Проблема полягає в тому, що державні агенції часто не мають достатньо персоналу та ресурсів для проведення детальних перевірок. Це призводить до того, що система покладається на заяви компаній у сфері хмарних технологій та оцінки сторонніх організацій, які вони наймають для аудитів. Критики стверджують, що під нинішньою концепцією FedRAMP втратили свою основну мету.
“Завдання FedRAMP — захищати інтереси американців при обміні їхніми даними з хмарними компаніями”, — зазначив Мілл, колишній чиновник GSA, який також співавторував меморандум Білого дому на 2024 рік. “Коли виникають проблеми з безпекою, громадськість не очікує, що FedRAMP скаже, що вони просто займаються канцелярською роботою.”
Тим часом, в Міністерстві юстиції чиновники дізнаються, що саме FedRAMP мало на увазі під терміном “невідомі невідомі” у контексті GCC High. Наприклад, минулого року з’ясувалося, що Microsoft залучала інженерів з Китаю для обслуговування своїх чутливих хмарних систем, незважаючи на заборону міністерства на залучення неамериканських громадян до IT-підтримки.
Офіційні особи дізналися про цю угоду — яка також використовувалася в GCC High — не від FedRAMP або Microsoft, а внаслідок розслідування ProPublica, як повідомив один із співробітників Міністерства юстиції.
Представник Microsoft підтвердив, що в письмовому плані безпеки для GCC High, поданому до Міністерства юстиції, не згадувалися іноземні інженери, хоча він зазначив, що Microsoft повідомила цю інформацію чиновникам юстиції ще до 2020 року. Проте з тих пір компанія припинила використання китайських інженерів у державних системах.
Колишні та чинні урядові чиновники побоюються, які ще ризики можуть приховуватися в GCC High та інших подібних системах.
GSA повідомила ProPublica, що, в загальному, “якщо є надійні докази того, що постачальник хмарних послуг зробив матеріально неправдиві заяви, це питання належним чином передається до слідчих органів.”
Іронічно, що остаточним арбітром того, чи відповідають постачальники хмарних послуг і їхні сторонні оцінювачі своїм заявам, є саме Міністерство юстиції. Неодавня кримінальна справа проти колишнього співробітника Accenture свідчить про те, що міністерство готове використовувати цю владу. У судовому документі Міністерство юстиції звинувачує колишнього співробітника в тому, що вона зробила “хибні та оманливі заяви” про безпеку хмарної платформи, щоб допомогти компанії “отримати та підтримувати вигідні федеральні контракти.” Її також звинувачують у спробах “впливати та перешкоджати” стороннім оцінювачам Accenture, приховуючи недоліки продукту та підказуючи іншим приховувати “істинний стан системи” під час демонстрацій. Вона не визнала своєї провини.
Немає жодних публічних вказівок на те, що така справа була порушена проти Microsoft або будь-кого, хто причетний до авторизації GCC High. Міністерство юстиції відмовилося коментувати. Монако, заступник генерального прокурора, яка ініціювала програму міністерства для переслідування випадків шахрайства у сфері кібербезпеки, не відповіла на запити щодо коментарів.
Вона залишила свою посаду в уряді у січні 2025 року. Microsoft запросила її стати президентом з глобальних питань.
Представник компанії зазначив, що прийняття Монако відповідало “всім правилам, регламентам і етичним стандартам” і що вона “не займається жодними контрактами з федеральним урядом і не має контролю за жодними нашими угодами з федеральним урядом.”
