De controverse rond Microsoft GCC High bij het Amerikaanse Ministerie van Justitie en de daaropvolgende personele verschuivingen

Er is grote ophef ontstaan over de implementatie van de Microsoft Government Community Cloud (GCC) High-service door het Amerikaanse Ministerie van Justitie (DOJ). Hoewel de initiële beslissing om dit platform uit te rollen al begin 2020 werd genomen, gebeurde dit ondanks expliciete waarschuwingen van federale auditoren. Deze experts uitten destijds hun ernstige zorgen over de gebrekkige beveiligingsdocumentatie en de mogelijke belangenverstrengeling die gepaard ging met de adoptie van dit specifieke cloudniveau voor overheidsgebruik.

De spanningen liepen verder op na een kritiek incident in 2023, waarbij het systeem werd geïnfiltreerd door Chinese staatshackers. Deze aanval leidde tot de compromittering van de e-mailaccounts van diverse hooggeplaatste functionarissen. Het autorisatieproces voor GCC High, een contract dat Microsoft potentieel miljarden dollars aan inkomsten kon opleveren, werd gekenmerkt door aanzienlijke druk vanuit de top. Er zijn rapporten die suggereren dat zowel vertegenwoordigers van Microsoft als de leiding van het DOJ federale auditoren onder druk hebben gezet om de beveiligingscertificering koste wat het kost goed te keuren.

Tijdens een cruciale bijeenkomst in december 2023 zou Microsoft-vertegenwoordiger John Bergin de auditoren hebben gepusht om de GCC-referenties te accepteren. Hij kreeg hierbij actieve steun van de toenmalige Chief Information Officer (CIO) Melinda Rogers, die openlijk kritiek uitte op het werk van de auditoren. Eric Mill, een voormalig uitvoerend directeur bij de GSA, merkte op dat de houding van Rogers opvallend welwillend was tegenover de positie van Microsoft. Deze gang van zaken riep onmiddellijk prangende vragen op over de naleving van ethische normen en de onafhankelijkheid van het besluitvormingsproces binnen het departement.

Federale auditoren bleven benadrukken dat Microsoft onvoldoende inzicht gaf in hun beveiligingsprotocollen. Ze wezen specifiek op kwetsbaarheden in het netwerk en mogelijke belangenverstrengeling bij externe partijen die door Microsoft waren ingehuurd voor veiligheidsevaluaties. Na de hack in 2023 dreigden auditoren zelfs het certificeringsproces volledig stop te zetten. Ondanks dat FedRAMP-beoordelaars eind 2024 concludeerden dat er een "gebrek aan vertrouwen" was in de algehele beveiligingsstatus van het systeem, werd GCC High uiteindelijk toch geautoriseerd. De voornaamste reden was dat verschillende federale instanties het platform al op grote schaal in gebruik hadden genomen.

De ethische discussie werd in 2025 verder aangewakkerd door de overstap van sleutelfiguren naar Microsoft. Melinda Rogers trad in dienst als partner binnen de divisie voor zakelijke cloudoplossingen, terwijl voormalig plaatsvervangend procureur-generaal Lisa Monaco medio 2025 werd benoemd tot president Global Affairs bij de techgigant. Hoewel Microsoft stelt dat beide functionarissen alle ethische en regelgevende richtlijnen hebben gevolgd, bleef de schijn van een "draaideurconstructie" bestaan. Dit werd versterkt door de onthulling in 2025 dat Microsoft Chinese technici had ingezet bij systemen van het Ministerie van Defensie (DoD), wat leidde tot strengere DFARs 7012-beveiligingseisen. Tegen het einde van 2025 eiste voormalig president Trump zelfs het ontslag van Lisa Monaco.

In 2026 blijft deze kwestie uiterst actueel, aangezien het DOJ een agressieve koers vaart op het gebied van cybersecurity-handhaving, onder meer via de False Claims Act. De gebeurtenissen onderstrepen de voortdurende bezorgdheid over de screening van grote cloudleveranciers die gevoelige overheidsdata beheren en de mogelijke belangenverstrengeling van functionarissen die overstappen naar bedrijven die zij voorheen reguleerden. Hoewel Microsoft in het verleden het DOJ nog aanklaagde over privacykwesties in de cloud, laat de uiteindelijke autorisatie van GCC High zien hoe complex de verhouding tussen de Amerikaanse overheid en grote technologiebedrijven blijft, ondanks de twijfels die FedRAMP eind 2024 uitte.