Всі жарти про хакерів, які ламають сервера Пентагону виявились просто жартами, бо є реальність. І в ній десять років тому міністерство оборони США з метою економії коштів та підвищення ефективності вирішила передати управління хмарними сервісами на аутсорс до Microsoft.
Для цього навіть знадобилось змінити порядок доступу до даних, які складають державну таємницю. І він міг бути наданий американським громадянам, а не лише діючим службовцям. А далі відбулось те, що у IT-сфері практикується регулярно - передача на аутсорс, коли виконавець наймає свого виконавця за менші кошти, а той свого. І у результаті - цим займались програмісти з Китаю.
Читайте також: Чому після 10 років розробки бойова "мікрохвильовка" рашистів поїхала одразу в музей замість фронту
Це стало відомо завдяки розслідуванню ProPublica, яке доволі детально розписало весь механізм такого реального катастрофічного провалу інформаційної безпеки Пентагону.
Інформація підтверджена самим міністром оборони США Пітом Хегсетом. І мова дійсно йде про використання китайської робочої сили, "потенційну вразливість", а також про терміновий перегляд всієї архітектури цифрових систем, які використовуються Пентагоном.
З боку Defense Express стисло викладемо саму суть, як здається, найбільшого провалу інформаційної безпеки США.
Microsoft, вигравши тендер на обслуговування хмарних сервісів міноборони США, а під цим мається на увазі вся сучасна цифрова інфраструктура із хмарними серверами, зі зберіганням та вдачею інформації, програмами, які її обробляють тощо, найняв своїх субпідрядників. Зокрема відомо про те, що одним із них стала компанія Insight Global.
Але Insight Global також пішла шляхом найму підрядників, але вже поза межами США. Водночас проблема доступу до критичної інформації була вирішена доволі просто, формально всі роботи виконував так званий "цифровий ескорт". Це люди, громадяни США, які вже мали право доступу до таємної інформації, наприклад це були колишні військові чи урядовці.
Вакансії Insight Global на посади "цифрового ескорту" головною умовою передбачали наявність дозволу на роботу з держаною інформацією з обмеженим доступом, а от навички програмування були лише перевагою. При цьому заробітна платня була визначено доволі низькою як для рівня задачі - 18 доларів на годину. Водночас американські програмісти початкового рівня зазвичай на цивільному ринку отримують від 30.
Але задача "цифрового ескорту" лише бути посередником та надавати конкретну задачу програмістам-аутсорсерам з Китаю та передавати готовий результат, який накодили у Китаї. І, як зазначено у розслідуванні, фаховість "цифрового ескорту" не дозволяла перевірити цей код. І цим фактично не займались, ані у Insight Global, ані у самому Microsoft.
IT-гігант при цьому заявляє про те, що модель "цифрового ескорту" була прописана у документах з роботою над хмарними сервісами. Але ця документація не публічна. Більше того, у самому Пентагоні, вочевидь, реально не розуміли на що погодились.
При цьому головна проблема - за десятиріччя таких робіт ніхто не знає точно, що там дійсно наробили китайські програмісти й чи не "вшито" тепер у цифровий простір Пентагону весь необхідний арсенал засобів для несанкціонованого доступу з Пекіна.
Читайте також: Перші дві САУ CAESAR 8х8 для Чехії не змогли стріляти на 40 км, чим погрожує Прага та який вихід
