FedRAMP har i flere år hatt alvorlige innvendinger mot sikkerhetsdokumentasjonen for Microsofts Government Community Cloud High (GCC High), men løsningen ble likevel autorisert for bruk i amerikansk offentlig sektor. Det er hovedfunnene i en ny gjennomgang publisert av ProPublica og omtalt av Ars Technica.
GCC High er en skyplattform som brukes for følsomme data i amerikanske etater og forsvarsnære miljøer. I praksis betyr en FedRAMP-godkjenning at løsningen får et slags kvalitetsstempel for sikkerhet og etterlevelse, og at flere etater kan ta den i bruk uten å gjøre en full, separat vurdering fra bunnen av.
Ifølge gjennomgangen skal interne vurderinger over tid ha pekt…
Ifølge gjennomgangen skal interne vurderinger over tid ha pekt på mangelfull og ufullstendig dokumentasjon av hvordan data sikres i plattformen, blant annet rundt kryptering og dataflyt. Samtidig ble produktet gradvis tatt i bruk i stor skala. Da autoriseringen kom, skal vurderingen ha vært preget av at løsningen allerede var bredt distribuert i forvaltningen.
Saken peker dermed på en kjent systemrisiko i offentlig skybruk: Når en leverandør blir de facto-standard før kontrollregimet er ferdig, blir terskelen høy for å stoppe eller reversere utrulling. Resultatet kan bli at prosessen formelt leverer en godkjenning, selv om sentrale faglige spørsmål fortsatt er omstridte.
For teknologiledere er dette relevant av to grunner. For det første viser saken hvor mye tillit som flyttes fra enkeltetater til sentrale autoriseringsordninger. For det andre illustrerer den at «compliance» ikke nødvendigvis er det samme som dokumentert, teknisk robust sikkerhet i alle lag av en kompleks skyplattform.
Konsekvensen er at både offentlige og private virksomheter bør…
Konsekvensen er at både offentlige og private virksomheter bør stille strengere krav til kontinuerlig dokumentasjon, sporbarhet i sikkerhetskontroller og jevnlig revurdering av godkjenninger etter hvert som trusselbildet endrer seg. I et marked der skybruk, AI-tjenester og sensitiv databehandling smelter sammen, blir kvaliteten i selve kontrollprosessen en strategisk risiko – ikke bare et revisjonspunkt.