Kontrowersje wokół chmury Microsoft GCC High w Departamencie Sprawiedliwości i późniejsze roszady kadrowe

W centrum uwagi opinii publicznej znalazła się polemika dotycząca wdrożenia i eksploatacji usługi chmurowej Microsoft Government Community Cloud (GCC) High przez Departament Sprawiedliwości USA (DOJ). Sytuacja ta budzi szczególne emocje w kontekście późniejszego przejścia kluczowych urzędników resortu na wysokie stanowiska kierownicze w strukturach Microsoftu. Choć pierwotna decyzja o implementacji systemu GCC High zapadła na początku 2020 roku, od samego początku towarzyszyły jej poważne zastrzeżenia ze strony audytorów federalnych. Eksperci ci wskazywali na istotne braki w dokumentacji dotyczącej bezpieczeństwa oraz na ryzyko wystąpienia potencjalnych konfliktów interesów.

Napięcie wokół projektu gwałtownie wzrosło po incydencie z 2023 roku, kiedy to system padł ofiarą ataku przeprowadzonego przez hakerów wspieranych przez chińskie państwo. Cyberatak doprowadził do kompromitacji skrzynek e-mailowych wysokiej rangi urzędników federalnych. Proces autoryzacji GCC High, który według dostępnych informacji mógł przynieść Microsoftowi miliardy dolarów potencjalnego dochodu, odbywał się pod ogromną presją polityczną i biznesową. Doniesienia wskazują, że przedstawiciele korporacji oraz kierownictwo DOJ wywierali naciski na audytorów federalnych w celu wymuszenia akceptacji systemu. Podczas kluczowego spotkania w grudniu 2023 roku, John Bergin z Microsoftu miał bezpośrednio naciskać na audytorów, aby przyjęli poświadczenia bezpieczeństwa GCC. Otrzymał on przy tym wsparcie od ówczesnej dyrektor ds. informatycznych (CIO) Melindy Rogers, która otwarcie krytykowała pracę zespołu audytowego. Eric Mill, były dyrektor wykonawczy GSA, zauważył, że postawa Rogers była nadzwyczaj przychylna interesom Microsoftu, co budziło poważne pytania o zachowanie standardów etycznych.

Audytorzy federalni wielokrotnie i stanowczo podnosili, że Microsoft nie dostarczył wystarczających informacji na temat swoich wewnętrznych procedur bezpieczeństwa. Wskazywali oni na możliwe konflikty interesów związane z podmiotami trzecimi, które Microsoft wynajął do przeprowadzenia oceny, a także na krytyczne luki w architekturze sieciowej. Po wspomnianym włamaniu z 2023 roku, zespół certyfikujący miał nawet grozić całkowitym przerwaniem procesu autoryzacji. Mimo że recenzenci programu FedRAMP (Federal Risk and Authorization Management Program) pod koniec 2024 roku sformułowali wniosek o „braku pewności co do oceny ogólnego poziomu bezpieczeństwa systemu”, platforma GCC High ostatecznie otrzymała zielone światło. Decyzję tę uzasadniano faktem, że szereg innych agencji federalnych zdążyło już zintegrować swoje operacje z tą platformą, co postawiło urzędników przed faktem dokonanym.

Dalsze losy zawodowe osób zaangażowanych w proces certyfikacji wywołały falę dodatkowych pytań o etykę zawodową i przejrzystość działań. Melinda Rogers, pełniąca wcześniej funkcję CIO w Departamencie Sprawiedliwości, w 2025 roku objęła prestiżowe stanowisko partnera w dziale korporacyjnych rozwiązań chmurowych Microsoftu. Z kolei Lisa Monaco, była zastępczyni prokuratora generalnego, w połowie 2025 roku została mianowana prezesem Microsoftu ds. globalnych. Choć oficjalne stanowisko firmy głosi, że zarówno Rogers, jak i Monaco przestrzegały wszelkich norm etycznych i regulacyjnych, a ich nowe role nie miały związku z wcześniejszymi decyzjami urzędowymi, opinia publiczna pozostała sceptyczna. Sytuację dodatkowo skomplikowały ujawnione w 2025 roku informacje o wykorzystywaniu przez Microsoft inżynierów z Chin przy projektach dla Departamentu Obrony (DoD). Skłoniło to DoD do zaostrzenia wymogów bezpieczeństwa i egzekwowania zgodności ze standardami DFARs 7012, co zbiegło się w czasie z żądaniem byłego prezydenta Trumpa, który pod koniec 2025 roku domagał się dymisji Lisy Monaco.

W 2026 roku sprawa ta pozostaje niezwykle istotna, ponieważ Departament Sprawiedliwości kontynuuje swoją agresywną politykę w zakresie egzekwowania cyberbezpieczeństwa, wykorzystując do tego między innymi ustawę o fałszywych roszczeniach (False Claims Act). Opisane wydarzenia rzucają światło na trwające obawy dotyczące rzetelności weryfikacji zabezpieczeń u wielkich dostawców chmurowych, którzy zarządzają najbardziej wrażliwymi danymi państwowymi. Podnoszą one również problematykę zjawiska „drzwi obrotowych”, w ramach którego wysocy urzędnicy przechodzą do korporacji, które wcześniej podlegały ich regulacji. Warto przy tym pamiętać, że Microsoft w przeszłości toczył spory prawne z DOJ w kwestii prywatności danych w chmurze, argumentując, że rząd nadużywa przestarzałych przepisów do prowadzenia tajnych dochodzeń. Ostateczne uzyskanie autoryzacji przez GCC High, mimo wyrażonego przez ekspertów FedRAMP pod koniec 2024 roku „braku pewności” co do bezpieczeństwa, pozostaje kontrowersyjnym punktem zwrotnym w relacjach państwa z sektorem Big Tech.