Споры вокруг облака Microsoft GCC High в Министерстве юстиции и последующие кадровые перестановки

В центре внимания оказалась полемика, связанная с принятием и дальнейшим использованием Министерством юстиции (DOJ) облачного сервиса Microsoft Government Community Cloud (GCC), в частности, его уровня High, на фоне последующего перехода ключевых должностных лиц DOJ на руководящие посты в Microsoft. Первоначальное решение о развертывании GCC High было принято в начале 2020 года, несмотря на то, что федеральные аудиторы высказывали серьезные опасения относительно документации по безопасности и потенциальных конфликтов интересов.

Ситуация обострилась после инцидента в 2023 году, когда система подверглась взлому со стороны китайских хакеров, спонсируемых государством, что привело к компрометации электронной почты высокопоставленных чиновников. Процесс авторизации GCC High, который, по некоторым данным, мог принести Microsoft миллиарды потенциального дохода, сопровождался значительным давлением. Сообщается, что представители Microsoft и руководство DOJ оказывали нажим на федеральных аудиторов с целью получения одобрения системы. В частности, на решающем совещании в декабре 2023 года представитель Microsoft Джон Бергин, по сообщениям, оказывал давление на аудиторов, чтобы те приняли учетные данные GCC, при поддержке бывшего главного информационного директора (CIO) Мелинды Роджерс, которая критиковала работу аудиторов. Бывший исполнительный директор GSA Эрик Милл отмечал, что Роджерс проявляла чрезмерную симпатию к позиции Microsoft, что вызывало вопросы о соблюдении этических норм.

Федеральные аудиторы неоднократно заявляли, что Microsoft не предоставила достаточной информации о своих процедурах безопасности, указывая на возможные конфликты интересов, связанные с третьими сторонами, нанятыми Microsoft для оценки, и на потенциальные сетевые уязвимости. После взлома в 2023 году аудиторы якобы угрожали прекратить процесс сертификации. Несмотря на то, что рецензенты FedRAMP к концу 2024 года пришли к выводу о «недостатке уверенности в оценке общей позиции системы в отношении безопасности», GCC High все же получил авторизацию, поскольку ряд федеральных ведомств уже использовали эту платформу. Программа FedRAMP, или Федеральная программа управления рисками и авторизацией, стандартизирует оценку безопасности облачных продуктов для федеральных агентств.

Последующие карьерные переходы должностных лиц, участвовавших в процессе, вызвали дополнительные этические вопросы. Мелинда Роджерс, бывший CIO, в 2025 году заняла должность партнера в Microsoft в подразделении корпоративных облачных решений. Бывший заместитель генерального прокурора Лиза Монако в середине 2025 года стала президентом Microsoft по глобальным вопросам. Представитель Microsoft заявлял, что Роджерс и Монако соблюдали все этические и регуляторные стандарты, и что между их официальными ролями и последующим трудоустройством не было никакой связи. Тем не менее, в 2025 году стало известно, что Microsoft использовала инженеров из Китая в системах Министерства обороны (DoD), что побудило DoD ужесточить требования к безопасности, требуя от поставщиков облачных услуг соответствия DFARs 7012. Это также совпало с требованием бывшего президента Трампа уволить Лизу Монако в конце 2025 года.

Актуальность данного вопроса для 2026 года заключается в том, что DOJ продолжает агрессивную позицию в отношении соблюдения кибербезопасности, в том числе через применение Закона о ложных претензиях. События подчеркивают сохраняющуюся озабоченность по поводу проверки безопасности крупных поставщиков облачных услуг, обрабатывающих конфиденциальные государственные данные, и потенциальных этических проблем «вращающейся двери» с участием высокопоставленных чиновников, переходящих к поставщикам, которых они регулировали. В то же время, Microsoft ранее судилась с DOJ по поводу конфиденциальности данных в облаке, утверждая, что правительство злоупотребляет устаревшими законами для тайных расследований. Авторизация GCC High в итоге была получена, несмотря на то, что рецензенты FedRAMP в конце 2024 года выразили «недостаток уверенности» в оценке безопасности.