五角大廈已加強對雲服務供應商的網路安全要求。
這些改變是在ProPublica揭露微軟使用中國工程師使敏感政府數據易受駭客攻擊之後實施的。
這些更新於本月發布,禁止IT供應商使用中國人員在部門計算機系統上工作,並要求公司保持外國工程師維護的數據記錄。
變更是在ProPublica的一項調查之後進行的,該調查揭示了微軟如何使用中國工程師維護政府計算機系統,這一做法持續近十年,讓一些國家最敏感的數據面臨駭客攻擊的風險。
美國本土的監督者,稱為“數位護送者”,應該對這些外國員工進行監管,但我們發現他們經常缺乏足夠的專業知識來有效監督技術能力遠高於他們的工程師。
五角大廈現在表示,在其“安全要求指南”中,只有來自“非對抗國”的人員才可以在其雲系統上工作,並且監督這些外國工人的護送者“必須在他們提供訪問的代碼/系統或技術上具備技術資格”。
此外,雲服務提供商必須保持詳細的審計日誌,記錄計算機系統中的操作。這些日誌“必須包括護送者和被護送者的身份識別”,包括來源國的細節,以及執行的命令和更改的設置。
在我們的報導之前,五角大廈的高層官員表示,他們對微軟的數位護送系統毫不知情,該系統是微軟為了繞過五角大廈的要求而開發的,該要求規定處理敏感數據的人必須是美國公民或永久居民。
網路安全和情報專家告訴ProPublica,這種安排對國家安全造成重大風險,因為中國法律賦予政府官員廣泛的數據收集權限。隨後,國會的領導成員呼籲五角大廈加強安全要求,並指責微軟所謂的“國家背叛”。
目前,五角大廈正在對數位護送計劃展開調查,重點在於微軟的中國工程師。
在ProPublica的報導之後,微軟於七月宣布,將停止使用中國工程師服務五角大廈雲系統。該公司在本報導中的一份聲明中表示,將致力於實施部門的新要求。該公司發言人表示:“我們對國家安全的承諾是基礎,我們將繼續專注於為美國政府提供最安全的服務。”
發言人補充說:“我們最近對我們的部門支持模式進行了變更,並將繼續與我們的國家安全夥伴合作,根據新的指令評估和調整我們的安全協議。”
(内文照片来自GOOGLE)
