Especialistas em cibersegurança federais chamaram a nuvem da Microsoft de 'pilha de lixo', mas a aprovaram assim mesmo

O FedRAMP dedicou quase cinco anos, 480 horas de revisão e 18 sessões técnicas aprofundadas na tentativa de obter diagramas básicos de fluxo de dados da Microsoft para sua oferta Government Community Cloud High (GCC High). Esta nuvem é utilizada pelos departamentos de Justiça e Energia para proteger informações cuja exposição "poderia ter um efeito adverso severo ou catastrófico" nas operações governamentais. Avaliadores terceirizados da Microsoft, Coalfire e Kratos, informaram privadamente ao FedRAMP que era "difícil a impossível" obter documentação suficiente. Uma equipe de revisão de 2024 identificou problemas fundamentais na correção e varredura de vulnerabilidades apenas no Exchange Online e Teams. Apesar disso, o FedRAMP autorizou o GCC High em 26 de dezembro de 2024, unicamente porque a implantação generalizada nos setores federal e de defesa tornava a rejeição impraticável. Desde então, o DOGE reduziu drasticamente o orçamento anual do FedRAMP para US$ 10 milhões, com uma equipe mínima, transformando efetivamente o programa em um mero carimbo de aprovação. Paralelamente, as agências estão sendo incentivadas a adotar ferramentas de IA baseadas em nuvem que lidam com vastas quantidades de dados governamentais sensíveis.