سيادة البيانات ودعم Microsoft الآمن: واقع الأمر.

إذا كنت تعتمد على الدعم الموحد من Microsoft، فمن المحتمل أنك تطرح سؤالاً بسيطاً: هل يمكننا الحصول على مساعدة سريعة من خبراء دون تعريض بياناتنا للخطر؟ تشير التقارير الحديثة إلى أن الإجابة على هذا السؤال لم تعد أمراً مفروغاً منه، خاصة بالنسبة للقطاع العام وأعباء العمل الخاضعة للتنظيم.

لا يخشى المسؤولون التنفيذيون من التوقف عن العمل فحسب، بل قد ينشأ الخطر أيضًا في حالة تقديم الدعم فعليًا: من يتعامل مع التذاكر والسجلات والجلسات المباشرة، وتحت قوانين أي دولة. اكتشفت ProPublica أن Microsoft استخدمت مهندسين مقيمين في الصين في العديد من الوكالات الأمريكية (مع "مرافقين رقميين")، وعلى الرغم من أن Microsoft تحركت لوقف هذا الأمر بالنسبة لأنظمة وزارة الدفاع، إلا أن الأسئلة لا تزال مطروحة بالنسبة للبيئات الأخرى.

تتتبع US Cloud هذه التطورات لصالح مديري تكنولوجيا المعلومات/مديري أمن المعلومات وتلخص الأسباب التي تجعل الاختصاص القضائي وأدوات الدعم (التذاكر، الملفات، تسجيلات الجلسات) جزءًا من نموذج المخاطر الخاص بك، وليس فقط بيانات الإنتاج. هذه المشاركة مخصصة للمؤسسات التي تبحث عن دعم آمن من Microsoft دون أي غموض بشأن مواقع الموظفين أو المعالجات الفرعية أو الوصول عبر الحدود.

أي شخص سبق له أن قام بلصق سجل في تذكرة Sev-A في الساعة 2 صباحًا يعرف أن الدعم هو نقطة ضعف حيث يمكن أن تتسرب الأسرار أو المعلومات السرية. سنوضح كيفية الحفاظ على فاعلية مكاتب الدعم واستقلاليتها — ما الذي يجب أن تسأله لموردك، وما الذي يجب أن تحجبه اليوم.

• كشفت تقارير استقصائية في عام 2025 أن شركة مايكروسوفت استعانت بمهندسين مقيمين في الصين للمساعدة في صيانة أنظمة حساسة تابعة للحكومة الأمريكية، تحت إشراف عن بعد من قبل "مرافقين رقميين" يتقاضون رواتب أقل.
• بعد نشر التقرير، أعلنت شركة مايكروسوفت أنها توقفت عن استخدام مهندسين مقيمين في الصين لتقديم الدعم لوزارة الدفاع الأمريكية (DoD)، ولكن لا تزال هناك تساؤلات حول الأعمال الفيدرالية والتجارية الأخرى.
• الخطر يكمن في التعرض للسلطة القضائية - أي قوانين البلد التي يمكن أن تفرض الوصول إلى أدوات الدعم والجلسات الخاصة بك - بغض النظر عن جنسية المنظمة المدعومة.
• يزيد قانون الاستخبارات الوطني الصيني (المادة 7) والتدابير ذات الصلة من مخاطر الوصول الإجباري عندما يتم تقديم الدعم من الصين، مما يجعل سيادة البيانات وموقع موظفي الدعم مسألة مهمة تتعلق بالامتثال.
• يولد الدعم بشكل طبيعي عناصر حساسة قد تتضمن أسرارًا أو بيانات خاضعة للتنظيم. تعامل العديد من البرامج بيانات الإنتاج بعناية، لكنها تغفل تدفقات بيانات الدعم هذه.
• تصرف الآن: اطلب تفاصيل الأمان من مورديك. وقد بدأت التعليقات الصناعية بالفعل في رسم خريطة لهذه البدائل.

عندما تفتح تذكرة Sev A أو تشارك السجلات أو تصعد إصلاحًا عاجلاً، غالبًا ما تقوم بضرورة إنشاء أو الكشف عن:

• محتوى التذاكر والمحادثات الذي قد يتضمن التكوينات أو عناوين IP أو بيانات الاعتماد التي تم لصقها تحت ضغط الوقت.
• التحميلات التشخيصية (السجلات، ملفات تفريغ الذاكرة، التتبع) التي قد تحتوي على مفاتيح أو رموز أو معلومات تعريف شخصية.
• جلسات عن بُعد (مشاركة الشاشة/إدارة JIT) تمنح وصولاً عاليًا لاستكشاف الأخطاء وإصلاحها.
• تقارير القياس عن بعد وتقارير الأعطال التي تعكس حالات النظام، وأحيانًا مقتطفات من البيانات.

إذا تم التعامل مع هذه المنتجات أو الجلسات المميزة من قبل موظفين موجودين فعليًا في ولاية قضائية مختلفة، فقد يتم تفعيل التزاماتك بموجب العقود والقانون (قوانين القطاع العام أو القواعد القطاعية أو السياسات الداخلية).

على مدار العام الماضي، قامت ProPublica بتغطية أخبار عن أصل موظفي الدعم في Microsoft. فيما يلي جدول زمني لما نعرفه عن الأشخاص الذين يقومون بحل التذاكر الموحدة في هذه السيناريوهات:

• 15 يوليو 2025: أفادت ProPublica أن Microsoft كانت تستعين بمهندسين في الصين للمساعدة في صيانة أنظمة البنتاغون، تحت إشراف "مرافقين رقميين" غالبًا ما يفتقرون إلى الخبرة التقنية اللازمة للإشراف بفعالية.
• 18 يوليو 2025: عقب صدور التقرير، أعلنت شركة مايكروسوفت أنها توقفت عن استخدام مهندسين مقيمين في الصين في أنظمة السحابة التابعة لوزارة الدفاع الأمريكية (DoD).
• 18-20 يوليو 2025: لاحظت عدة وسائل إعلامية التغيير ونشاط المراجعة الفيدرالية.
• 1 أغسطس 2025: ربطت ProPublica هذه الممارسة بـ SharePoint، مشيرة إلى تورط مهندسين مقيمين في الصين في فترة شهدت مخاوف أمنية كبيرة.
• 25 يوليو 2025: أفادت ProPublica أيضًا عن دعم صيني لعملاء اتحاديين آخرين (مثل وزارة العدل ووزارة الخزانة)، مؤكدة أن إعلان وزارة الدفاع لم يشمل بالضرورة جميع الوكالات.
• رد فعل الصناعة: لخص تحليل US Cloud رد الفعل الفيدرالي وسلط الضوء على الاهتمام بالبدائل الخارجية الموجودة في الولايات المتحدة للأعمال الحساسة. US Cloud
• إشارات السوق: تعليقات القيادات على LinkedIn زادت من المخاوف وسلطت الضوء على زاوية SharePoint بالنسبة للمديرين التنفيذيين.

خلاصة القول: إن تحول Microsoft الخاص بوزارة الدفاع الأمريكية أمر جدير بالملاحظة، ولكن لا ينبغي للعملاء من القطاع العام وغير العسكريين من خارج وزارة الدفاع الأمريكية أن يفترضوا الحصول على نفس الحماية دون ضمانات مكتوبة.

لا يقتصر جوهر هذه المشكلة على الأشخاص ومكان تقديمهم للدعم فحسب، بل يتعلق أيضًا بالقوانين التي يخضع لها خبراء الدعم. إذا تم تقديم الدعم من داخل الصين، فإن الموظفين والشركات يخضعون لقوانين الأمن القومي والاستخبارات الصينية. تنص المادة 7 من قانون الاستخبارات الوطنية على أن المنظمات والمواطنين يجب أن "يدعموا ويساعدوا ويتعاونوا" مع أعمال الاستخبارات. ويشير الخبراء القانونيون ومحللو السياسات إلى أن هذا يمكن أن يفرض المساعدة، بما في ذلك الوصول إلى البيانات والأنظمة.

بالنسبة إلى مسؤول أمن المعلومات، هذا يعني أن الدعم عبر الحدود يمكن أن يوسع نطاق الهجمات والتهديدات التي تتعرض لها. سيادة البيانات هي ممارسة تضمن بقاء بياناتك (والمعلومات المتعلقة بها) تحت سلطتك القضائية ورقابتك، بما في ذلك طبقة الدعم.

• القطاع العام: وثقت ProPublica الدعم المقدم من الصين إلى وزارة الدفاع (التي تغيرت الآن) ووزارة العدل ووزارة الخزانة، مما يشير إلى تعرضها لأعباء تتجاوز نطاق أعمال الدفاع.
• الصناعات الخاضعة للتنظيم: الخدمات المالية والرعاية الصحية والبنية التحتية الحيوية تستعين بالدعم بشكل متكرر وغالبًا ما تنقل تشخيصات قد تتضمن مواد خاضعة للتنظيم أو سرية (مثل المعلومات الصحية المحمية، وسجلات المصادقة، والأسرار في ملفات التخزين). حتى عندما يتم فصل بيانات الإنتاج، يمكن أن تعيد أدوات الدعم إدخال المخاطر.

قد يبدو الدعم الآمن من Microsoft والدعم غير الآمن من Microsoft متشابهين اعتمادًا على الجهة التي تقدم هذه الخدمة. لا تشكل السيناريوهات التالية أي مخاطر إذا كنت تتعامل مع دعم موثوق، ولكنها قد تشكل مخاطر أمنية خطيرة عند التعامل مع حالات دعم غير آمنة.

• تسرب التذاكر: يطلب المهندسون "سجلات كاملة" أو لقطات شاشة؛ تتسرب الأسرار إلى القطع الأثرية المخزنة خارج منطقتك الأساسية.
• تقارير الأعطال والتتبع: قد تتضمن عمليات التقاط الذاكرة مفاتيح API أو معلومات التعريف الشخصية؛ أين تتم معالجة هذه المعلومات ومن يقوم بذلك؟
• جلسات الإدارة عن بُعد: يرفع الوصول "الطارئ" من مستوى الامتيازات؛ ويمكن مراقبة محتويات الجلسة أو تسجيلها أو فرضها بموجب القانون المحلي.
• مراجعات التصحيحات/المصادر: في حالات التصعيد الشديد، قد يطلب الموردون رموزًا أو تكوينات، مما يؤدي إلى الكشف عن عناوين IP/الأسرار.

هذه أمور روتينية تحدث في بيئات Microsoft المعقدة؛ وهي ضرورية في كثير من الحالات لحل مشكلات تكنولوجيا المعلومات المعقدة. لكن الفرق يكمن في مكان عمل الأشخاص الذين يتعاملون معها.

هناك طريقة للتغلب على دعم Microsoft غير الآمن. خطوتك الأولى هي مناقشة مخاوفك الأمنية مع المورد. فيما يلي بعض الموضوعات التي يمكنك مناقشتها مع جهة الاتصال الخاصة بك لدى المورد. إذا لم يتمكنوا من الإجابة على أسئلتك، فقد تحتاج إلى رفع مخاوفك إلى مستوى أعلى أو البدء في التفكير في حلول دعم بديلة.

إذا كنت تعتقد أن دعم Microsoft الخاص بك قد لا يكون آمنًا كما كنت تعتقد سابقًا، فهناك استراتيجيات يمكنك استخدامها لمساعدة فريقك على تأمين دعم Microsoft مرة أخرى.

التغيير الذي أجرته Microsoft على وزارة الدفاع الأمريكية هو بداية، ولكن يجب على الوكالات والمؤسسات غير التابعة لوزارة الدفاع الأمريكية أن تطلب شروطًا متساوية أو أقوى مكتوبة، خاصةً عندما يتعلق الأمر بالسرية القانونية أو المعلومات الشخصية/المعلومات الصحية الشخصية. تشير التقارير إلى أن الموظفين المقيمين في الصين كانوا يدعمون عملاء اتحاديين آخرين أيضًا في الماضي؛ اطرح الأسئلة المحرجة واحصل على الإجابات في عقودك.

الامتثال في دعم تكنولوجيا المعلومات هو أكثر من مجرد اتفاقيات مستوى الخدمة وأوقات الاستجابة. إنه أيضًا المكان الذي يجلس فيه مساعديك، والقوانين التي تربطهم، والمكان الذي توجد فيه منتجاتك. قم بمواءمة الدعم مع سيادة البيانات حسب التصميم، وأصر على الوضوح القضائي، وقم بتعزيز مسار الدعم من خلال الضوابط الفنية والتعاقدية. تظهر الحقائق التي ظهرت في عام 2025 المخاطر والمسار إلى الأمام.

احجز مكالمة مع US Cloud اليوم لبدء البحث عن بدائل آمنة لدعم Microsoft إذا لم يتمكن Unified CSAM أو ممثليك من تزويدك بإجابات مرضية.