Tranh cãi quanh dịch vụ đám mây Microsoft GCC High tại Bộ Tư pháp Mỹ và những biến động nhân sự cấp cao

Mối quan hệ giữa Bộ Tư pháp Hoa Kỳ (DOJ) và dịch vụ điện toán đám mây Microsoft Government Community Cloud (GCC), đặc biệt là phân khúc GCC High, đang trở thành tâm điểm của những cuộc tranh luận gay gắt về tính bảo mật và đạo đức công vụ. Sự việc này càng thêm phức tạp khi hàng loạt quan chức chủ chốt của DOJ sau đó đã chuyển sang nắm giữ các vị trí lãnh đạo quan trọng tại Microsoft. Quyết định triển khai hệ thống GCC High vốn được thông qua từ đầu năm 2020, bất chấp những cảnh báo nghiêm trọng từ các kiểm toán viên liên bang về lỗ hổng trong hồ sơ bảo mật cũng như những lo ngại về xung đột lợi ích tiềm tàng ngay từ giai đoạn sơ khởi.

Căng thẳng leo thang đỉnh điểm vào năm 2023 sau một vụ tấn công mạng quy mô lớn do các tin tặc được chính phủ Trung Quốc bảo trợ thực hiện, dẫn đến việc rò rỉ thông tin email của nhiều quan chức cấp cao trong chính phủ. Đáng chú ý, quá trình cấp phép cho GCC High – một dự án được cho là có thể mang lại doanh thu hàng tỷ USD cho Microsoft – đã diễn ra dưới áp lực nặng nề từ nhiều phía. Các báo cáo chỉ ra rằng đại diện của Microsoft và ban lãnh đạo DOJ đã gây sức ép lên các kiểm toán viên liên bang để buộc họ phê duyệt hệ thống. Trong một cuộc họp quan trọng vào tháng 12 năm 2023, John Bergin từ Microsoft được cho là đã thúc ép các kiểm toán viên chấp nhận chứng chỉ của GCC, với sự hậu thuẫn từ cựu Giám đốc Thông tin (CIO) Melinda Rogers, người từng công khai chỉ trích năng lực làm việc của đội ngũ kiểm toán.

Eric Mill, cựu giám đốc điều hành tại GSA, từng bày tỏ quan ngại sâu sắc về sự ủng hộ quá mức mà Melinda Rogers dành cho Microsoft, làm dấy lên những câu hỏi về tính minh bạch và đạo đức trong công vụ. Các kiểm toán viên liên bang liên tục khẳng định rằng Microsoft không cung cấp đầy đủ thông tin về quy trình an ninh, đồng thời chỉ ra các lỗ hổng mạng và xung đột lợi ích liên quan đến bên thứ ba được Microsoft thuê để đánh giá. Sau vụ hack năm 2023, các kiểm toán viên thậm chí đã đe dọa dừng quy trình chứng nhận. Tuy nhiên, dù các chuyên gia đánh giá của FedRAMP vào cuối năm 2024 đã kết luận về sự "thiếu tin cậy trong việc đánh giá vị thế an ninh tổng thể", GCC High vẫn được cấp phép hoạt động do nhiều cơ quan liên bang đã lỡ sử dụng nền tảng này từ trước. Chương trình FedRAMP vốn được thiết kế để chuẩn hóa việc đánh giá an ninh cho các sản phẩm đám mây của chính phủ, nhưng trong trường hợp này, nó dường như đã bị bỏ qua.

Những bước tiến sự nghiệp của các quan chức liên quan sau đó đã tạo ra làn sóng nghi ngại về hiện tượng "cửa xoay" trong chính phủ. Melinda Rogers, sau khi rời ghế CIO, đã trở thành đối tác tại bộ phận giải pháp đám mây doanh nghiệp của Microsoft vào năm 2025. Cùng thời điểm giữa năm 2025, cựu Thứ trưởng Bộ Tư pháp Lisa Monaco cũng đảm nhận vị trí Chủ tịch phụ trách các vấn đề toàn cầu tại tập đoàn này. Mặc dù Microsoft khẳng định cả Rogers và Monaco đều tuân thủ các tiêu chuẩn đạo đức và không có mối liên hệ nào giữa vai trò cũ và công việc mới, nhưng những nghi vấn vẫn không ngừng bủa vây. Đặc biệt là khi thông tin Microsoft sử dụng kỹ sư Trung Quốc trong các hệ thống của Bộ Quốc phòng (DoD) bị rò rỉ vào năm 2025, buộc DoD phải thắt chặt các yêu cầu an ninh theo tiêu chuẩn DFARs 7012 nhằm bảo vệ dữ liệu quốc gia.

Sự kiện này cũng trùng hợp với yêu cầu của cựu Tổng thống Trump về việc sa thải Lisa Monaco vào cuối năm 2025. Bước sang năm 2026, vấn đề này vẫn giữ nguyên tính thời sự khi Bộ Tư pháp Mỹ tiếp tục duy trì lập trường cứng rắn về tuân thủ an ninh mạng, bao gồm cả việc áp dụng Đạo luật Khiếu nại Sai trái (False Claims Act) để xử lý các sai phạm. Toàn bộ diễn biến này làm nổi bật những lo ngại dai dẳng về quy trình kiểm tra an ninh đối với các nhà cung cấp dịch vụ đám mây lớn đang nắm giữ dữ liệu nhạy cảm của chính phủ. Trước đó, Microsoft cũng từng kiện DOJ về quyền riêng tư dữ liệu đám mây, cáo buộc chính phủ lạm dụng các luật lỗi thời để thực hiện các cuộc điều tra bí mật. Dù GCC High cuối cùng đã có được sự ủy quyền, nhưng sự thiếu tin tưởng từ các chuyên gia FedRAMP vào cuối năm 2024 vẫn để lại một dấu hỏi lớn về an toàn thông tin quốc gia.