Cerita ini awalnya diterbitkan oleh ProPublica.
Pada akhir 2024, evaluator keamanan siber pemerintah federal memberikan putusan yang meresahkan terhadap salah satu penawaran komputasi awan terbesar Microsoft.
“Kurangnya dokumentasi keamanan terperinci yang tepat” dari raksasa teknologi itu membuat para peninjau merasa “tidak yakin dalam menilai postur keamanan keseluruhan sistem,” menurut laporan internal pemerintah yang ditinjau ProPublica.
Atau, seperti yang diungkapkan salah satu anggota tim: “Paketnya adalah sampah.”
Selama bertahun-tahun, para peninjau menyatakan, Microsoft telah berusaha namun gagal menjelaskan sepenuhnya bagaimana mereka melindungi informasi sensitif di awan saat data melompat dari server ke server di ranah digital. Mengingat hal itu dan ketidakpastian lainnya, para ahli pemerintah tidak bisa menjamin keamanan teknologi tersebut.
Penilaian seperti itu akan sangat merugikan bagi perusahaan mana pun yang ingin menjual produknya kepada pemerintah AS, tetapi seharusnya hal itu sangat menghancurkan bagi Microsoft. Produk raksasa teknologi itu menjadi jantung dari dua serangan keamanan siber besar terhadap AS dalam tiga tahun. Dalam satu serangan, peretas Rusia memanfaatkan kelemahan untuk mencuri data sensitif dari sejumlah lembaga federal, termasuk National Nuclear Security Administration. Di serangan lainnya, peretas China menyusup ke akun email seorang anggota Kabinet dan pejabat senior pemerintah lainnya.
Pemerintah federal bisa semakin terbuka risikonya jika tidak dapat memverifikasi keamanan siber Microsoft Government Community Cloud High (GCC High), suite layanan berbasis awan yang dimaksudkan untuk menjaga beberapa informasi paling sensitif negara.
Namun, dalam langkah yang sangat tidak biasa yang masih bergema di Washington, Federal Risk and Authorization Management Program (FedRAMP) tetap mengotorisasi produk tersebut, menganugerahkan segel persetujuan keamanan siber pemerintah federal. Keputusan FedRAMP — yang mencakup semacam pemberitahuan “hati-hati pembeli” kepada lembaga federal mana pun yang mempertimbangkan GCC High — membantu Microsoft memperluas kerajaan bisnis pemerintah yang bernilai miliaran dolar.
“BOOM SHAKA LAKA,” pamer Richard Wakeman, salah satu arsitek keamanan utama perusahaan, di forum online, merayakan pencapaian ini dengan meme Leonardo DiCaprio di “The Wolf of Wall Street.” Wakeman tidak menanggapi permintaan komentar.
Ini bukan hasil yang dibayangkan oleh pembuat kebijakan federal satu setengah dekade lalu ketika mereka menyambut revolusi awan dan menciptakan FedRAMP untuk membantu mengamankan keamanan siber pemerintah. Lapisan tinjauan program, yang mencakup penilaian oleh ahli independen, seharusnya memastikan bahwa penyedia layanan seperti Microsoft dapat dipercaya dengan rahasia pemerintah. Namun investigasi ProPublica — yang diambil dari memo, log, email, notulensi rapat internal FedRAMP, dan wawancara dengan tujuh mantan dan pegawai pemerintah serta kontraktor — menemukan kegagalan di setiap titik proses tersebut. Investigasi juga menemukan sikap hormat yang luar biasa kepada Microsoft, bahkan ketika produk dan praktik perusahaan menjadi pusat dari dua serangan siber paling merusak yang pernah dilakukan terhadap pemerintah.
Ini bukan keamanan. Ini adalah sandiwara keamanan.
FedRAMP pertama kali mempertanyakan keamanan GCC High pada 2020 dan meminta Microsoft memberikan diagram terperinci yang menjelaskan praktik enkripsinya. Tetapi ketika perusahaan hanya menghasilkan informasi parsial secara terputus-putus menurut FedRAMP, pejabat program tidak menolak aplikasi Microsoft. Alih-alih, mereka berulang kali memperlunak sikap dan membiarkan tinjauan berlarut-larut selama hampir lima tahun. Dan karena lembaga federal diizinkan menggunakan produk selama tinjauan, GCC High menyebar ke seluruh pemerintah dan industri pertahanan. Pada akhir 2024, peninjau FedRAMP menyimpulkan bahwa mereka hampir tidak punya pilihan selain mengotorisasi teknologi tersebut — bukan karena pertanyaan mereka telah terjawab atau tinjauan mereka selesai, tetapi sebagian besar dengan alasan bahwa produk Microsoft sudah digunakan di seluruh Washington.
Kini, bagian penting pemerintah federal, termasuk Departemen Kehakiman dan Energi, serta sektor pertahanan, mengandalkan teknologi ini untuk melindungi informasi yang sangat sensitif yang, jika bocor, “dapat diharapkan memiliki efek buruk yang parah atau katastrofik” pada operasi, aset, dan individu, menurut pemerintah.
“Ini bukan cerita yang membahagiakan dalam hal keamanan AS,” kata Tony Sager, yang menghabiskan lebih dari tiga dekade sebagai ilmuwan komputer di National Security Agency dan kini menjadi eksekutif di nirlaba Center for Internet Security.
Selama bertahun-tahun, proses FedRAMP disamakan dengan keamanan aktual, kata Sager. Temuan ProPublica, katanya, menghancurkan fasad itu.
“Ini bukan keamanan,” ujarnya. “Ini adalah sandiwara keamanan.”
ProPublica untuk pertama kalinya mengungkap keraguan pemerintah tentang produk populer ini. Kami juga mengungkap ketidakmampuan Microsoft selama bertahun-tahun untuk menyediakan dokumentasi enkripsi dan bukti yang dicari peninjau federal.
Pengungkapan ini muncul ketika Departemen Kehakiman meningkatkan pengawasan terhadap kontraktor teknologi pemerintah. Pada Desember, departemen tersebut mengumumkan dakwaan terhadap mantan karyawan Accenture yang diduga menyesatkan lembaga federal tentang keamanan platform awan perusahaan dan kepatuhannya terhadap standar FedRAMP. Dia mengajukan pembelaan tidak bersalah. Accenture, yang tidak didakwa melakukan kesalahan, telah menyatakan bahwa mereka “secara proaktif membawa masalah ini kepada pemerintah” dan bahwa mereka “berdedikasi untuk beroperasi dengan standar etika tertinggi.”
Microsoft juga menghadapi pertanyaan tentang pengungkapannya kepada pemerintah. Seperti dilaporkan ProPublica tahun lalu, perusahaan gagal menginformasikan Departemen Pertahanan tentang penggunaan insinyur berbasis China untuk merawat sistem awan pemerintah, meskipun aturan Pentagon menetapkan bahwa “Tidak ada orang asing yang boleh memiliki” akses ke data paling sensitifnya. Departemen tersebut sedang menyelidiki praktik tersebut, yang menurut pejabat dapat membahayakan keamanan nasional.
Microsoft membela programnya sebagai “diawasi ketat dan dilengkapi dengan lapisan mitigasi keamanan,” tetapi setelah kisah ProPublica terbit Juli lalu, perusahaan mengumumkan akan berhenti menggunakan insinyur berbasis China untuk pekerjaan Departemen Pertahanan.
Menanggapi pertanyaan tertulis untuk cerita ini dan dalam sebuah wawancara, Microsoft mengakui konfrontasi bertahun-tahun dengan FedRAMP tetapi juga mengatakan mereka menyediakan “dokumentasi komprehensif” selama proses tinjauan dan “memperbaiki temuan jika memungkinkan.”
“Kami mendukung produk kami dan langkah-langkah komprehensif yang telah kami ambil untuk memastikan semua produk yang diotorisasi FedRAMP memenuhi persyaratan keamanan dan kepatuhan yang diperlukan,” kata seorang juru bicara dalam pernyataannya, menambahkan bahwa perusahaan akan “terus bekerja dengan FedRAMP untuk terus meninjau dan mengevaluasi layanan kami untuk kepatuhan berkelanjutan.”
Tapi belakangan ini, ProPublica menemukan, tidak banyak orang yang tersisa di FedRAMP untuk diajak bekerja sama.
Program ini menjadi target awal Departemen Efisiensi Pemerintahan administrasi Trump, yang memotong staf dan anggarannya. Bahkan FedRAMP mengakui mereka beroperasi “dengan staf pendukung minimum absolut” dan “layanan pelanggan terbatas.” Sekitar dua lusin karyawan yang tersisa “sepenuhnya fokus pada” memberikan otorisasi dengan kecepatan rekor, kata direktur FedRAMP. Kini, anggaran tahunannya hanya $10 juta, terendah dalam satu dekade, meskipun mereka membanggakan jumlah otorisasi baru untuk produk awan yang memecahkan rekor.
Konsekuensi dari semua ini, kata orang-orang yang pernah bekerja untuk FedRAMP kepada ProPublica, adalah bahwa program kini tidak lebih dari stempel karet untuk industri. Implikasi dari pengecilan skala seperti itu bagi keamanan siber federal sangat luas, terutama karena administrasi mendorong lembaga untuk mengadopsi alat kecerdasan buatan berbasis awan, yang mengambil banyak informasi sensitif.
General Services Administration (GSA), yang menaungi FedRAMP, membela program tersebut, mengatakan telah mengalami “reformasi signifikan untuk memperkuat tata kelola” sejak GCC High tiba pada 2020. “Peran FedRAMP adalah menilai apakah layanan awan telah memberikan informasi dan materi yang cukup untuk memadai bagi penggunaan lembaga, dan program hari ini beroperasi dengan mekanisme pengawasan dan akuntabilitas yang diperkuat untuk melakukan hal itu,” kata juru bicara GSA dalam pernyataan email.
Lembaga itu tidak menanggapi pertanyaan tertulis mengenai GCC High.
Dunia “Cloud First”
Sekitar dua dekade lalu, pejabat federal memprediksi bahwa revolusi awan, yang menyediakan akses sesuai permintaan ke komputasi bersama melalui internet, akan membawa era teknologi informasi yang lebih murah, aman, dan efisien.
Beralih ke awan berarti bergeser dari server di lokasi yang dimiliki dan dioperasikan pemerintah ke server di pusat data besar yang dikelola perusahaan teknologi. Beberapa pimpinan lembaga enggan melepas kendali, sementara yang lain tidak sabar untuk melakukannya.
Dalam upaya mempercepat transisi, administrasi Obama menerbitkan kebijakan “Cloud First” pada 2011, mewajibkan semua lembaga menerapkan alat berbasis awan “setiap kali ada opsi yang aman, andal, dan hemat biaya.” Untuk memfasilitasi adopsi, administrasi menciptakan FedRAMP, yang tugasnya adalah memastikan keamanan alat-alat tersebut.
Sistem “lakukan sekali, gunakan berkali-kali” FedRAMP dimaksudkan untuk merampingkan dan memperkuat proses pengadaan pemerintah. Sebelumnya, setiap lembaga yang menggunakan layanan awan menilainya secara terpisah, kadang menerapkan interpretasi berbeda terhadap persyaratan keamanan federal. Di bawah program baru, lembaga dapat melewatkan tinjauan keamanan yang berulang karena otorisasi FedRAMP menunjukkan bahwa produk telah memenuhi persyaratan standar. Produk yang diotorisasi akan terdaftar di situs web pemerintah yang dikenal sebagai FedRAMP Marketplace.
Di atas kertas, program ini adalah latihan efisiensi. Namun dalam praktiknya, tim kecil FedRAMP tidak dapat mengikuti banjir permintaan dari perusahaan teknologi yang ingin produk mereka diotorisasi.
Proses persetujuan yang lambat membuat frustrasi industri teknologi, yang ingin mendapat bagian dari miliaran dolar federal yang diperebutkan, dan lembaga pemerintah yang berada di bawah tekanan untuk bermigrasi ke awan. Dinamika ini kadang mempertemukan industri awan dan pejabat lembaga melawan FedRAMP. Akumulasi tertunda juga mendorong banyak lembaga mengambil jalan alternatif: melakukan tinjauan sendiri terhadap produk yang ingin mereka adopsi, menggunakan standar FedRAMP.
p>Melalui “jalur lembaga” inilah GCC High memasuki aliran darah federal, dengan Departemen Kehakiman membuka jalan. Awalnya, beberapa pejabat Kehakiman gugup tentang awan dan siapa yang mungkin mengakses informasinya, yang mencakup catatan pengadilan dan penegakan hukum yang sangat sensitif, kata seorang pejabat Departemen Kehakiman yang terlibat dalam keputusan kepada ProPublica. Program keamanan siber departemen mensyaratkan untuk memastikan hanya warga negara AS yang “mengakses atau membantu pengembangan, operasi, manajemen, atau pemeliharaan” sistem TI-nya, kecuali ada pengecualian. Spesialis TI Kehakiman merekomendasikan mengejar GCC High, percaya itu dapat memenuhi kebutuhan keamanan yang tinggi, menurut pejabat itu, yang berbicara dengan syarat anonim karena tidak berwenang membahas masalah internal.
Berdasarkan aturan FedRAMP, Microsoft meminta GCC High dievaluasi oleh organisasi penilaian pihak ketiga, yang seharusnya memberikan tinjauan independen tentang apakah produk telah memenuhi standar federal. Departemen Kehakiman kemudian melakukan evaluasi sendiri terhadap GCC High menggunakan standar tersebut dan memutuskan penawaran itu dapat diterima.
Pada awal 2020, Melinda Rogers, wakil chief information officer Kehakiman, membuat keputusan itu resmi dan segera menerapkan GCC High di seluruh departemen.
Itu adalah tonggak bagi semua yang terlibat. Rogers telah membawa Departemen Kehakiman ke awan, dan Microsoft telah mendapatkan pijakan signifikan di pasar komputasi awan pemerintah federal yang sangat kompetitif.
Lebih lanjut, keputusan Rogers menempatkan GCC High di FedRAMP Marketplace, pusat kliring online berpengaruh pemerintah untuk semua penyedia awan yang sedang ditinjau atau sudah diotorisasi. Pencantumannya sebagai “dalam proses” saja sudah menguntungkan Microsoft, setara dengan iklan gratis di situs web yang digunakan organisasi yang ingin membeli layanan awan dengan segel persetujuan keamanan siber pemerintah.
Pada April itu, GCC High sampai di kantor FedRAMP untuk ditinjau, perhentian terakhir dalam perjalanan birokrasinya menuju otorisasi penuh.
Informasi yang Hilang dari Microsoft
Secara teori, tidak banyak yang harus dilakukan tim FedRAMP setelah penilai pihak ketiga dan Kehakiman meninjau GCC High, karena semua pihak seharusnya mengikuti persyaratan yang sama.
Tapi sekitar waktu ini, Government Accountability Office, yang menyelidiki program federal, menemukan kegagalan dalam proses, menemukan bahwa tinjauan lembaga kadang-kadang kurang kualitas. Meski detailnya kurang, FedRAMP tetap mengotorisasi banyak paket ini. Mengakui kekurangan ini, FedRAMP mulai melihat lebih teliti paket-paket baru, kata seorang mantan peninjau.
Ini adalah lingkungan di mana