إن الطريقة التي زودت بها مايكروسوفت الحكومة الأمريكية بترقيات الأمن السيبراني تخضع للتدقيق. نشرت ProPublica أ تقرير يتطرق هذا إلى “عرض البيت الأبيض”: وهي صفقة أرسلت فيها Microsoft مستشارين لتثبيت ترقيات الأمن السيبراني مجانًا. ولكن تمت تغطية ترقيات المنتج المجانية هذه لمدة تصل إلى عام واحد فقط.
هل أعطت هذه الصفقة مايكروسوفت ميزة غير عادلة، وما الذي يمكن أن يتطلبه الأمر لتحويل اعتماد الحكومة الفيدرالية على خدمات عملاق التكنولوجيا؟
عرض البيت الأبيض
تحدثت ProPublica مع ثمانية من موظفي Microsoft السابقين الذين لعبوا دورًا في عرض البيت الأبيض. ومن خلال رؤيتهم، يوضح تقرير ProPublica بالتفصيل كيف تجعل هذه الصفقة من الصعب على المستخدمين في الحكومة الفيدرالية الابتعاد عن منتجات Microsoft وكيف ساعدت في الضغط على المنافسة.
في حين أن ترقيات الأمن السيبراني كانت مجانية في البداية، يتعين على الوكالات الحكومية أن تدفع وقت التجديد. بعد تركيب المنتجات وتدريب الموظفين، سيكون التحول إلى البدائل مكلفًا.
تشير ProPublica أيضًا إلى أن مندوبي مبيعات Microsoft أوصوا الوكالات الفيدرالية بإسقاط المنتجات من المنافسين لتوفير التكاليف.
يثير النقاد مخاوف من أن صفقة مايكروسوفت تجاوزت قوانين مكافحة الاحتكار وقوانين المشتريات الفيدرالية.
“لماذا لم تسمح لشركة Deloitte أو Accenture أو أي شخص آخر بالقول إننا نريد خدمات مجانية لمساعدتنا في القيام بذلك؟ لماذا لم يأتوا ويفعلوا نفس الشيء؟ إذا كانت الشركة على استعداد للقيام بشيء ما مجانًا مثل هذا، فلماذا يكون ذلك متحيزًا لشركة Microsoft وليس لشخص آخر قادر أيضًا؟ يسأل موري هابر، كبير مستشاري الأمن في بيوند تراست، شركة أمن الهوية والوصول.
أشارت ProPublica إلى دفاع Microsoft عن صفقتها والطريقة التي عملت بها مع الحكومة الفيدرالية. رفضت Microsoft التعليق عندما تواصلت InformationWeek.
جوش بارتولومي، نائب رئيس خدمات التهديدات العالمية في شركة أمن البريد الإلكتروني كوفينسويشير إلى أن حجم الحكومة الفيدرالية يجعل من مايكروسوفت خيارًا منطقيًا.
وقال لمجلة InformationWeek: “الحقيقة هي أنه لا توجد منصات أخرى قابلة للتطبيق توفر قابلية التوسعة وقابلية التوسع والإدارة بخلاف Microsoft”.
حجة التنويع
الاعتماد المفرط على بائع أمني واحد له مخاطره. “بشكل عام، لا ترغب في أن تكون المزود الوحيد لأي نوع من الخدمات الأمنية. تريد أن يكون لديك الضوابط والتوازنات. تريد أن يكون لديك تخفيف المخاطر. يقول بارتولومي: “أنت ترغب في الحصول على خطط احتياطية وخطط احتياطية”.
وهناك حجج مفادها أن مايكروسوفت أنشأت ثقافة أحادية للأمن السيبراني داخل الحكومة الفيدرالية.
أثار السيناتور إريك شميت (الجمهوري من ولاية ميسوري) والسيناتور رون وايدن (الديمقراطي من ولاية أوريغون) المخاوف ودعوا إلى اتباع نهج متعدد البائعين.
“يجب على وزارة الدفاع أن تتبنى نهجًا بديلاً، وتوسيع نطاق استخدامها للبرامج مفتوحة المصدر والبرامج من البائعين الآخرين، مما يقلل من تركيز المخاطر للحد من منطقة الانفجار عندما يكتشف خصومنا ثغرة أمنية قابلة للاستغلال في برامج Microsoft، أو برامج شركة أخرى”. كتب في رسالة إلى جون شيرمان، مدير تكنولوجيا المعلومات السابق بوزارة الدفاع.
وقد شهدت الحكومة التداعيات التي تعقب استغلال نقاط الضعف. لعبت ثغرة أمنية في Microsoft دورًا في اختراق SolarWinds.
في وقت سابق من هذا العام، تم الكشف عن قيام مجموعة Midnight Blizzard، وهي مجموعة تهديد روسية ترعاها الدولة، بتنفيذ هجوم هجوم رش كلمة المرور ضد مايكروسوفت. سُرقت أوراق اعتماد الوكالة الفيدرالية في الهجوم، بحسب موقع Cybersecurity Dive.
يقول هابر: “هناك أدلة تشير إلى أن الزراعة الأحادية تمثل مشكلة”.
الرد
لم تمر هيمنة مايكروسوفت في المجال الحكومي دون منازع على مر السنين. على سبيل المثال، انسحبت وزارة الدفاع من صفقة سحابية بقيمة 10 مليارات دولار مع مايكروسوفت. واجه العقد، البنية التحتية للدفاع المشترك (JEDI)، تحديات قانونية من منافس AWS.
ويمكن للمنافسين الاستمرار في تحدي هيمنة مايكروسوفت على الحكومة، ولكن لا تزال هناك تساؤلات حول التكلفة المرتبطة باستبدال تلك الخدمات.
يقول هابر: “أعتقد أن الحكومة وفرت مسارات للبائعين الآخرين للتواصل معهم، لكنني أعتقد أنه سيكون من الصعب … إزاحتهم”.
إدارة جديدة
هل يمكن لإدارة ترامب القادمة أن تبشر بتغييرات في الطريقة التي تعمل بها الحكومة مع مايكروسوفت وغيرها من بائعي التكنولوجيا؟
وفي كل مرة تتولى فيها إدارة جديدة، يشير بارتولومي إلى أن هناك تعطشاً للتغيير. “هل أعتقد أن هناك احتمال أنه [Trump] سيذهب إلى Microsoft ويقول: “امنحنا عروضًا أفضل”. أعطنا هذا، أعطنا هذا؟ ويقول: “هذا احتمال كبير لأن الإدارات الأخرى فعلت ذلك”. “كون الحكومة واحدة من أكبر عملاء نظام مايكروسوفت البيئي، فإن ذلك يمنحهم أيضًا نفوذًا”.
لقد تحدث ترامب بصوت عالٍ عن سياسة “أمريكا أولاً”، ولكن يبقى أن نرى كيف يمكن تطبيق ذلك على خدمات الأمن السيبراني التي تستخدمها الحكومة. “هل تسمحون بتطوير البرامج المستخدمة من منظور الأمن السيبراني أو أي منظور آخر في الخارج؟” يسأل هابر.
يشير هابر إلى أن التطوير بالاستعانة بمصادر خارجية هو أمر معتاد بالنسبة لشركات الأمن السيبراني. ويقول: “لست على علم بأي شركة للأمن السيبراني تقوم بأعمال بناء حصرية في الولايات المتحدة أو حتى في أمريكا الشمالية”.
إن أي نوع من التفويض الحكومي الذي يتطلب تطوير خدمات الأمن السيبراني في الولايات المتحدة فقط من شأنه أن يثير تحديات لشركة مايكروسوفت وصناعة الأمن السيبراني ككل.
في حين أن نهج الإدارة تجاه الأمن السيبراني والعلاقات مع بائعي تكنولوجيا المعلومات غير معروف بعد، فمن الجدير بالذكر أن وجهة نظر ترامب لشركات التكنولوجيا يمكن أن تكون مؤثرة. اتخذت أمازون إجراءات قانونية بشأن عقد JEDI بقيمة 10 مليارات دولار، مدعيًا أن كراهية ترامب لمؤسس الشركة جيف بيزوس أثرت على قدرتها على تأمين الصفقة، حسبما ذكرت صحيفة نيويورك تايمز.
