Дискусії навколо хмари Microsoft GCC High у Міністерстві юстиції США та подальші кадрові зміни

У центрі суспільної уваги опинилася гостра полеміка, пов’язана з впровадженням та експлуатацією хмарного сервісу Microsoft Government Community Cloud (GCC), зокрема його спеціалізованого рівня High, у Міністерстві юстиції США (DOJ). Ця ситуація розгортається на тлі резонансних переходів колишніх високопосадовців відомства на керівні посади в корпорацію Microsoft. Варто нагадати, що первинне рішення про розгортання платформи GCC High було ухвалене ще на початку 2020 року. Це сталося попри те, що федеральні аудитори вже тоді висловлювали серйозні застереження щодо документації з безпеки та вказували на потенційні конфлікти інтересів.

Напруженість навколо цього питання значно зросла після інциденту 2023 року, коли державні хакери з Китаю здійснили успішний злам системи. Внаслідок цієї атаки було скомпрометовано електронне листування низки високопоставлених чиновників. Процес авторизації GCC High, який, за оцінками експертів, міг принести Microsoft мільярди доларів потенційного доходу, супроводжувався значним тиском. Повідомляється, що представники Microsoft разом із керівництвом DOJ активно впливали на федеральних аудиторів з метою отримання схвалення системи. Зокрема, під час вирішальної зустрічі у грудні 2023 року представник Microsoft Джон Бергін, за наявними даними, наполягав на прийнятті облікових даних GCC. Його підтримала тодішня головна інформаційна директорка (CIO) Мелінда Роджерс, яка відкрито критикувала роботу аудиторів. Ерік Мілл, колишній виконавчий директор GSA, зазначав, що позиція Роджерс була надмірно прихильною до Microsoft, що викликало обґрунтовані сумніви щодо дотримання етичних норм.

Федеральні аудитори неодноразово наголошували на тому, що корпорація Microsoft не надала вичерпної інформації про свої протоколи безпеки. Вони вказували на ймовірні конфлікти інтересів, пов’язані з третіми сторонами, яких Microsoft залучала для проведення оцінки, а також на потенційні вразливості в мережевій структурі. Після кібератаки 2023 року аудитори нібито навіть погрожували повністю зупинити процес сертифікації. Незважаючи на те, що до кінця 2024 року рецензенти програми FedRAMP (Федеральна програма управління ризиками та авторизацією) констатували «недостатню впевненість в оцінці загального стану безпеки системи», GCC High все ж отримала авторизацію. Це рішення пояснювали тим, що низка федеральних відомств уже почала використовувати цю платформу для своїх потреб.

Подальші кар’єрні зміни посадовців, які брали участь у процесі схвалення, спровокували нову хвилю етичних запитань. Мелінда Роджерс, колишня CIO відомства, у 2025 році перейшла в Microsoft на посаду партнера у підрозділі корпоративних хмарних рішень. Того ж року Ліза Монако, яка раніше обіймала посаду заступника генерального прокурора, у середині 2025 року стала президентом Microsoft з глобальних питань. Хоча офіційні представники Microsoft стверджували, що Роджерс і Монако суворо дотримувалися всіх етичних та регуляторних стандартів і що їхнє працевлаштування не пов’язане з попередньою діяльністю, ситуація залишилася неоднозначною. Це ускладнилося у 2025 році, коли з’ясувалося, що Microsoft залучала інженерів з Китаю до роботи над системами Міністерства оборони (DoD). Це змусило Пентагон посилити вимоги до безпеки, зобов’язавши постачальників відповідати стандарту DFARs 7012. Крім того, наприкінці 2025 року тодішній президент Трамп висунув вимогу про звільнення Лізи Монако.

Станом на 2026 рік це питання залишається надзвичайно актуальним, оскільки Міністерство юстиції продовжує займати агресивну позицію щодо дотримання кібербезпеки, зокрема через застосування Закону про неправдиві претензії (False Claims Act). Описані події підкреслюють глибоку стурбованість щодо якості перевірки безпеки великих хмарних провайдерів, які працюють із конфіденційними державними даними. Також гостро стоїть проблема «дверей, що обертаються», коли високопосадовці переходять на роботу до компаній, діяльність яких вони раніше регулювали. Слід також пам’ятати, що раніше Microsoft судилася з DOJ щодо конфіденційності даних у хмарі, звинувачуючи уряд у зловживанні застарілим законодавством для проведення таємних розслідувань. Остаточне отримання авторизації GCC High, попри скептицизм рецензентів FedRAMP наприкінці 2024 року, залишає відкритим питання про баланс між технологічним прогресом та національною безпекою.