
문제는 기관이 철저한 검토를 수행할 직원과 리소스가 부족한 경우가 많다는 것입니다. 이는 전체 시스템이 클라우드 회사의 주장과 이를 평가하기 위해 비용을 지불한 제3자 회사의 평가에 의존하고 있음을 의미합니다. 비평가들은 현재 비전에 따라 FedRAMP가 계획을 잃었다고 말합니다.
2024년 백악관 메모를 공동 집필한 전직 GSA 직원 Mill은 “FedRAMP의 임무는 클라우드 회사와 데이터를 공유할 때 미국 국민의 뒤를 감시하는 것”이라고 말했습니다. “보안 문제가 있을 때 대중은 FedRAMP가 단지 종이를 밀고 다니는 사람일 뿐이라고 말할 것이라고 기대하지 않습니다.”
한편, 법무부 관계자들은 FedRAMP가 GCC High에서 “알 수 없는 알 수 없는 항목”이 무엇을 의미하는지 알아내고 있습니다. 예를 들어 작년에 그들은 Microsoft가 미국 시민이 아닌 사람이 IT 유지 관리를 지원하는 것을 금지했음에도 불구하고 Microsoft가 민감한 클라우드 시스템 서비스를 중국 기반 엔지니어에게 의존했다는 사실을 발견했습니다.
우리와 대화를 나눈 Justice 직원에 따르면, 공무원들은 FedRAMP나 Microsoft가 아닌 ProPublica의 조사를 통해 GCC High에서도 사용된 이 합의에 대해 알게 되었다고 합니다.
마이크로소프트 대변인은 회사가 법무부에 제출한 GCC 고등학교에 대한 서면 보안 계획에는 외국 엔지니어가 언급되지 않았다는 점을 인정했지만 마이크로소프트는 해당 정보를 2020년 이전에 법무부 관계자에게 전달했다고 말했습니다. 그럼에도 불구하고 마이크로소프트는 이후 정부 시스템에서 중국 기반 엔지니어의 사용을 중단했습니다.
전직 및 현직 정부 관료들은 GCC 고등학교와 그 너머에 어떤 다른 위험이 도사리고 있을지 걱정하고 있습니다.
GSA는 ProPublica에 일반적으로 “클라우드 서비스 제공업체가 실질적으로 허위 진술을 했다는 믿을 만한 증거가 있는 경우 해당 문제는 적절하게 조사 당국에 회부됩니다”라고 말했습니다.
아이러니하게도 클라우드 제공업체나 제3자 평가자가 자신의 주장을 이행하는지 여부를 결정하는 최종 중재자는 법무부입니다. Accenture의 전직 직원이 최근 기소된 것은 Accenture가 이 권한을 기꺼이 사용할 것임을 시사합니다. 법원 문서에서 법무부는 전직 직원이 회사가 “수익성이 좋은 연방 계약을 획득하고 유지”하는 데 도움이 되도록 클라우드 플랫폼의 보안에 대해 “거짓되고 오해의 소지가 있는 진술”을 했다고 주장했습니다. 그녀는 또한 시연 중에 제품의 결함을 숨기고 다른 사람들에게 “시스템의 실제 상태”를 숨기라고 말함으로써 Accenture의 제3자 평가자에게 “영향을 미치고 방해”하려 했다는 혐의도 받고 있다고 부서는 말했습니다. 그녀는 무죄를 주장했습니다.
이러한 소송이 Microsoft 또는 GCC High 인증과 관련된 사람을 상대로 제기되었다는 공개적인 증거는 없습니다. 법무부는 논평을 거부했다. 사이버 보안 사기 사건을 추적하기 위한 부서의 계획을 시작한 법무부 차관 모나코는 논평 요청에 응답하지 않았습니다.
그녀는 2025년 1월에 정부 직위를 떠났습니다. Microsoft는 그녀를 글로벌 담당 사장으로 고용했습니다.
회사 대변인은 모나코의 고용이 “모든 규칙, 규정 및 윤리 기준”을 준수했으며 “연방 정부 계약에 따라 일하지 않으며 연방 정부와의 거래를 감독하거나 관여하지 않는다”고 말했습니다.