FedRAMP odobrio Microsoftov oblak unatoč 'gomili smeća'
FedRAMP odobrio Microsoftov oblak unatoč 'gomili smeća'📷 © Tech&Space
- ★FedRAMP potvrdio Microsoftov GCC High
- ★Sigurnosni stručnjaci bez povjerenja u dokumentaciju
- ★Vlada izložena riziku unatoč upozorenjima
Federalni evaluatori cyber sigurnosti 2024. godine ocijenili su Microsoftov Government Community Cloud High (GCC High) kao 'gomilu smeća'. Unatoč tome, FedRAMP – program zadužen za provjeru sigurnosti cloud usluga za državne institucije – odobrio je sustav uz upozorenje: 'Kupac neka pazi'.
Ovo nije prvi put da Microsoftova tehnologija bude u središtu kritika: prethodne dvije godine obilježene su hakerskim napadima koji su upravo iskoristili slabosti njihovih proizvoda.
Dokumentacija koju je Microsoft dostavio pokazala se nepotpunom, što je onemogućilo evaluatorima da u potpunosti procijene sigurnosno stanje sustava. 'Nedostatak detaljne sigurnosne dokumentacije' naveden je kao ključan razlog za zabrinutost, ali FedRAMP je ipak izdao odobrenje uz napomenu da agencije moraju samostalno procijeniti rizike. Ova odluka postavlja pitanje koliko je FedRAMP zapravo stroga institucija, pogotovo kad je riječ o najvećem dobavljaču cloud usluga za američku vladu.
Kritičari ističu da je ovakav pristup problematičan jer otvara vrata potencijalnim sigurnosnim propustima. Ako evaluatori ne mogu pouzdano procijeniti sigurnost, kako onda mogu garantirati da su podaci državnih institucija zaista zaštićeni?
Kritička procjena sigurnosnih propusta u Microsoftovom Government Community Cloud High📷 © Tech&Space
Kritička procjena sigurnosnih propusta u Microsoftovom Government Community Cloud High
Microsoftov GCC High koristi se za pohranu osjetljivih podataka državnih agencija, uključujući one s visokim razinama tajnosti. Unatoč tome, evaluatori su izjavili da nemaju 'povjerenja u procjenu ukupnog sigurnosnog stava' sustava.
Ovo nije tek tehnička sitnica – riječ je o sustavu koji bi trebao štititi informacije od cyber napada, ali umjesto toga, čini se da je i sam ranjiv.
Odluka FedRAMPa da odobri GCC High unatoč kritikama pokazuje koliko je tehnološka moć Microsofta snažna, čak i kad su u pitanju jasni sigurnosni propusti. Brojne agencije sada se suočavaju s dilemom: koriste li sustav koji možda nije dovoljno provjeren ili traže alternativu koja možda ni ne postoji?
U međuvremenu, Microsoft nastavlja širiti svoju vladinu cloud carstvo, a kritike ostaju glasne, ali bez konkretnih posljedica.
Ovo nije samo priča o Microsoftu. Riječ je o širem problemu: koliko se zapravo može vjerovati velikim tech kompanijama kad su u pitanju sigurnost i transparentnost? Ako ni federalni evaluatori ne mogu dobiti jasne odgovore, kakve šanse imaju obični korisnici?
Sigurnost državnih podataka ne smije biti žrtvovana zbog marketinških ciljeva ili tehnološke dominacije. Potrebna je temeljita revizija procjenskih postupaka kako bi se osigurala zaštita osjetljivih informacija.