Adalet Bakanlığı'nın Microsoft GCC High Geçişi ve Tartışmalı Kariyer Hamleleri

Adalet Bakanlığı'nın (DOJ) Microsoft Government Community Cloud (GCC) High platformuna geçiş süreci ve sonrasında üst düzey yetkililerin Microsoft bünyesine katılması, kamuoyunda geniş yankı uyandırdı. 2020 yılının başlarında alınan GCC High kullanım kararı, federal denetçilerin güvenlik belgeleri ve olası çıkar çatışmaları konusundaki ciddi uyarılarına rağmen hayata geçirilmişti. Bu stratejik hamle, başlangıcından itibaren hem teknik hem de etik tartışmaların odağında yer aldı.

Süreçteki gerilim, 2023 yılında devlet destekli Çinli bilgisayar korsanlarının sisteme sızması ve üst düzey bürokratların e-postalarını ele geçirmesiyle yeni bir boyuta ulaştı. Microsoft için milyarlarca dolarlık gelir potansiyeli taşıyan GCC High'ın yetkilendirme aşamasında, federal denetçiler üzerinde yoğun bir baskı kurulduğu iddia ediliyor. Aralık 2023'teki kritik bir toplantıda, Microsoft temsilcisi John Bergin'in, dönemin Bilgi İşlem Başkanı (CIO) Melinda Rogers'ın desteğiyle denetçileri zorladığı öne sürülüyor. Eski GSA İcra Direktörü Eric Mill, Rogers'ın Microsoft'un pozisyonuna gösterdiği aşırı yakınlığın etik standartlar açısından soru işaretleri yarattığını dile getirmişti.

Federal denetçiler, Microsoft'un güvenlik prosedürleri hakkında yeterli şeffaflık sağlamadığını ve üçüncü taraf değerlendirme kuruluşlarıyla olan ilişkilerinin çıkar çatışması barındırdığını defalarca vurguladı. 2023'teki siber saldırının ardından denetçilerin sertifikasyon sürecini durdurma noktasına geldiği belirtiliyor. 2024 yılının sonlarına gelindiğinde, FedRAMP incelemecileri sistemin genel güvenlik duruşuna dair "güven eksikliği" bildirmesine rağmen, birçok federal kurumun halihazırda platformu kullanıyor olması nedeniyle GCC High'a onay verildi. FedRAMP programı, bulut ürünlerinin güvenlik standartlarını belirleyen en kritik mekanizma olarak biliniyor.

Süreçte rol alan isimlerin kısa süre sonra Microsoft'ta üst düzey görevlere gelmesi, "döner kapı" siyaseti tartışmalarını alevlendirdi. Eski CIO Melinda Rogers, 2025 yılında Microsoft'un kurumsal bulut çözümleri birimine ortak olarak katılırken; eski Başsavcı Yardımcısı Lisa Monaco, 2025 yılının ortalarında Microsoft'un Küresel İşlerden Sorumlu Başkanı oldu. Microsoft yetkilileri bu geçişlerin tüm etik ve düzenleyici kurallara uygun olduğunu savunsa da, 2025'te Savunma Bakanlığı (DoD) sistemlerinde Çinli mühendislerin çalıştırıldığının ortaya çıkması güvenlik endişelerini artırdı. Bu durum, DoD'nin DFARs 7012 standartlarını sıkılaştırmasına ve dönemin Başkanı Trump'ın 2025 sonunda Monaco'nun görevden alınmasını talep etmesine yol açtı.

2026 yılı itibarıyla Adalet Bakanlığı, Yanlış Beyan Yasası (False Claims Act) aracılığıyla siber güvenlik uyumluluğu konusundaki sert tutumunu sürdürüyor. Yaşanan olaylar, hassas devlet verilerini işleyen dev bulut sağlayıcılarının denetim süreçlerindeki zafiyetleri ve üst düzey yetkililerin denetledikleri şirketlere geçiş yapmalarının yarattığı etik riskleri bir kez daha kanıtladı. Geçmişte veri gizliliği konusunda DOJ ile mahkemelik olan Microsoft'un, FedRAMP'in 2024 sonundaki "güven eksikliği" raporuna rağmen GCC High yetkisini alabilmiş olması, siber güvenlik dünyasında tartışılmaya devam ediyor.