O Departamento de Defesa dos EUA descobre uma alternativa ao suporte Microsoft Premier: a US Cloud.

JEDI é a nuvem militar dos Estados Unidos para os seus combatentes. A nuvem militar dos EUA terá todos os benefícios de segurança, escala, custo-benefício, failover, IA e as dificuldades típicas da nuvem em termos de migração e integração híbrida. A plataforma de nuvem da Microsoft trará um fluxo constante de novos recursos e atualizações. Saber como usar os novos recursos e como eles afetarão os ambientes existentes será cada vez mais importante à medida que a adoção do JEDI aumentar.

A Microsoft está a atender aos requisitos do Departamento de Defesa dos EUA em relação à soberania de dados e a garantir que os seus centros de dados nos EUA sejam operados apenas por cidadãos americanos selecionados. No entanto, a Microsoft não garante que, quando uma entidade do Departamento de Defesa ligar para o suporte técnico do Office 365, Azure ou outro produto da Microsoft, a pessoa do outro lado da linha não seja um cidadão estrangeiro.  E embora a maioria das questões abrangidas pelo Suporte Microsoft Premier (Unificado) sejam bastante rotineiras e não críticas para os negócios, podem ocorrer e ocorrerão incidentes que são críticos para a missão, e a sua resolução rápida por cidadãos americanos selecionados será fundamental para os nossos combatentes americanos e para o Departamento de Defesa.

O que é JEDI?

As Forças Armadas dos Estados Unidos estão a embarcar num projeto ambicioso e dispendioso de transformação para a nuvem, com o objetivo de modernizar os recursos de TI em todos os departamentos do Pentágono e ramos das Forças Armadas.

A iniciativa Joint Enterprise Defense Infrastructure (JEDI) é um componente desse plano. Um documento sobre estratégia de nuvem apresentado ao Congresso faz uma distinção entre a necessidade do Departamento de Defesa (DoD) de uma nuvem de «uso geral» e aquelas que serão «adequadas à finalidade».

A nuvem de uso geral que irá para a AWS ou a Microsoft será a nuvem de primeira escolha, com uma “preferência de implementação primária” para todas as agências de defesa. Somente quando as necessidades da missão não puderem ser atendidas pela nuvem de uso geral é que alternativas adequadas à finalidade serão exploradas”, diz o documento.

Os «proprietários da missão» que desejarem se afastar do provedor de nuvem selecionado por meio da iniciativa JEDI terão que enviar um «Relatório de Exceção» ao CIO do Departamento de Defesa explicando por que acreditam que a capacidade de que necessitam não pode ser atendida pela nuvem de uso geral.

Como o JEDI poderia sofrer sem o apoio soberano da nuvem dos EUA?

Cenário 1 Impacto mínimo: Um cidadão estrangeiro que trabalha para a Microsoft através de seus^{terceirizados} offshore e dá suporte ao JEDI através do seu contrato de suporte Microsoft Premier (Unified) com o Departamento de Defesa dos EUA (DoD) recebe um ticket de suporte de gravidade «crítica para a missão» e atrasa propositadamente o processo de resolução por horas ou dias. No mínimo, isso diminui a velocidade operacional do DoD, mas, no máximo, ameaça as missões dos combatentes destacados.  O «funcionário da Microsoft» com um cartão virtual passa então a Análise da Causa Raiz (RCA) para o Estado-nação do seu verdadeiro empregador, a fim de criar uma estrutura para futuros ataques cibernéticos ao JEDI.

Cenário 2 Impacto moderado: Um cidadão estrangeiro que trabalha para a Microsoft através de seus^{terceirizados} offshore afirma que precisa de acesso remoto aos sistemas do Departamento de Defesa para solucionar problemas e recebe privilégios. O «funcionário da Microsoft» com um cartão virtual usa então o acesso para comprometer o ambiente, plantando malware ou desviando dados confidenciais para o país onde realmente trabalha.

Cenário 3 Impacto crítico: Um cidadão estrangeiro que trabalha para a Microsoft através de seus^{terceirizados} offshore obteve acesso remoto aos sistemas JEDI e está, lenta e secretamente, mapeando seu modelo de failover. O «funcionário da Microsoft» com um cartão virtual usa então esse modelo e está pronto para ativar malware dormente e não detetado para roubar credenciais e derrubar uma parte ou todo o JEDI, limitando a capacidade do Departamento de Defesa de detetar ou responder a um ataque cibernético ou militar coordenado de maior magnitude contra os Estados Unidos.

Segurança JEDI

Com uma nuvem militar, a segurança é a principal preocupação.

Opinião dos altos escalões do Pentágono nuvem pública como uma vantagem na proteção de dados e sistemas militares, e a estratégia de nuvem do Departamento de Defesa foi elaborada para se alinhar com a sua estratégia cibernética mais ampla. O Departamento de Defesa deve adotar mecanismos de segurança modernos incorporados nas plataformas dos provedores comerciais de nuvem modernos para garantir a segurança dessas grandes quantidades de dados e proteger as informações”, afirma o relatório.

A infraestrutura atual do Pentágono representa um risco à segurança. O relatório revela que o Departamento de Defesa tem enfrentado dificuldades para acompanhar as ameaças cibernéticas. “Ao possuir e operar o hardware físico associado aos centros de dados locais, o Departamento pode incorrer em riscos desnecessários à segurança e consumir recursos que poderiam ser realocados para apoiar os combatentes e a força de trabalho em outras áreas de missão”, afirma o relatório.

Políticas e procedimentos de aquisição excessivamente rígidos dificultam aos profissionais de TI do Departamento de Defesa garantir que o hardware e o software sejam atualizados adequadamente. Os fornecedores de nuvem pública que desejam conquistar contratos lucrativos serão avaliados quanto às suas capacidades de segurança.

“O Departamento de Defesa deve testar e avaliar de forma independente a segurança da rede em nuvem para verificar a conformidade de segurança e a resposta a incidentes, além de analisar todos os resultados dos testes realizados por contratados e terceiros para garantir que o desempenho e o monitoramento de segurança sejam suficientes.”

Os líderes militares querem mudar o foco da segurança cibernética da proteção dos perímetros das redes para o controlo ativo do acesso aos dados. Os algoritmos de encriptação modernos e os sistemas de gestão de chaves incorporados nos serviços comerciais em nuvem, bem como a etiquetagem adequada dos dados, permitirão alcançar esse objetivo.

Além de controlar o acesso aos dados, os líderes militares devem verificar se todo o pessoal de suporte técnico que dá assistência aos seus sistemas Microsoft é composto por cidadãos norte-americanos selecionados. Isso garantirá a conformidade com a ITAR e mitigará o risco de expor desnecessariamente cidadãos estrangeiros ao JEDI.

 Perigo iminente – Estrangeiros que apoiam o JEDI

Os serviços de suporte Microsoft Premier (Unified) estão cada vez mais a recorrer a fornecedores terceirizados (incluindo, entre outros, Wipro e Tata) para reforçar a sua própria equipa. As organizações federais descobriram que, contratualmente, a Microsoft não garante que um cidadão estrangeiro não atenda a linha de suporte ou trabalhe nos seus tickets. As organizações federais, estaduais e locais estão a mudar da Microsoft para a US Cloud por motivos de soberania e responsabilidade fiscal.

Em abril de 2019, a Wipro (NYSE: WIT), fornecedora indiana de serviços de outsourcing de tecnologia da informação (TI) e suporte Microsoft Premier (Unified), foi alvo de um ataque cibernético. A notícia foi divulgada pelo Krebs on Security.  Fontes afirmam que a ferramenta de acesso remoto ScreenConnect foi usada em março de 2019 para comprometer os sistemas da Wipro e, em seguida, atacar os clientes da Wipro nos EUA e em outros países. A origem do ataque ainda é desconhecida, mas uma transação interessante ocorreu no mesmo mês em que a notícia da violação de dados da Wipro veio a público.

Em 4 de abril de 2019, o governo da Índia vendeu ações «inimigas» da Wipro no valor aproximado de US$ 166 milhões. De acordo com este artigo em O Padrão EmpresarialAs ações inimigas são assim chamadas porque eram originalmente detidas por pessoas que migraram para o Paquistão ou a China e já não são cidadãos indianos.

«Um total de 44,4 milhões de ações, que estavam na posse do Custódio de Propriedades Inamicas da Índia, foram vendidas a 259 rúpias cada na Bolsa de Valores de Bombaim», informou o The Business Standard. «Os compradores foram as empresas estatais Life Insurance Corporation of India (LIC), New India Assurance e General Insurance Corporation. LIC»

O recente anúncio, em junho de 2019, dos ataques Cloud Hopper comprometeu vários fornecedores proeminentes, incluindo a Tata, uma extensão de pessoal^terceirizada comumente usada dos serviços de suporte Microsoft Premier (Unified). A Reuters foi a primeira a noticiar o ataque. A Tata recusou-se a comentar. Uma acusação nos EUA está pendente e o Ministério de Segurança do Estado chinês é suspeito de ser a origem do ataque.

Fontes da Reuters afirmaram que os ataques ocorreram entre 2014 e 2017 e tinham como alvo fornecedores globais de outsourcing de TI, com o único objetivo de roubar segredos comerciais dos seus clientes. Coincidentemente, em 2014, a Tata foi processada pela Epic Systems nos EUA por roubo de propriedade intelectual e perdeu um julgamento no valor de 420 milhões de dólares.

Custos de suporte do DoD JEDI

As forças armadas estão sujeitas a restrições orçamentárias. Os líderes do Pentágono veem a nuvem como uma fonte de benefícios económicos, tal como muitas empresas privadas já perceberam.

“O modelo de pagamento por uso da nuvem proporcionará flexibilidade para otimizar custos em todo o portfólio de TI e permitirá que o Departamento de Defesa se adapte às mudanças nas prioridades, condições orçamentárias e desenvolvimentos do setor”, afirma o relatório. Os sistemas existentes que não estão “prontos para a nuvem” costumam usar “quantidades excessivas de recursos de infraestrutura em nuvem”, tornando-os menos eficientes e, portanto, mais caros de operar.

As forças armadas também reconhecem, como muitas empresas já descobriram, que é difícil prever os custos da nuvem. Para alcançar a transparência de custos, as forças armadas precisarão implementar uma «governança forte» para monitorar como as aplicações são desenvolvidas e os dados são transmitidos e armazenados.

“À medida que desenvolvemos essas normas, implementamo-las e, posteriormente, aprendemos e alinhamos melhor os nossos serviços e dados a uma solução empresarial, podemos recorrer a ferramentas e técnicas automatizadas para informar melhor o acompanhamento preciso da execução financeira dos recursos da nuvem.”

Assim como a nuvem proporciona eficiências económicas, o mesmo acontece com o Serviços de Apoio Federal à Nuvem dos EUA.. Organizações dependentes da Microsoft, como o Departamento de Defesa, normalmente reduzem seus custos pela metade ao mudar do suporte Microsoft Unified (anteriormente Premier) para o US Cloud. Essa economia significativa permitiria ao Departamento de Defesa manter o orçamento e realocar os recursos economizados com suporte onde nossos combatentes mais precisam.

Acompanhando o ritmo da nuvem

À medida que os governos federais, estaduais e locais dos EUA adotam plataformas de serviços em nuvem, como Microsoft Azure e Office 365, novos recursos e atualizações de segurança fluem automaticamente da Microsoft para a base de utilizadores.  Isso ajuda a manter o ambiente e os utilizadores mais seguros, mas também introduz mudanças com mais frequência. Os administradores sabem quais novos recursos estão a caminho e quando? Algum dos recursos em desenvolvimento é capaz de prejudicar o ambiente existente à medida que for sendo implementado? Os utilizadores estão cientes dos novos recursos e de como utilizá-los? Se não, quem fará o treinamento e quando?

É fundamental que o roteiro de TI de uma organização esteja alinhado com o roteiro de serviços em nuvem da Microsoft. Fornecedores de suporte confiáveis terceirizados, como a US Cloud, podem não apenas oferecer suporte a tecnologias essenciais da Microsoft, como o OpenAI, mas também oferecer serviços de consultoria e roteiro para maximizar o investimento da organização em toda a pilha da Microsoft.

Apoiando a nuvem militar dos EUA

Um componente, a iniciativa JEDI, gerou uma onda de controvérsia no Vale do Silício, incluindo críticas de um grupo comercial do setor,protestos ao GAO euma ação judicial movida pela Oraclecontra o governo federal.

Embora a estratégia de nuvem do Departamento de Defesa seja muito mais ampla do que a JEDI, ela precisa da ajuda de fornecedores de nuvem empresarial para capacitar as tropas em campo e os profissionais de inteligência militar.

«A Estratégia de Nuvem do Departamento de Defesa reafirma o nosso compromisso com a nuvem e a necessidade de ver as iniciativas de nuvem de uma perspetiva empresarial para uma adoção mais eficaz», diz o prefácio do documento, escrito pelo secretário de Defesa interino Patrick Shanahan.

«O Departamento de Defesa (DoD) entrou na era moderna da guerra, em que o campo de batalha existe tanto no mundo digital quanto no físico», afirma Shanahan.

“A nuvem é um componente fundamental da infraestrutura global que capacitará os combatentes com dados e é essencial para manter a vantagem tecnológica das nossas forças armadas.”

A US Cloud está pronta, com a sua equipa 100% composta por cidadãos norte-americanos, para apoiar a nuvem militar dos EUA e a sua base de utilizadores de combatentes. O apoio à soberania, a conformidade com a ITAR e a poupança de custos de 30 a 60% fazem da US Cloud a escolha responsável para o Departamento de Defesa e os contribuintes dos Estados Unidos.

Apoio soberano – Da pátria ao campo de batalha

O ambiente de nuvem do Departamento de Defesa precisa dar suporte às operações militares, desde o campo de batalha até a retaguarda.

«Devemos dar à JEDI e ao Departamento de Defesa dos EUA o pessoal de apoio soberano que eles merecem para concluir as missões com sucesso», afirma o fundador da US Cloud, Robert E. LaMear IV. «Inserir cidadãos estrangeiros na cadeia de fornecimento de suporte técnico do país (EUA) é irresponsável e representa um risco desnecessário para a nossa segurança nacional.»

Um requisito para a nuvem do Departamento de Defesa é a integração e operação de soluções de computação que sejam simples e repetíveis em todos os níveis de classificação. «Isso permitirá que os combatentes tomem decisões baseadas em dados e aumentem a capacidade do Departamento de Defesa de partilhar dados com aliados e operar como uma força de coalizão», afirma o relatório.

O relatório observa que a indústria de tecnologia fez grandes avanços na execução de operações desconectadas. “As nuvens de uso geral e adequadas à finalidade do Departamento aproveitarão esses esforços para fornecer aos combatentes a tecnologia mais recente onde e quando eles precisarem, independentemente do ambiente.”

Os dispositivos «robustos e adaptáveis» utilizados pelos combatentes no terreno devem ser capazes de sincronizar-se automaticamente com a nuvem quando as comunicações forem suficientes ou restabelecidas.

“A sincronização automática de informações garantirá que os combatentes retenham dados, os insiram em modelos e lutem com os algoritmos mais recentes. Fazer isso em um ambiente seguro será um multiplicador de força e apoiará diretamente o objetivo principal do ambiente de nuvem: superioridade de informações.”