استخدام مايكروسوفت للدعم الفني الصيني يثير مخاوف بشأن تعرض بيانات الحكومة الأمريكية للخطر.

ملخص تنفيذي TL;DR

في صميم الترتيب المثير للجدل الذي أبرمته مايكروسوفت يوجد نظام تم تصميمه كحل وسط بين متطلبات الأمن وكفاءة الشركات. على مدى ما يقرب من عشر سنوات، استخدمت شركة التكنولوجيا العملاقة ما تسميه "المرافقين الرقميين" — وهم مواطنون أمريكيون حاصلون على تصاريح أمنية يعملون كوسطاء بين المهندسين الأجانب والأنظمة الحكومية الحساسة.

يعمل النظام من خلال قيام المهندسين الصينيين بتقديم تعليمات فنية لهؤلاء المرافقين الأمريكيين، الذين يقومون بعد ذلك بتنفيذ الأوامر على الشبكات الفيدرالية دون أن يفهموا بالضرورة الآثار الكاملة لما يفعلونه. غالبًا ما يفتقر هؤلاء العمال، المعروفون باسم "المرافقين الرقميين"، إلى الخبرة الفنية اللازمة لمراقبة المهندسين الأجانب الذين يتمتعون بمهارات أكثر تقدمًا، وفقًا لما توصلت إليه ProPublica. بعضهم من العسكريين السابقين الذين لديهم خبرة قليلة في البرمجة ويحصلون على أجر لا يزيد كثيرًا عن الحد الأدنى للأجور مقابل عملهم.

تم وضع هذا الترتيب في أوائل عام 2010 عندما سعت Microsoft إلى الفوز بعقود مربحة في مجال الحوسبة السحابية الفيدرالية مع الحفاظ على هيكل قوتها العاملة العالمية. طورت Microsoft ترتيب المرافقة لإرضاء مسؤولي وزارة الدفاع الذين كانوا قلقين بشأن الموظفين الأجانب في الشركة، بالنظر إلى متطلبات الجنسية التي تفرضها الوزارة على الأشخاص الذين يتعاملون مع البيانات الحساسة.

لعب إندي كراولي، مدير برامج كبير في مايكروسوفت يُلقب بـ"مُهمس FedRAMP" لاعتياده على اللوائح الحكومية، دورًا رئيسيًا في تطوير هذا المفهوم. وأخبر ProPublica أن توظيف مرافقين افتراضيين ظهر كـ "الطريق الأقل مقاومة" عندما أثار مسؤولو وزارة الدفاع مخاوف بشأن احتمال تعامل القوى العاملة العالمية في مايكروسوفت مع بيانات حساسة.

بينما ركزت التقارير الأولية على استخدام مايكروسوفت للدعم الصيني لأنظمة وزارة الدفاع، كشفت التحقيقات اللاحقة أن هذه الممارسة تتجاوز بكثير التطبيقات العسكرية. فقد استخدمت الشركة قوتها العاملة العالمية، بما في ذلك الموظفين المقيمين في الصين، لصيانة أنظمة السحابة الإلكترونية للعديد من الإدارات والوكالات الفيدرالية.

لسنوات، استخدمت مايكروسوفت أيضًا قوتها العاملة العالمية، بما في ذلك الموظفين المقيمين في الصين، لصيانة أنظمة السحابة الخاصة بوزارات اتحادية أخرى، بما في ذلك أجزاء من وزارات العدل والمالية والتجارة، وفقًا لما توصلت إليه ProPublica.

تم تنفيذ هذا العمل ضمن ما يُعرف باسم " سحابة المجتمع الحكومي" (GCC)، وهي منصة مصممة للمعلومات غير السرية ولكنها حساسة مع ذلك. وفقًا للمعايير الحكومية، يشمل ذلك البيانات التي "قد يؤدي فقدان سريتها وسلامتها وتوافرها إلى آثار سلبية خطيرة على عمليات الوكالة أو أصولها أو أفرادها".

ومن الأمثلة المحددة على استخدام GCC ما يلي:

• تستخدم إدارة مكافحة الاحتكار التابعة لوزارة العدل هذه المنصة لأغراض التحقيقات الجنائية والمدنية والمنازعات القضائية.
• أجزاء من وكالة حماية البيئة تستخدم خدمات GCC
• وزارة التعليم التي تتولى صيانة الأنظمة على المنصة

هذا النطاق الأوسع للوصول الأجنبي قد أثار قلق خبراء الأمن السيبراني الذين يحذرون من أن حتى البيانات الحكومية غير السرية يمكن أن توفر معلومات استخباراتية قيّمة للأعداء الأجانب.

أحد الجوانب الأكثر إثارة للقلق في نظام المرافقة الرقمية هو التفاوت الكبير في الخبرة التقنية بين المرافقين الأمريكيين والمهندسين الصينيين الذين من المفترض أن يشرفوا عليهم. ويخلق هذا الفارق في المهارات ثغرة أمنية أساسية يقول الخبراء إنها تقوض أساس الأمن الذي يقوم عليه هذا الترتيب.

"نحن نثق في أن ما يفعلونه ليس ضارًا، لكننا لا نستطيع الجزم بذلك"، قالت إحدى المرافقات الحاليات التي وافقت على التحدث بشرط عدم الكشف عن هويتها خوفًا من عواقب مهنية.

المشكلة هي مشكلة هيكلية ومتعمدة. فقد اعترفت شركة مايكروسوفت بأن المرافقين موجودون في المقام الأول لضمان الامتثال لإجراءات معالجة البيانات وليس لتوفير الإشراف الفني. أوضح ماثيو إريكسون، وهو مهندس سابق في شركة مايكروسوفت عمل على نظام المرافقة، أنه "إذا قام شخص ما بتشغيل برنامج نصي يسمى "fix_servers.sh" ولكنه في الواقع قام بعمل ضار، فإن [المرافقين] لن يكون لديهم أي فكرة عن ذلك".

يعكس توظيف المرافقين هذه التوقعات المحدودة. نشر أحد المتعاقدين مع شركة مايكروسوفت إعلانًا في يناير 2025 يبحث فيه عن مرافق مقابل 18 دولارًا في الساعة، وكان الشرط الأساسي هو الحصول على تصريح أمني من وزارة الدفاع وليس الخبرة الفنية.

"يحصل الناس على هذه الوظائف لأنهم حصلوا على تصريح (أمني)، وليس لأنهم مهندسون بارعون"، قال المرافق الذي وافق على التحدث دون الكشف عن هويته ويعمل في شركة Insight Global.

هذا الترتيب يعني أن فريق المرافقة التابع لشركة مايكروسوفت يجري كل شهر مئات من التفاعلات مع المهندسين والمطورين المقيمين في الصين، حيث يعمل بشكل أساسي كقناة لتوصيل التعليمات الفنية الأجنبية إلى الشبكات الفيدرالية دون قدرة رقابة ذات مغزى.

أصبحت نقاط الضعف الكامنة في نهج Microsoft واضحة بشكل صارخ في يوليو 2025 عندما استغل قراصنة مدعومون من الدولة الصينية نقاط الضعف في SharePoint، وهو برنامج التعاون المستخدم على نطاق واسع من Microsoft. أدى الهجوم إلى تعرض مئات الشركات والوكالات الحكومية للخطر، بما في ذلك الإدارة الوطنية للأمن النووي (NNSA) ووزارة الأمن الداخلي (DHS).

ما جعل هذا الحادث مقلقًا بشكل خاص هو اكتشاف ProPublica لاحقًا أن دعم SharePoint يتم من قبل فريق هندسي مقره في الصين، وهو الفريق المسؤول عن صيانة البرنامج منذ سنوات.

يكشف الجدول الزمني لهجوم SharePoint عن مدى تعقيد التحديات الأمنية:

• بدأ قراصنة صينيون في استغلال نقاط الضعف في SharePoint منذ 7 يوليو 2025.
• أصدرت مايكروسوفت تصحيحًا في 8 يوليو، لكن القراصنة تجاوزوه.
• أصدرت الشركة لاحقًا تصحيحًا جديدًا يتضمن "حماية أكثر قوة".
• سمحت الثغرات الأمنية للمخترقين "بالوصول الكامل إلى محتوى SharePoint، بما في ذلك أنظمة الملفات والتكوينات الداخلية، وتنفيذ التعليمات البرمجية عبر الشبكة".

على الرغم من عدم وجود دليل على أن فريق SharePoint التابع لشركة Microsoft في الصين لعب دوراً في الهجوم، إلا أن هذه المصادفة سلطت الضوء على المخاطر المحتملة لقيام موظفين صينيين بصيانة برامج كان خصوم أمريكيون يهاجمونها في الوقت نفسه.

أعرب خبراء الأمن القومي والأمن السيبراني عن قلقهم إزاء هذه الكشوفات، وتفاجأ الكثيرون بوجود مثل هذه الترتيبات. وقال هاري كوكر، وهو مسؤول تنفيذي سابق في وكالة الاستخبارات المركزية ووكالة الأمن القومي، وشغل أيضًا منصب المدير السيبراني الوطني خلال إدارة بايدن، لـ ProPublica إن نظام المرافقة الرقمية يوفر فرصة واضحة للتجسس.

"لو كنت عميلاً سرياً، لاعتبرت ذلك وسيلة للوصول إلى معلومات بالغة الأهمية. علينا أن نولي اهتماماً كبيراً لهذا الأمر"، قال هاري كوكر، الذي كان مسؤولاً تنفيذياً رفيع المستوى في وكالة الاستخبارات المركزية ووكالة الأمن القومي.

وتستند هذه المخاوف إلى الواقع التقني لهذا الترتيب والإطار القانوني الذي يحكم جمع البيانات في الصين. وأوضح جيريمي داوم، باحث أول في مركز بول تساي الصيني في كلية الحقوق بجامعة ييل، أن القوانين الصينية تسمح للمسؤولين الحكوميين بجمع البيانات "طالما أنهم يقومون بشيء يعتبرونه مشروعًا". وأشار إلى أنه سيكون "من الصعب على أي مواطن أو شركة صينية أن تقاوم بشكل فعال طلبًا مباشرًا من قوات الأمن أو سلطات إنفاذ القانون".

أكد ريكس بوث، وهو مسؤول سابق في مجال الأمن السيبراني الفيدرالي يشغل حالياً منصب رئيس أمن المعلومات في SailPoint، أن المخاطر تتجاوز المخاوف التقليدية المتعلقة بالمعلومات السرية:

"مع وجود الكثير من البيانات المخزنة في خدمات السحابة - وقدرة الذكاء الاصطناعي على تحليلها بسرعة - حتى البيانات غير المصنفة يمكن أن تكشف عن معلومات قد تضر بمصالح الولايات المتحدة."

هاري كوكر، مسؤول تنفيذي سابق في وكالة الاستخبارات المركزية ووكالة الأمن القومي

أثارت هذه الكشوفات ردود فعل سريعة من كل من الكونغرس والسلطة التنفيذية. وأطلق وزير الدفاع بيت هيغسيث مراجعة فورية لهذه الممارسات، معلناً على وسائل التواصل الاجتماعي أن

"لا ينبغي أبدًا السماح للمهندسين الأجانب — من أي بلد، بما في ذلك الصين بالطبع — بصيانة أنظمة وزارة الدفاع أو الوصول إليها."

ظهر قلق من كلا الحزبين في الكونغرس، حيث كتب السناتور توم كوتون (جمهوري عن ولاية أركنساس) والسناتورة جين شاهين (ديمقراطية عن ولاية نيوهامبشاير) رسائل إلى الوزير هيغسيث يطالبان فيها بمزيد من المعلومات حول ترتيبات الدعم التي تقدمها مايكروسوفت في الصين. يعكس اهتمام الكونغرس الوعي المتزايد بالصين كتهديد إلكتروني والمخاوف الأوسع نطاقاً بشأن الاعتماد التكنولوجي على الدول الأجنبية.

أعرب جون شيرمان، الذي شغل منصب مدير المعلومات في وزارة الدفاع خلال إدارة بايدن، عن دهشته من هذه النتائج ودعا إلى "إجراء مراجعة شاملة من قبل وكالة دعم المعلومات الدفاعية (DISA) والقيادة السيبرانية (Cyber Command) والأطراف المعنية الأخرى المشاركة في هذا الأمر".

وزير الدفاع بيت هجسيث يقول إنه لا يوجد دعم فني أجنبي في وزارة الدفاع

في مواجهة الكشف العلني عن ممارساتها، تحركت مايكروسوفت بسرعة لمعالجة المخاوف الفورية مع الدفاع عن نهجها العام. أعلنت الشركة أنها لن تستخدم بعد الآن فرق الهندسة الموجودة في الصين لدعم أنظمة الحوسبة السحابية التابعة لوزارة الدفاع، واقترحت أن تغييرات مماثلة قد تطرأ على عملاء حكوميين آخرين.

في بيان لها، قالت مايكروسوفت: "اتخذت مايكروسوفت خطوات الأسبوع الماضي لتعزيز أمن عروضنا السحابية للحكومة الأمريكية. وسنقوم في المستقبل باتخاذ خطوات مماثلة لجميع عملائنا من الجهات الحكومية الذين يستخدمون السحابة المجتمعية الحكومية (GCC) لضمان أمن بياناتهم بشكل أكبر".

ومع ذلك، أثارت استجابة الشركة العديد من الأسئلة بقدر ما قدمت من إجابات. رفضت مايكروسوفت تحديد ما الذي سيحل محل فرق الدعم الصينية، وما إذا كان سيستمر استخدام المرافقين الرقميين، أو ما إذا كان الدعم سيأتي من مهندسين مقيمين في دول أجنبية أخرى. كما قالت الشركة إنها "ستجري مراجعة لتقييم ما إذا كانت هناك حاجة إلى تدابير إضافية" خلال الشهر التالي.

قدم روبرت إي. لامير الرابع، مؤسس شركة US Cloud، هذا الحل. US Cloud هي الشركة الرائدة في توفير الدعم من طرف ثالث لبرامج Microsoft للمؤسسات.

"يجب على Microsoft استبدال فرق الدعم الصينية الخاصة بها بـ US Cloud. نحن على استعداد للعمل بجدية لتلبية متطلبات الترخيص الخاصة بالوكالات – فقد تم إنشاء شركتنا من الألف إلى الياء لتلبية متطلبات السيادة الفيدرالية على البيانات ومتطلبات المواطنة. أو يمكن للوكالات التعاقد معنا مباشرةً."

فيما يتعلق بفريق SharePoint على وجه التحديد، أقرت Microsoft بوجود فريق هندسي مقره في الصين، لكنها شددت على أنه "يخضع لإشراف مهندس مقره في الولايات المتحدة ويخضع لجميع متطلبات الأمان ومراجعة مدونة المديرين. وقد بدأت بالفعل أعمال نقل هذا العمل إلى موقع آخر".

تتناسب الكشفات الرقمية مع نمط أوسع من مشكلات الأمان في Microsoft التي تثير قلق المسؤولين الحكوميين وخبراء الأمن السيبراني. لاحظت ProPublica أن Microsoft "أعطت الأولوية مرارًا وتكرارًا لأرباح الشركة على حساب أمان العملاء"، بما في ذلك حادثة سابقة تجاهلت فيها الشركة تحذيرات المهندسين بشأن عيب في أحد المنتجات استغلته لاحقًا قراصنة مدعومون من الدولة الروسية في واحدة من أكبر الهجمات السيبرانية في التاريخ.

كنذير بتعهيد دعم Microsoft Gov إلى الصين، نشر مدير برنامج المشتريات في وزارة الدفاع الأمريكية، بريسكوت بولين، قبل عام من ذلك، هذا الفيديو على LinkedIn في عام 2024، يظهر فيه أن Microsoft أحالته إلى مركز اتصال صيني عندما واجه مشاكل في الوصول إلى "حساباته المتعلقة بالدفاع بعد ساعات العمل". رقم تتبع دعم الحوادث من Microsoft: 2407040040000430.

ظهر نظام المرافقة نفسه خلال فترة كانت فيها شركة Microsoft تسعى بقوة للحصول على عقود سحابية فيدرالية، حيث أطلق زملاؤه على أحد المهندسين الرئيسيين لقب "FedRAMP whisperer" (مستشار FedRAMP) لقدرته على التعامل مع متطلبات الأمن الحكومية. سمح هذا الترتيب لشركة Microsoft بالحفاظ على هيكل قوتها العاملة العالمية الفعال من حيث التكلفة مع تلبية متطلبات الأمن الفيدرالية على المستوى السطحي.

بريسكوت بولين، مدير برنامج المشتريات في وزارة الدفاع الأمريكية، 2024 دعم Microsoft يتم الاستعانة بمصادر خارجية في الصين فيديو

كشفت تحقيقات ProPublica أن مخاوف بشأن نظام المرافقة الرقمية كانت موجودة داخل Microsoft وبين مقاوليها منذ البداية. حذر العديد من الأشخاص المشاركين في العمل، بما في ذلك أحد قادة الأمن السيبراني في Microsoft، الشركة من أن هذا الترتيب ينطوي على مخاطر جوهرية، لكن Microsoft "أطلقت هذا النظام ووسعته على أي حال".

إحدى الحالات البارزة بشكل خاص تتعلق بتوم شيلر، وهو متعاقد سابق مع شركة Insight Global، الذي اتصل بخط ساخن تابع لوزارة الدفاع وكتب إلى العديد من المشرعين الفيدراليين في عام 2024 لتحذيرهم من المرافقة الرقمية. وصلت شكاواه في النهاية إلى مكتب المفتش العام التابع لوكالة أنظمة المعلومات الدفاعية، الذي أجرى مقابلات ولكنه أحال الأمر في النهاية إلى إدارة الوكالة بدلاً من متابعة التحقيق.

كما أثار المرافقون الحاليون مخاوفهم. قال أحد موظفي Insight Global لـ ProPublica إنهم "أثاروا مرارًا وتكرارًا مخاوفهم بشأن فجوة المعرفة مع Microsoft، على مدى عدة سنوات وحتى أبريل الماضي، ومع محامي Insight Global أنفسهم". وقال المرافق إنهم قلقون بشكل خاص بشأن القوانين الصينية التي تمنح سلطة واسعة لجمع البيانات وما يسببه ذلك من تعرض لشبكات الحكومة الأمريكية.

تترتب على ما كشفت عنه شركة مايكروسوفت آثار أوسع نطاقاً على الطريقة التي تتعامل بها الحكومة الفيدرالية مع الحوسبة السحابية وتحديث تكنولوجيا المعلومات. ويبرز هذا الحادث التوترات الأساسية بين الكفاءة من حيث التكلفة والخبرة التقنية ومتطلبات الأمن التي شكلت اعتماد الحكومة للتكنولوجيا خلال العقد الماضي.

كان اعتماد الحكومة الفيدرالية على الحوسبة السحابية مدفوعًا إلى حد كبير بوعود بتحقيق وفورات في التكاليف وتحسين الكفاءة والوصول إلى أحدث التقنيات. ومع ذلك، توضح قضية Microsoft كيف أن هذه المزايا يمكن أن تأتي مع تكاليف أمنية خفية لا تظهر على الفور للمشترين الحكوميين أو وكالات الرقابة.

كما يثير هذا الوضع تساؤلات حول مدى كفاية آليات الرقابة الحكومية الحالية. على الرغم من وجود نظام المرافقة منذ ما يقرب من عقد من الزمان، يبدو أن حتى كبار مسؤولي وزارة الدفاع لم يكونوا على علم بوجوده. وهذا يشير إلى وجود ثغرات كبيرة في كيفية فهم الوكالات الحكومية لممارسات موردي التكنولوجيا ومراقبتها.

بينما تتعامل الحكومة مع تداعيات الكشف عن دعم مايكروسوفت، لا تزال هناك أسئلة جوهرية حول كيفية تحقيق التوازن بين متطلبات الأمن والواقع العملي للعمل في سوق التكنولوجيا العالمية. يمثل نظام الحراسة الرقمية محاولة للتغلب على هذه المشكلة، لكن فشله الواضح يشير إلى أنه قد يكون من الضروري اتباع نهج أكثر قوة.

قد يؤدي هذا الحادث إلى تسريع الجهود الحكومية الأوسع نطاقًا للحد من الاعتماد على الموظفين الأجانب في الوظائف التكنولوجية الحيوية، ولكن من المرجح أن يكون لهذا التحول تكاليف كبيرة وتحديات تقنية. إن بناء قدرات تقنية محلية كافية للتعامل مع متطلبات تكنولوجيا المعلومات الحكومية المعقدة يمثل مهمة كبيرة تتطلب استثمارات مستمرة واهتمامًا سياسيًا.

تسلط قضية مايكروسوفت الضوء أيضًا على أهمية الشفافية في عقود التكنولوجيا الحكومية. إن حقيقة أن مثل هذا الترتيب الأمني المهم ظل ساريًا لمدة تقارب العقد من الزمن دون علم الجمهور تشير إلى أن متطلبات الإفصاح الحالية قد تكون غير كافية في ظل الواقع المعقد لخدمات التكنولوجيا الحديثة.

يمثل استخدام مايكروسوفت للمهندسين الصينيين لدعم أنظمة الحكومة الأمريكية دراسة حالة عن العواقب غير المقصودة لإعطاء الأولوية للكفاءة على حساب الأمن في البنية التحتية التكنولوجية الحيوية. في حين أن نظام الحراسة الرقمية للشركة قد يكون قد استوفى متطلبات الأمن الفيدرالية نصياً، إلا أنه يبدو أنه انتهك روحها من خلال خلق نقاط ضعف يمكن أن يستغلها أعداء متطورون.

تشير الاستجابة السريعة من جانب مايكروسوفت والكونغرس والسلطة التنفيذية إلى الاعتراف بأن الترتيب الحالي غير قابل للاستمرار في ظل الواقع الجيوسياسي المتغير والتهديدات السيبرانية. ومع ذلك، فإن التحدي المتمثل في استبدال هذه الأنظمة مع الحفاظ على قدرات تكنولوجيا المعلومات الحكومية سيتطلب تخطيطًا دقيقًا وموارد كبيرة.

مع استمرار الولايات المتحدة في التنافس مع الصين في مجال التكنولوجيا والقدرات السيبرانية، فإن الكشف عن دعم مايكروسوفت يمثل تذكيرًا صارخًا بأن الأمن لا يمكن أن يعامل كأمر ثانوي في تصميم الأنظمة الحيوية. إن تكلفة الإخفاق في مجال الأمن السيبراني - سواء قيس ذلك بالبيانات المخترقة أو الأضرار التي تلحق بالأمن القومي أو فقدان ثقة الجمهور - تفوق بكثير الوفورات قصيرة الأجل التي قد تتحقق من التوفير في متطلبات أمن سلسلة التوريد.

من المرجح أن يؤدي الحل النهائي لهذه الحالة إلى إرساء سوابق مهمة لكيفية تعامل الحكومة مع مراقبة موردي التكنولوجيا ومتطلبات الأمن في سوق عالمية تزداد تعقيدًا. لا يمكن أن تكون المخاطر أكبر من ذلك، حيث تعتمد سلامة البنية التحتية الرقمية الأمريكية على اتخاذ القرارات الصحيحة في هذا الشأن.