Sovranità dei dati e supporto Microsoft sicuro: un confronto con la realtà.

Se ti affidi al supporto unificato di Microsoft, probabilmente ti stai ponendo una semplice domanda: possiamo ottenere un'assistenza rapida e competente senza mettere a rischio i nostri dati? Secondo recenti segnalazioni, la risposta a questa domanda non è più scontata, soprattutto per il settore pubblico e i carichi di lavoro regolamentati.

I dirigenti non temono solo i tempi di inattività: il pericolo può sorgere anche dove viene effettivamente fornito il supporto: chi accede ai ticket, ai log e alle sessioni live e in base alle leggi di quale paese. ProPublica ha scoperto che Microsoft ha utilizzato ingegneri con sede in Cina in diverse agenzie statunitensi (con "accompagnatori digitali") e, sebbene Microsoft abbia deciso di interrompere questa pratica per i sistemi del Dipartimento della Difesa, rimangono ancora dei dubbi per altri ambienti.

US Cloud tiene traccia di questi sviluppi per i CIO/CISO e riassume perché la giurisdizione e gli artefatti di supporto (ticket, dump, registrazioni delle sessioni) devono essere inclusi nel vostro modello di rischio, non solo i dati di produzione. Questo post è rivolto alle organizzazioni che cercano un supporto Microsoft sicuro senza ambiguità riguardo alle sedi del personale, ai sub-responsabili del trattamento o all'accesso transfrontaliero.

Chiunque abbia mai incollato un log in un ticket Sev-A alle 2 del mattino sa bene che l'assistenza è un punto vulnerabile in cui potrebbero verificarsi fughe di informazioni riservate o privilegiate. Vi mostreremo come mantenere gli help desk efficaci e sicuri: cosa chiedere al vostro fornitore e cosa bloccare oggi stesso.

• Un'inchiesta giornalistica del 2025 ha rivelato che Microsoft ha utilizzato ingegneri con sede in Cina per aiutare a mantenere sistemi sensibili del governo degli Stati Uniti, supervisionati a distanza da "accompagnatori digitali" meno pagati.
• Dopo la segnalazione, Microsoft ha dichiarato di aver smesso di avvalersi di ingegneri con sede in Cina per il supporto al Dipartimento della Difesa (DoD), ma rimangono dubbi riguardo ad altri carichi di lavoro federali e commerciali.
• Il rischio è l'esposizione giurisdizionale, ovvero quali leggi nazionali potrebbero imporre l'accesso ai vostri artefatti e alle vostre sessioni di supporto, indipendentemente dalla nazionalità dell'organizzazione supportata.
• La legge cinese sull'intelligence nazionale (articolo 7) e le relative misure aumentano il rischio di accesso forzato quando l'assistenza viene fornita dalla Cina, rendendo la sovranità dei dati e l'ubicazione del personale di assistenza una questione rilevante in materia di conformità.
• Il supporto genera naturalmente artefatti sensibili che possono includere segreti o dati regolamentati. Molti programmi trattano con attenzione i dati di produzione, ma trascurano questi flussi di dati di supporto.
• Agisci subito: richiedi informazioni sulla sicurezza ai tuoi fornitori. Il settore ha già iniziato a valutare queste alternative.

Quando si apre un ticket Sev A, si condividono i log o si inoltra una correzione rapida, spesso è necessario creare o esporre:

• Contenuto dei ticket e delle chat che può includere configurazioni, indirizzi IP o credenziali incollati sotto la pressione del tempo.
• Caricamenti diagnostici (log, dump di memoria, tracce) che possono contenere chiavi, token o informazioni di identificazione personale.
• Sessioni remote (condivisione schermo/amministrazione JIT) che garantiscono un accesso privilegiato per la risoluzione dei problemi.
• Telemetria e rapporti sugli arresti anomali che riflettono lo stato del sistema e, talvolta, frammenti di dati.

Se questi artefatti o sessioni privilegiate sono gestiti da personale fisicamente situato in una giurisdizione diversa, potrebbero essere attivati i vostri obblighi contrattuali e legali (statuti del settore pubblico, norme settoriali o politiche interne).

Nel corso dell'ultimo anno, ProPublica ha seguito le origini del personale di assistenza Microsoft. Ecco una cronologia di ciò che sappiamo su chi risolve i ticket Unified in questi scenari:

• 15 luglio 2025: ProPublica ha riferito che Microsoft stava utilizzando ingegneri in Cina per aiutare a mantenere i sistemi del Pentagono, monitorati da "accompagnatori digitali" che spesso non avevano le competenze tecniche necessarie per supervisionare in modo efficace.
• 18 luglio 2025: A seguito della notizia, Microsoft ha dichiarato di aver smesso di avvalersi di ingegneri con sede in Cina per i sistemi cloud del Dipartimento della Difesa (DoD).
• 18-20 luglio 2025: Diversi media hanno riportato la notizia del cambiamento e dell'attività di revisione federale.
• 1 agosto 2025: ProPublica ha collegato questa pratica a SharePoint, sottolineando il coinvolgimento di ingegneri con sede in Cina in un periodo caratterizzato da gravi preoccupazioni in materia di sicurezza.
• 25 luglio 2025: ProPublica ha anche riferito di un supporto con sede in Cina ad altri clienti federali (ad esempio, il Dipartimento di Giustizia, il Tesoro), sottolineando che l'annuncio del Dipartimento della Difesa non copriva necessariamente tutte le agenzie.
• Reazione del settore: l'analisi di US Cloud ha riassunto la risposta federale e ha evidenziato l'interesse per alternative di terze parti con sede negli Stati Uniti per carichi di lavoro sensibili. US Cloud
• Segnali dal mercato: i commenti dei leader su LinkedIn hanno amplificato le preoccupazioni e richiamato l'attenzione dei dirigenti sull'aspetto relativo a SharePoint.

Conclusione: il cambiamento specifico di Microsoft per il Dipartimento della Difesa è degno di nota, ma i clienti del settore pubblico non appartenenti al Dipartimento della Difesa e quelli commerciali non dovrebbero dare per scontata una protezione identica senza garanzie scritte.

Alla base di questo problema non ci sono solo le persone e il luogo da cui forniscono assistenza. Si tratta anche delle leggi a cui sono soggetti gli esperti di assistenza. Se l'assistenza viene fornita dall'interno della Cina, il personale e le aziende sono soggetti alle leggi cinesi in materia di sicurezza nazionale e intelligence. L'articolo 7 della Legge sull'intelligence nazionale stabilisce che le organizzazioni e i cittadini devono "sostenere, assistere e cooperare" con il lavoro di intelligence. Gli esperti legali e gli analisti politici sottolineano che ciò può comportare l'obbligo di fornire assistenza, compreso l'accesso a dati e sistemi.

Per un CISO, ciò significa che il supporto transfrontaliero può ampliare la superficie di attacco e di coercizione. La sovranità dei dati è la pratica che garantisce che i dati (e gli artefatti relativi ai dati) rimangano sotto la giurisdizione e il controllo scelti, compreso il livello di supporto.

• Settore pubblico: ProPublica ha documentato il supporto fornito dalla Cina al Dipartimento della Difesa (ora modificato), al Dipartimento di Giustizia e al Tesoro, il che implica un'esposizione che va oltre i carichi di lavoro della difesa.
• Settori regolamentati: i servizi finanziari, la sanità e le infrastrutture critiche ricorrono spesso all'assistenza tecnica e trasmettono frequentemente dati diagnostici che possono includere materiale regolamentato o riservato (ad esempio, dati sanitari protetti, registri di autenticazione, segreti contenuti nei dump). Anche quando i dati di produzione sono separati, gli artefatti di supporto possono reintrodurre il rischio.

Il supporto Microsoft sicuro e quello non sicuro possono sembrare identici a seconda di chi fornisce il servizio. I seguenti scenari non comportano rischi se si ha a che fare con un supporto affidabile, ma possono rappresentare gravi rischi per la sicurezza quando si interagisce con situazioni di supporto non sicuro.

• Perdita di ticket: gli ingegneri richiedono "log completi" o screenshot; i segreti si insinuano nei manufatti archiviati al di fuori della tua regione principale.
• Dump di crash e tracce: le acquisizioni di memoria possono includere chiavi API o informazioni personali identificabili; dove vengono elaborate e da chi?
• Sessioni di amministrazione remota: l'accesso "Break-glass" aumenta i privilegi; i contenuti delle sessioni potrebbero essere osservati, registrati o soggetti alle leggi locali.
• Revisioni hotfix/fonte: in caso di escalation approfondite, i fornitori potrebbero richiedere codice o configurazioni, aumentando l'esposizione di IP/segreti.

Si tratta di eventi di routine in ambienti Microsoft complessi; in molti casi sono necessari per risolvere problemi IT complessi. Tuttavia, la differenza sta nel luogo in cui si trovano le persone che se ne occupano.

Esiste un modo per aggirare il supporto Microsoft non sicuro. Il primo passo è quello di discutere le vostre preoccupazioni in materia di sicurezza con il vostro fornitore. Di seguito sono riportati alcuni argomenti da affrontare con il vostro referente presso il fornitore. Se non è in grado di rispondere alle vostre domande, potrebbe essere necessario segnalare le vostre preoccupazioni a un livello superiore o iniziare a prendere in considerazione soluzioni di supporto alternative.

Se ritieni che il supporto Microsoft non sia più sicuro come credevi in precedenza, esistono alcune strategie che puoi adottare per aiutare il tuo team a garantire nuovamente la sicurezza del supporto Microsoft.

La modifica apportata da Microsoft esclusivamente per il Dipartimento della Difesa è un inizio, ma le agenzie e le imprese non appartenenti al Dipartimento della Difesa dovrebbero richiedere la parità scritta o condizioni più rigorose, soprattutto quando sono in gioco la segretezza legale o le informazioni personali identificabili (PII) e le informazioni sanitarie protette (PHI). Secondo quanto riportato, il personale con sede in Cina ha storicamente supportato anche altri clienti federali; ponete le domande scomode e inserite le risposte nei vostri contratti.

La conformità nel supporto IT non si limita agli SLA e ai tempi di risposta. Riguarda anche dove lavorano i tuoi assistenti, quali leggi li vincolano e dove risiedono i tuoi artefatti. Allinea il supporto alla sovranità dei dati fin dalla progettazione, insisti sulla chiarezza giurisdizionale e rafforza il percorso di supporto con controlli tecnici e contrattuali. I fatti che emergono nel 2025 mostrano la posta in gioco e la strada da seguire.

Prenota oggi stesso una chiamata con US Cloud per iniziare a valutare soluzioni alternative sicure al supporto Microsoft, se il tuo Unified CSAM o i tuoi rappresentanti non sono in grado di fornirti risposte soddisfacenti.