Contrato da JWCC levanta preocupações sobre segurança cibernética e leis antitruste.

Em 2019, o Departamento de Defesa concedeu um contrato de computação em nuvem no valor de US$ 10 bilhões à Microsoft, conhecido como “War Cloud” ou contrato JEDI. O objetivo do contrato era modernizar a infraestrutura tecnológica do Pentágono e melhorar as operações militares. O contrato JEDI foi cancelado em 2022, mas um novo contrato, o Joint Warfighting Cloud Capability (JWCC), entra em vigor este ano para substituí-lo.

No entanto, o contrato suscitou preocupações entre os membros do Congresso e os funcionários do Departamento de Defesa quanto a possíveis implicações na segurança cibernética e violações antitruste, uma vez que a Microsoft é cada vez mais utilizada para ferramentas e serviços de segurança cibernética. Isso exclui outros fornecedores e representa riscos potenciais à segurança, com tantas soluções de segurança cibernética consolidadas em uma única fonte.

O contrato de US$ 10 bilhões da “War Cloud” foi concedido à Microsoft pelo Pentágono em outubro de 2019, superando a Amazon Web Services em um processo de licitação competitivo. O objetivo do contrato era ajudar o Pentágono a modernizar os seus sistemas tecnológicos e melhorar as suas operações militares, infraestrutura e armazenamento de dados. Este ano, o contrato foi substituído pelo JWCC, que favorece uma rede mais ampla para vários fornecedores de nuvem.

No entanto, isso pode não ser suficiente. O fim do programa JEDI causou uma reação negativa entre os membros do Pentágono, uma vez que a dependência da Microsoft continua a crescer. Mesmo agora, sob o novo contrato, parece haver uma dependência excessiva dos serviços em nuvem da Microsoft para lidar com o trabalho pesado. Economizar dinheiro é bom, mas não quando isso acarreta custos em termos de segurança e criação de um monopólio.

O contrato JEDI foi apenas uma das muitas formas pelas quais o governo depende da Microsoft para gerir a cibersegurança militar dos EUA, algo que poderá ter desvantagens nos próximos anos, à medida que os preços dos serviços continuam a subir. A dependência excessiva de uma única entidade para soluções de segurança vitais não só exclui a concorrência de soluções que poderiam ser superiores, como também leva a potenciais riscos de armazenamento de dados.

O contrato de nuvem do Departamento de Defesa também levantou receios quanto a potenciais riscos de segurança, receios que se refletem noutros aspetos da utilização contínua do serviço. Os dados do Pentágono seriam transferidos para uma nuvem comercial, o que poderia colocar informações confidenciais em risco de violações de dados, ciberataques ou acesso não autorizado. O envolvimento anterior da Microsoft em contratos governamentais e a sua relação com funcionários do governo também suscitaram preocupações quanto a violações antitrust.

O Departamento de Defesa iniciou uma investigação em abril de 2019 sobre o contrato JEDI para analisar possíveis questões antitruste. Uma análise contínua das implicações de segurança do contrato também está em andamento. A concorrência justa e aberta, especialmente no espaço de soluções de cibersegurança, deve basear-se no mérito e na utilização, e não apenas na conveniência. Atualmente, as preocupações em torno do JWCC decorrem do facto de a maior parte dos ativos de nuvem e sistemas operacionais estarem sob a alçada da Microsoft.

As preocupações em torno do contrato JEDI levaram o Congresso a agir. Em novembro de 2019, o Congresso solicitou uma revisão dos potenciais riscos de segurança associados ao contrato e exigiu maior transparência no processo de aquisição. A Microsoft e o Departamento de Defesa decidiram abordar essas preocupações, enfatizando os protocolos de segurança e promovendo a concorrência na indústria de tecnologia. A Microsoft também emitiu uma declaração enfatizando o seu compromisso em apoiar a segurança nacional. No entanto, mesmo com o término do JEDI e a sua substituição pelo JWCC, ainda há preocupações com o poder que a Microsoft detém dentro do governo.

Desde 2017, o Departamento de Defesa dos Estados Unidos usa exclusivamente o sistema operacional Microsoft Windows em todos os seus mais de quatro milhões de computadores e utiliza cada vez mais os serviços de computação em nuvem Azure da Microsoft. A maioria dos militares na ativa e na reserva usa programas da Microsoft, como Outlook ou Office. Agora, o governo também está a usar o Microsoft Defender for Endpoint. Com o aumento dos casos de uso e os concorrentes deixados de lado, parece que a Microsoft está de olho no monopólio total de software no governo.

O contrato JWCC do Pentágono com a Microsoft levantou preocupações significativas sobre potenciais riscos de segurança e violações antitruste. A resposta do Congresso ao JEDI foi exigir maior transparência e responsabilidade no processo de aquisição, enquanto a Microsoft e o Departamento de Defesa envidaram esforços para resolver essas preocupações.

Agora, os riscos aumentaram, pois o contrato atual da JWCC parece atrair mais fornecedores de nuvem à primeira vista, mas por baixo há um oceano de produtos e controlos da Microsoft. Há muitas opções em cima da mesa, mas quando se está habituado a usar o mesmo software, é difícil fazer a transição.

Se o Departamento de Defesa dos EUA reforçar o uso da Microsoft em breve, estará a excluir os concorrentes. É responsabilidade do governo garantir uma concorrência plena e aberta e fazer cumprir a lei nesse sentido. Delegar a autoridade de decisão sobre cibersegurança a terceiros abre muitos problemas sem soluções suficientes, independentemente do grau de controlo. Deixar isso a cargo de terceiros, como a Microsoft, tira o poder do governo e deve ser mal visto, mesmo que facilite a vida deles. Segurança não tem a ver com facilidade de uso, mas com eficácia.