловались, что Китай регулярно использует уязвимости в IT-системах для разведки и подрыва национальной безопасности США. Пока Пентагон предъявляет всё более строгие требования к гражданству и месту жительства лиц, работающих с его данными, Microsoft оптимизирует расходы, взаимодействуя с экспертами из самых разных стран.

По имеющимся данным, программа Министерства обороны предусматривала некоторый надзор за деятельностью китайских специалистов из Microsoft. При этом они обслуживали облачные системы и имели к ним доступ, но под присмотром «цифрового эскорта». Проблема в том, что наблюдателями были чиновники, не имевшие достаточной квалификации для контроля действий специалистов. Китайские специалисты могли получать доступ к важным данным, в том числе о военных операциях. Не исключается, что китайцы могли внедрять уязвимости в IT-системы американского Министерства обороны.

Существование подобных возможностей поднимает более широкие вопросы обеспечения безопасности, связанные с использованием стороннего ПО в правительственных учреждениях США. КНР уже подозревали во взломе BeyondTrust, который позволил им получить доступ к системам Министерства финансов, включая отдел контроля за иностранными активами и аппарат министра. Кроме того, Китай обвинялся во взломе почтовых систем Microsoft для кражи государственных данных, включая переписку Министерства торговли.

Источник изображения: Shuvro Mojumder / Unsplash

В марте 2025 года Министерство юстиции обвинила группу хакеров, предположительно связанных со спецслужбами КНР, в краже данных у оборонных подрядчиков из США и дочерних образовательных проектов. Также Китай обвиняют в хищении чертежей американского истребителя F-35, что, как предполагается, помогло ускорить создание китайского истребителя J-31.

Также известно о серии кампаний по подготовке кибератак. Так, программа Salt Typhoon была нацелена на американскую телеком-систему, Volt Typhoon — на системы водоснабжения, электросети и железнодорожную инфраструктуру, а Flax Typhoon на коммуникации между США и Тайванем. Цель всех операций — внедрение уязвимостей, которые Пекин мог бы использовать в любой момент.

Уязвимости в системе закупок IT-решений для федеральных ведомств США делают критически важные системы подверженными вмешательству со стороны недружественных государств. Чтобы снизить эти риски, предлагается усилить инвестиции в «национальные» квалифицированные кадры в сфере кибербезопасности, способные выявлять и предотвращать угрозы. Также подчёркивается необходимость большей прозрачности и подотчётности в госзакупках, включая проверку не только основных подрядчиков, но и их субподрядчиков, особенно если среди них есть иностранные граждане.

Кроме того, Конгресс призывают устранить лазейки, позволяющие косвенно взаимодействовать с важными данными. В частности, предлагается запретить доступ сотрудникам из недружественных стран к важной информации без соблюдения ряда строгих требований. Утверждается, что Китай не пренебрегает и прямыми действиями. Так, недавно Тайвань отправил в тюрьму капитана китайского судна, обвинив его в умышленном повреждении подводного кабеля.

UPD 19.07.2025: как передаёт TechCrunch, представитель Microsoft заявил о смене политики компании в отношении госзаказчиков из Минобороны США — теперь ни одна инженерная команда из Китая не будет оказывать техподдержку облаку Пентагона и связанным сервисам.

Организация информационных технологий Ирана (ITOI), правительственный орган, ответственный за разработку и внедрение ИТ-сервисов, запустила официальный процесс оценки для отбора как минимум трёх поставщиков облачных услуг, способных обеспечить функционирование государственных сервисов по всей стране, передаёт The Register.

По результатам оценки провайдерам будет выдан «сертификат рейтинга облачных услуг», что позволит их включить в список авторизованных поставщиков, которые могут претендовать на крупные государственные контракты Ирана. Интерес представляют провайдеры, способные предоставлять услуги IaaS, PaaS и SaaS, поддерживающие модели частного, публичного, гибридного или коллективного облака, а также специализирующиеся на безопасности, мониторинге, поддержке и миграции в облако.

При оценке претендентов ITOI будет исходить из их соответствия международным стандартам ISO 27017 и ISO 27018, которые определяют механизмы контроля безопасности облачных вычислений и защиты персональной информации, а также стандартам облачных вычислений NIST SP 800-145, разработанным Национальным институтом стандартов и технологий США (NIST). Примечательно, что официальные учреждения Ирана, несмотря на вражду страны с США, придерживаются американских стандартов, отметил The Register.

Источник изображения: Elham Abdi/unsplash.com

Ресурс считает, что подыскать подходящих кандидатов для укрепления ИТ-инфраструктуры страны будет непросто, поскольку многие страны из-за санкций США объявили запрет на ведение бизнеса с Ираном или ввели серьёзные ограничения. Иран уже ограничивает доступ в интернет, иногда целиком, а сейчас, по-видимому, решил ускорить реализацию своих проектов по цифровизации страны и развитию IT-инфраструктуры.

В ближайшие несколько недель будет подписано соглашение Google с правительством США, в рамках которого власти получат значительные скидки на услуги облачных вычислений, сообщила газета Financial Times (FT) со ссылкой на представителя Администрации общих служб (GSA) США, координирующей госзакупки, отметив, что команда Дональда Трампа (Donald Trump) оказывает значительное давление на технологические компании, требуя снижения цен по давним и выгодным контрактам.

До этого на прошлой неделе Oracle заключила с правительством соглашение, в рамках которого временно предоставила 75-% скидку на своё ПО, СУБД и аналитические решения, а также «существенную» скидку на услуги облачных вычислений до конца ноября. По словам высокопоставленного чиновника GSA, по облачному контракту Google, вероятно, будут похожие условия. Аналогичных скидок правительство ожидает от Microsoft Azure и Amazon Web Services, но с ними переговоры пока не продвинулись так далеко, как в случае с Alphabet, материнской компанией Google.

Источник изображения: Google

«Каждая из этих компаний полностью вовлечена в процесс и понимает миссию, — говорит чиновник. — Мы добьёмся сделки, сотрудничая со всеми четырьмя игроками». Администрация Трампа пытается сократить расходы на ИТ-решения в рамках общегосударственной инициативы, продвигаемой Департаментом эффективности государственного управления (DOGE), ранее возглавляемым Илоном Маском (Elon Musk). По данным FT, расходы правительства США на облачные технологии в настоящее время превышают $20 млрд/год, причём основная часть этой суммы приходится на контракты с четыре упомянутыми облачными провайдерами.

Аналогичные переговоры ведутся с консалтинговыми компаниями, такими как Booz Allen Hamilton и Deloitte. Также, по словам чиновника, GSA намерена пересмотреть соглашения с компаниями, предоставляющими услуги райдшеринга и имеющими контракты с федеральным правительством.

В апреле Google согласилась предоставить правительству США «временное снижение цен» на 71 % по некоторым контрактам Workspace до конца сентября. Также в рамках соглашений с правительством пошли на уступки Adobe и Salesforce. Последняя снизила цену за использование госслужбами сервиса обмена сообщениями Slack на 90 % до конца ноября.