Especialistas em cibersegurança federais chamaram a nuvem da Microsoft de 'pilha de lixo', mas a aprovaram assim mesmo
Aprofundamento CEVIU
Aprofundamento
O FedRAMP autorizou o GCC High da Microsoft em 26 de dezembro de 2024, mesmo após avaliadores terceirizados, Coalfire e Kratos, relatarem, em conversas privadas com o programa, que era 'difícil a impossível' obter documentação essencial: diagramas de fluxo de dados, registros de varredura de vulnerabilidades no Exchange Online e Teams, e evidências concretas de criptografia em repouso e em trânsito. Especialistas federais chegaram a classificar internamente a postura de segurança do ambiente como uma 'pilha de lixo', sem confiança na avaliação geral do sistema. A aprovação não foi técnica, mas política: o DOJ e o DOE já operavam nele há anos, e empreiteiros como a Boeing usavam o GCC High em sistemas de armas antes mesmo da autorização final, tornando a rejeição inviável.
A situação se agravou com o corte orçamentário do DOGE: US$ 10 milhões anuais, o menor em dez anos, e uma equipe de cerca de 24 pessoas. Isso transformou o FedRAMP num mecanismo de validação acelerada, não de avaliação crítica. Enquanto isso, agências são pressionadas a adotar ferramentas de IA baseadas em nuvem, como versões limitadas do Copilot no GCC High, que processam dados sensíveis sem revisão independente robusta, pois os novos modelos não passam por autorização separada sob o regime atual.
Por que isso importa
Essa autorização com defeitos estruturais não é um caso isolado: ela expõe uma falha sistêmica na governança de segurança em nuvem do governo norte-americano. Quando o principal programa federal de avaliação de nuvem prioriza a continuidade operacional sobre a integridade técnica, e reduz sua capacidade de fiscalização para menos de um quarto do que tinha em 2020 , , qualquer nova camada tecnológica (como IA generativa) entra em produção sem barreiras reais. O risco não está só no GCC High, mas na normalização de 'conformidade por dependência': aprovar porque já está em uso, não porque é seguro. E isso afeta diretamente a proteção de infraestruturas críticas, desde redes elétricas até sistemas de defesa.
Perguntas frequentes
Por que o FedRAMP aprovou o GCC High mesmo chamando-o de 'pilha de lixo'?
A aprovação foi motivada pela dependência operacional prévia: departamentos como Justiça e Energia já usavam o ambiente para dados de impacto 'severo ou catastrófico'. Rejeitar significaria interromper operações críticas. O FedRAMP reconheceu publicamente que a decisão foi pragmática, não técnica.
O que mudou no GCC High depois da autorização em dezembro de 2024?
Nada mudou na postura técnica de segurança, apenas na formalização burocrática. A Microsoft continuou entregando atualizações limitadas ao GCC High, com recursos de IA como o Copilot restritos em funcionalidade e atrasados em comparação com a nuvem comercial. Nenhuma correção dos problemas identificados em 2024 (ex.: falhas na varredura de vulnerabilidades no Exchange e Teams) foi confirmada como resolvida publicamente.
Como o corte orçamentário afeta a segurança real das nuvens federais?
Com US$ 10 milhões e ~24 funcionários, o FedRAMP não consegue replicar avaliações profundas como as de 2020, 2024. Hoje, a maioria das autorizações é feita via 'aceleração' ou 'herança' de controles já aprovados. Isso significa que novos serviços de IA ou APIs integradas ao GCC High entram em produção sem análise independente de superfície de ataque ou vetores de exfiltração de dados.
O que é o 'FedRAMP 20x' lançado em março de 2025?
É uma reforma proposta pela Microsoft e adotada pelo FedRAMP para substituir o modelo Rev 5 tradicional até 2027. Prevê automação de testes de conformidade, foco em indicadores-chave de segurança (KPIs) em tempo real e redução de custos. Mas ainda não foi implementado em escala, e não resolve o problema central: a falta de poder de exigência técnica diante de provedores dominantes.
Fontes
- arstechnica.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 20 de março de 2026
- Editoria
- CEVIU Segurança da Informação
