FedRAMP санкционировал правительственное облако Microsoft не потому, что оно безопасно, а потому, что никто больше не мог его отключить.
Сертификация FedRAMP уже более десяти лет является правительственной печатью безопасности облачных решений в США. Когда в марте 2026 года ProPublica раскрыла закулисную многолетнюю битву между Microsoft и ее государственными аудиторами, оказалось, что сертификация GCC High, флагманского продукта Microsoft для федеральных агентств и оборонного сектора, выглядела совершенно иначе, чем должен был выглядеть процесс проверки кибербезопасности.
Правительственные эксперты не могли получить базовые данные безопасности от Microsoft в течение пяти лет и разрешили GCC High только потому, что продукт уже слишком глубоко укоренился в федеральных системах, чтобы его можно было прекратить.
Российским хакерам понадобилось всего 48 часов. Microsoft не успела пропатчить Office, а Польша была в пределах досягаемости
В течение пяти лет аудиторы FedRAMP требовали от Microsoft один документ: диаграмму, показывающую, где GCC High шифрует данные при передаче. Amazon и Google регулярно выполняют это требование. Microsoft утверждала, что запрос был слишком сложным с технической точки зрения, что обнажило более глубокую проблему. GCC High построен на основе устаревшего системного кода Office 365, использовавшегося десятилетиями, архитектуру которого оказалось сложно документировать даже инженерам Microsoft. Сторонние аудиторские организации Coalfire и Kratos, оплачиваемые Microsoft, в конфиденциальных сообщениях признались FedRAMP, что получить необходимые данные от корпораций практически невозможно.
Microsoft предоставила ФБР ключи восстановления BitLocker. Эксперты предупреждают об угрозе конфиденциальности пользователей
Разрешение было получено 26 декабря 2024 года не потому, что сомнения были разрешены, а потому, что GCC High слишком глубоко укоренился в федеральных структурах, чтобы их можно было вырвать. Продукт используется Министерством юстиции, Министерством энергетики и Пентагоном, а компания Boeing входит в число заказчиков оборонного сектора. Сокращение бюджета Департамента эффективности государственного управления привело к сокращению штата FedRAMP примерно до 24 сотрудников и годового бюджета в 10 миллионов долларов, что является рекордно низким показателем при рекордном количестве выданных сертификатов. На практике программа стала машиной по выпуску марок. Мы уже писали о критической уязвимости CVE-2025-55241 в Microsoft Entra ID с рейтингом CVSS 10.0. Случай GCC High показывает, что проблемы безопасности Microsoft носят структурный, а не случайный характер.
Источник: Техническое сообщество Microsoft, FedRAMP, ProPublica, Ars Technica.
