Microsoft wpuszczał chińskich inżynierów od systemów Pentagonu. Nie widzieli w tym nic złego

Po serii doniesień medialnych i śledztwie dziennikarskim opublikowanym przez ProPublicę, Microsoft ogłosił, że inżynierowie zatrudnieni w Chinach nie będą już zaangażowani w obsługę systemów informatycznych Departamentu Obrony Stanów Zjednoczonych. Decyzja ta jest reakcją na alarmujące informacje dotyczące ryzyka związanego z powierzaniem newralgicznych projektów osobom zatrudnionym poza granicami USA.

Jak wynika z raportu, inżynierowie z Chin mieli dostęp do kluczowych projektów informatycznych realizowanych na rzecz Pentagonu. Praktyka ta opierała się na systemie tzw. cyfrowych obserwatorów, czyli pracowników z USA posiadających uprawnienia bezpieczeństwa, którzy mieli monitorować pracę zagranicznych specjalistów. Choć rozwiązanie to miało zapewnić kontrolę i eliminować ryzyko, w praktyce funkcjonowało z poważnymi ograniczeniami. Część eskort przyznała, że nie dysponowała odpowiednimi kwalifikacjami technicznymi, by odróżnić standardowe czynności inżynieryjne od potencjalnych prób sabotażu.

W rozmowie z dziennikarzami jeden z takich obserwatorów stwierdził, że choć zakładano dobre intencje zagranicznych pracowników, to faktyczna kontrola nad ich działaniami była iluzoryczna. Nie było więc możliwe pełne wykluczenie scenariusza, w którym chińscy inżynierowie mogli instalować furtki systemowe lub inne formy złośliwego oprogramowania bez wiedzy nadzoru.

Reakcja władz i oświadczenia firmy

Doniesienia natychmiast wywołały reakcję ze strony przedstawicieli amerykańskiej administracji. Sekretarz Obrony Pete Hegseth zamieścił na platformie X jednoznaczny komentarz, w którym podkreślił, że żadni zagraniczni inżynierowie – niezależnie od kraju pochodzenia – nie powinni mieć prawa dostępu ani wpływu na funkcjonowanie systemów komputerowych Departamentu Obrony. W odpowiedzi na rosnącą krytykę Microsoft wydał oficjalne stanowisko za pośrednictwem swojego dyrektora ds. komunikacji, Franka X. Shawa.

W oświadczeniu opublikowanym również na platformie X Shaw zapewnił, że firma wprowadziła nowe procedury, które wykluczają możliwość dalszego angażowania zespołów inżynierskich z Chin w jakiekolwiek działania związane z obsługą rządowej chmury obliczeniowej Pentagonu oraz systemów jej towarzyszących. Podkreślił również, że Microsoft pozostaje zaangażowany w dostarczanie najbezpieczniejszych rozwiązań technologicznych administracji federalnej oraz współpracuje z odpowiednimi agencjami w celu oceny i aktualizacji obowiązujących protokołów bezpieczeństwa.

Podejrzenia i konsekwencje dla przyszłości

Obecnie nie ma dowodów na to, że którakolwiek z osób zatrudnionych w Chinach wykorzystała dostęp do systemów do działań szpiegowskich lub sabotażowych. Niemniej jednak, sama możliwość takiego scenariusza rzuca cień na dotychczasową praktykę współpracy transgranicznej przy projektach o znaczeniu strategicznym. Fakt, że osoby z zewnątrz pracowały przy kodzie źródłowym o znaczeniu krytycznym dla bezpieczeństwa narodowego, budzi uzasadnione pytania o skuteczność dotychczasowego nadzoru i politykę kadrową gigantów technologicznych.

Dodatkowo, przyznanie się przez obserwatorów do braku możliwości rozpoznania potencjalnych zagrożeń technologicznych prowadzi do niepokojącego wniosku – nawet w firmach dysponujących zaawansowanymi strukturami bezpieczeństwa możliwe jest przeoczenie działań, które mogą skutkować poważnym naruszeniem bezpieczeństwa narodowego.

Weryfikacja i przegląd systemów – kolejne kroki Pentagonu

Wobec zaistniałej sytuacji Departament Obrony musi teraz przeanalizować wszystkie systemy, z którymi zetknęli się pracownicy zagraniczni zatrudnieni przez Microsoft. Konieczne będzie przeprowadzenie audytu kodu, konfiguracji i potencjalnych punktów dostępu, które mogły zostać wykorzystane. Przegląd ten nie będzie prostym formalizmem – słabości w infrastrukturze cyfrowej mogą pozostać niewidoczne przez miesiące, a nawet lata.