ผู้เชี่ยวชาญความมั่นคงไซเบอร์ของรัฐบาลกลางอนุมัติบริการคลาวด์ของ Microsoft แม้มีข้อกังขา

 (propublica.org)
1 คะแนน โดย GN⁺ 2026-03-19 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • โปรแกรม FedRAMP ของรัฐบาลสหรัฐอนุมัติบริการ Government Community Cloud High (GCC High) ของ Microsoft แม้จะมีข้อกังวลด้านความปลอดภัย
  • รายงานประเมินภายในระบุอย่างชัดเจนว่า “ไม่มั่นใจพอที่จะประเมินสถานะความปลอดภัยโดยรวมได้” และผู้ตรวจสอบบางรายเรียกระบบนี้ว่า “ยุ่งเหยิงเละเทะ”
  • Microsoft ไม่สามารถจัดทำเอกสารความปลอดภัยสำคัญ เช่น โครงสร้างการเข้ารหัสและแผนภาพการไหลของข้อมูล ให้ครบถ้วนได้เป็นเวลาหลายปี แต่ก็ยังมีการตัดสินใจอนุมัติ เพราะหน่วยงานรัฐได้ใช้งานบริการนี้อยู่แล้ว
  • ในกระบวนการอนุมัติ มีหลายปัจจัยเข้ามาเกี่ยวข้องร่วมกัน เช่น ผลประโยชน์ทับซ้อนของหน่วยประเมินภายนอก, แรงกดดันระหว่างกระทรวงยุติธรรมสหรัฐกับ Microsoft, และ การลดกำลังคนของ FedRAMP
  • เหตุการณ์นี้เผยให้เห็นว่าระบบ ตรวจสอบความปลอดภัยคลาวด์ของรัฐบาลสหรัฐได้ถอยกลายเป็นเพียงพิธีการตามรูปแบบ และก่อความเสี่ยงร้ายแรงต่อการปกป้องข้อมูลลับของชาติ

ข้อถกเถียงเรื่องการอนุมัติของ FedRAMP และ Microsoft GCC High

  • FedRAMP เป็นโครงการสำหรับตรวจสอบความปลอดภัยของบริการคลาวด์ที่หน่วยงานรัฐใช้ ส่วน GCC High ของ Microsoft เป็นบริการที่ใช้จัดการข้อมูลภาครัฐที่มีความอ่อนไหว
    • ตามรายงานภายใน Microsoft “ขาดเอกสารด้านความปลอดภัยที่เหมาะสม” และผู้ประเมินก็ไม่สามารถมั่นใจในระดับความปลอดภัยของระบบได้
    • ถึงกระนั้น ในช่วงปลายปี 2024 FedRAMP ก็ยังอนุมัติ GCC High ในรูปแบบ “การอนุมัติแบบมีเงื่อนไข”
  • การตัดสินใจอนุมัติเกิดขึ้นเพราะ กระทรวงยุติธรรมสหรัฐและอุตสาหกรรมกลาโหม ใช้บริการนี้อยู่แล้ว และหากปฏิเสธอาจกระทบต่อการดำเนินงานของภาครัฐ
  • ในเอกสารอนุมัติมี ข้อความเตือน ว่า “มีความเสี่ยงที่ยังไม่ทราบอยู่ ดังนั้นแต่ละหน่วยงานควรใช้งานด้วยความระมัดระวัง”

เอกสารความปลอดภัยของ Microsoft ที่ไม่ครบถ้วนและความล่าช้ายาวนาน

  • ตั้งแต่ปี 2020 FedRAMP ได้ขอให้ Microsoft ส่ง แผนภาพการไหลของข้อมูลการเข้ารหัส แต่บริษัทอ้างว่า “มีความซับซ้อน” จึงไม่สามารถส่งข้อมูลที่สมบูรณ์ได้
    • Microsoft ส่งเพียง white paper บางส่วน และไม่สามารถอธิบายได้อย่างชัดเจนว่าข้อมูลถูกเข้ารหัสหรือถอดรหัสเมื่อใด
  • ผู้ให้บริการคลาวด์รายอื่นอย่าง Amazon และ Google ส่งเอกสารลักษณะใกล้เคียงกันได้ แต่ Microsoft กลับส่งคำตอบที่ไม่สมบูรณ์ซ้ำไปซ้ำมาเป็นรอบ ๆ หลายเดือน
  • ผู้ตรวจทานของ FedRAMP เปรียบระบบของ Microsoft ว่าเป็นโครงสร้างที่พันกันเหมือน “spaghetti pie” และชี้ว่าความไม่โปร่งใสของการไหลของข้อมูลยิ่งเพิ่มความเสี่ยงด้านความปลอดภัย

หน่วยประเมินภายนอกและปัญหาผลประโยชน์ทับซ้อน

  • Coalfire และ Kratos ซึ่ง Microsoft ว่าจ้าง ได้แจ้ง FedRAMP อย่างไม่เป็นทางการว่า “ไม่ได้รับข้อมูลจาก Microsoft อย่างเพียงพอ”
    • หน่วยงานเหล่านี้รับค่าจ้างจาก Microsoft โดยตรง จึงทำให้เกิดความกังวลเรื่อง การบั่นทอนความเป็นอิสระ
  • FedRAMP ได้แจ้ง แผนปฏิบัติการแก้ไข ไปยัง Kratos แต่บริษัทก็ยืนยันว่าการประเมินของตนนั้นชอบธรรม
  • Microsoft ระบุว่า “ได้ตอบสนองต่อทุกคำขออย่างจริงจัง” และปฏิเสธการมีอยู่ของ รายงานไม่เป็นทางการ (backchannel)

แรงกดดันจากหน่วยงานรัฐและความบิดเบี้ยวของกระบวนการอนุมัติ

  • ในปี 2023 FedRAMP เคยหยุดการตรวจทานเพราะ Microsoft ตอบสนองได้ไม่เพียงพอ แต่ต่อมาก็กลับมาเดินหน้าต่อหลังมี การวิ่งเต้นระหว่างกระทรวงยุติธรรมสหรัฐกับ Microsoft
    • บุคคลจากฝั่ง Microsoft ระบุว่า “การเข้าสู่ตลาดล่าช้า” และขอให้กระทรวงยุติธรรมช่วยกดดัน FedRAMP เพื่อให้อนุมัติ
    • ในการประชุม CIO ของกระทรวงยุติธรรม Melinda Rogers ออกตัวสนับสนุน Microsoft และวิจารณ์วิธีตรวจทานของ FedRAMP
  • หลังจากนั้น White House ได้ออกแนวทางว่า FedRAMP ต้อง “ดำเนินการตรวจทานอย่างเข้มงวด” แต่ในเวลานั้น GCC High ได้ขยายการใช้งานไปยังหลายหน่วยงานแล้ว

การลดกำลังคนและข้อจำกัดเชิงระบบ

  • จากการตัดงบประมาณ FedRAMP ถูกลดขนาดเหลือ เจ้าหน้าที่ราว 20 คน และงบประมาณประจำปี 10 ล้านดอลลาร์ จนแทบกลายเป็นเพียง หน่วยงานอนุมัติตามพิธีการของภาคอุตสาหกรรม
  • GSA ระบุว่า “บทบาทของโครงการไม่ใช่การตัดสินระดับความปลอดภัย แต่เป็นการให้ข้อมูล” ซึ่งเท่ากับหลีกเลี่ยงความรับผิดชอบในการตรวจสอบจริง
  • ผู้เชี่ยวชาญวิจารณ์ว่า FedRAMP “สูญเสียบทบาทผู้เฝ้าระวังที่ควรปกป้องข้อมูลของประชาชนไปแล้ว”

ผลกระทบต่อเนื่องและข้อถกเถียงด้านจริยธรรม

  • หลังรายงานของ ProPublica เผยแพร่ออกมา Microsoft ประกาศ ยุติการให้วิศวกรที่อยู่ในจีนเข้าร่วมงานด้านกลาโหม
  • กระทรวงยุติธรรมสหรัฐกำลังปราบปรามการรายงานความมั่นคงคลาวด์อันเป็นเท็จ ผ่าน การตั้งข้อหาฉ้อโกง FedRAMP แก่อดีตพนักงาน Accenture
  • ในปี 2025 Lisa Monaco อดีตรองอัยการสูงสุดสหรัฐ ซึ่งเคยมีบทบาทนำในนโยบายความมั่นคงไซเบอร์ที่เกี่ยวข้องกับ FedRAMP ได้เข้ารับตำแหน่งประธานฝ่ายกิจการโลกของ Microsoft ทำให้เกิด ข้อถกเถียงด้านจริยธรรม อย่างต่อเนื่อง
  • Microsoft ชี้แจงว่าการจ้างงานทั้งหมด “เป็นไปตามกฎหมายและมาตรฐานจริยธรรม”

บทสรุป: ความเสี่ยงของการรับรองความปลอดภัยที่กลายเป็นเพียงพิธีการ

  • ProPublica ชี้ผ่านกรณีนี้ว่า การรับรองของ FedRAMP ไม่ได้หมายถึงการรับประกันความปลอดภัยจริง
  • Microsoft GCC High ยังคงมี “ความเสี่ยงที่ยังไม่รู้ว่าไม่รู้อะไรบ้าง (unknown unknowns)” อยู่ และหน่วยงานรัฐก็ต้องรับความเสี่ยงนั้นกันเอง
  • ผู้เชี่ยวชาญประเมินว่าระบบความปลอดภัยคลาวด์ของรัฐบาลสหรัฐได้เสื่อมลงเป็น “การแสดงความปลอดภัย ไม่ใช่ความปลอดภัยจริง (Security Theater)”

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-03-19
ความคิดเห็นจาก Hacker News

  • GCC High แพร่กระจายไปทั่วทั้งหน่วยงานรัฐบาลและอุตสาหกรรมกลาโหม เพราะสามารถนำผลิตภัณฑ์ไปใช้งานได้ตั้งแต่ยังอยู่ระหว่างการตรวจทาน
    ท้ายที่สุด ผู้ตรวจทาน FedRAMP ก็แทบไม่มีทางเลือกนอกจากอนุมัติ เพราะมันถูกใช้งานอยู่ทั่ววอชิงตันแล้ว ทั้งที่การตรวจทานแบบครบถ้วนยังไม่เสร็จ
    เท่ากับว่าเกณฑ์เปลี่ยนจาก “เครื่องมือนี้ปลอดภัยไหม?” ไปเป็น “มันเสี่ยงหรือรับแรงกดดันทางการเมืองได้มากพอที่จะปฏิเสธหรือไม่?”

    • FedRAMP สมควรถูกวิจารณ์ มันช้าเกินไปและเมินฟีดแบ็กจากอุตสาหกรรม
      ผลคือสตาร์ตอัปแทบทุกเจ้าที่อยากขายผลิตภัณฑ์ให้รัฐบาลต้องจ่าย ภาษี Palantir
      ตัวเลขอยู่ที่ราว 200,000–500,000 ดอลลาร์ต่อปี และถ้าจะทำ FedRAMP certification เองต้องใช้เงินอย่างน้อย 2–3 ล้านดอลลาร์กับเวลา 2–3 ปี
      สุดท้ายบริษัทส่วนใหญ่จึงต้องพึ่งพา Palantir (หรือ 2F) อยู่ดี นี่คือโครงสร้างผูกขาดที่กฎระเบียบภาครัฐสร้างขึ้น
    • ด้วยเหตุนี้ผู้ขายรายใหญ่จึงพยายามเข้าไปปักหลักก่อน ไม่ว่าจะต้องแลกด้วยอะไรก็ตาม
      พอเข้าไปยืนได้แล้วก็ แทบย้ายออกไม่ได้ และกลายเป็นแหล่งรายได้ที่แทบไม่มีวันสิ้นสุด
    • ถ้าจะทำให้ความปลอดภัยมั่นคงจริง ความเรียบง่ายสำคัญกว่าการตั้งค่าที่ซับซ้อน
      สิ่งที่ปลอดภัยที่สุดคือมีเซิร์ฟเวอร์ไม่กี่เครื่องอยู่ในห้องใต้ดินที่ล็อกไว้ และรันเฉพาะซอฟต์แวร์ที่ผ่านการพิสูจน์แล้วเท่านั้น

  • เพิ่งลองใช้ Entra ID มา แล้วแค่การตั้งค่า MFA ก็มี 12 แบบ วิธีปิดการใช้งานผู้ใช้ 20 แบบ วิธีทำ authentication 4 แบบ และนโยบาย conditional access ก็มีตัวแปรกับเทมเพลตกว่า 50 รายการ
    ปรับแต่งได้อิสระก็จริง แต่พอตั้งค่าแล้วเพื่อนร่วมงานกลับล็อกอินไม่ได้เลย ซึ่งก็นับเป็นการเพิ่มความปลอดภัยในแบบของมัน

    • SSO login flow ของ Microsoft เป็นระบบที่บั๊กเยอะที่สุดเท่าที่เคยเจอ รีไดเร็กต์เยอะเกินไป และ “remember me” ก็ไม่เคยทำงานจริง
    • Microsoft มีฟีเจอร์เยอะ แต่แทบไม่มีอะไรทำงานได้ดีจริง
    • มีวิธีตั้งค่าเพิ่มเติมอยู่ แต่ซ่อนไว้ลึกมากใน เอกสาร SharePoint ที่เข้าไม่ถึง
    • เราก็เจอแบบเดียวกัน แถมยังถูกบังคับให้รับอีเมลสถิติ Entra ID ทุกสัปดาห์ และยกเลิกรับก็ไม่ได้
    • ปัญหาของ Microsoft ยุคใหม่คือพยายามเอาสามอย่างมาพร้อมกัน
      • ออกของไวแบบ “Move fast and break things
      • ยึดติดกับ backward compatibility แบบ “We do not break user space
      • และ ไม่ยอมเลิกผลิตภัณฑ์ มานานหลายสิบปี
        การผสมกันแบบนี้ทำให้ผลิตภัณฑ์ของ Microsoft กลายเป็น เขาวงกต ของ API ที่ซ้อนทับกันและฟีเจอร์ที่ยังทำไม่เสร็จ

  • Microsoft อ่อนแอด้านความปลอดภัยอยู่แล้ว และนั่นทำให้ การรวมศูนย์บนคลาวด์ อันตรายยิ่งขึ้น
    ตัวอย่างเช่น เหตุการณ์ Storm-0558 ที่แค่กุญแจสำหรับเซ็นชื่อที่ถูกขโมยเพียงอันเดียว ก็สามารถปลอม authentication token ของทุกบัญชี Azure AD ได้
    ถ้าการเข้าถึงระดับนี้ถูกนำไปใช้ในระดับรัฐชาติ มันก็คือหายนะทางเศรษฐกิจ

    • จริง ๆ แล้วเคยมีช่องโหว่ที่ไม่จำเป็นต้องขโมย signing key ด้วยซ้ำ ดู บทความที่เกี่ยวข้อง
    • แต่อุบัติเหตุแบบนี้เกิดขึ้นได้กับทุกบริษัท สุดท้ายแล้วมันคือปัญหาเรื่อง ความผิดพลาดของมนุษย์

  • ผู้เชี่ยวชาญพูดถูก Azure คือแพลตฟอร์มที่เละที่สุดเท่าที่ผมเคยใช้
    ผลิตภัณฑ์ใหม่ถูกบังคับให้สืบทอดองค์ประกอบ Azure เดิมแบบฝืน ๆ ทำให้ไม่มีความสม่ำเสมอ และทีมต่าง ๆ ก็สื่อสารกันไม่ดีจนแทบไม่มีการบูรณาการอะไรเลย
    ตั้งแต่ฟอร์แมตล็อกไปจนถึงแนวคิดด้านความปลอดภัย ทุกอย่างกระจัดกระจายจนสงสัยว่า Microsoft รู้ด้วยซ้ำไหมว่า SIEM คืออะไร

    • ผมทำงานที่ Microsoft มานานกว่า 10 ปี และรู้สึกถึงปัญหาเดียวกันจากข้างใน
      เช่นระบบภายใน Cosmos เป็นเอนจินประมวลผลข้อมูลที่ยอดเยี่ยม แต่เปิดให้ภายนอกใช้ช้ามากและการซัพพอร์ตก็แย่
      Synapse ล้มเหลวไปแล้ว Fabric คือเวอร์ชันใหม่ แต่แม้แต่ภายในก็แทบไม่มีใครใช้
      ระบบบัญชีและสภาพแวดล้อมด้านความปลอดภัยซับซ้อนจน การทำงานเองก็ทรมาน
      Azure หาเงินได้เพราะขนาดของ Microsoft ล้วน ๆ ในทางปฏิบัติมันคือ “เติบโตไปพร้อมกับความล้มเหลว
      ลิงก์งานวิจัยเกี่ยวกับ Cosmos
    • โครงสร้างผลิตภัณฑ์แบบวิวัฒนาการเช่นนี้กลายเป็น มาตรฐานของ Microsoft ตั้งแต่ปี 2018 เป็นต้นมา
      เพราะปล่อยของไวแล้วค่อยปรับปรุงตามฟีดแบ็กผู้ใช้ ช่วงแรกจึงให้ความรู้สึกเหมือนงานทดลอง แต่ผ่านไปไม่กี่ปีก็พอใช้งานได้
    • การ ไม่แยแสต่อผู้ใช้ ชัดเจนเกินไป ผลพวงจากยุคคดีผูกขาดคือ ตอนนี้พวกเขาแทบไม่รู้สึกว่าต้องแข่งขันแล้ว
    • Azure เป็นสีไม้ที่เอาไว้ตีลูกค้าด้วยกระเป๋าเงินของลูกค้าเอง มันไม่ได้มอบสิทธิ์เข้าถึงให้ แต่ ยึดความเป็นเจ้าของไปแล้วเรียกเก็บเงิน
    • ปรากฏการณ์แบบนี้เห็นได้ในบริษัทแนว ‘ไล่ตามผู้นำตลาด’ อย่าง GitLab ด้วย สิ่งสำคัญกว่าความสมบูรณ์ของฟีเจอร์คือจำนวนฟีเจอร์ที่โชว์ได้ในสเปรดชีต

  • CIO ของกระทรวงยุติธรรมสหรัฐ กดดันให้มีการอนุมัติ FedRAMP แล้วปีถัดมาก็ย้ายไปทำงานกับ Microsoft เรื่องนี้ดูเหมือนเป็นเหตุให้ต้องทำให้การอนุมัตินั้นเป็นโมฆะ

  • คำว่า “pile of shit” ในบทความดูเหมือนจะไม่ได้หมายถึงตัวบริการจริง ๆ แต่หมายถึง ชุดเอกสารด้านความปลอดภัย
    บริบทคือ Microsoft ให้ข้อมูลที่ชัดเจนไม่พอ จนทำให้การประเมินแทบเป็นไปไม่ได้

    • ตามรายงานภายใน ผู้ประเมินไม่สามารถเชื่อถือสถานะความปลอดภัยของระบบได้ เพราะ เอกสารด้านความปลอดภัยของ Microsoft หละหลวม
      การที่ ProPublica ขยายประเด็นนี้ไปเป็นปัญหาของคลาวด์ทั้งหมดจึงดู คลิกเบต ไปหน่อย
    • สุดท้ายคือไม่มีเอกสารจึงประเมินไม่ได้ แต่ก็ยังอนุมัติอยู่ดี… เหมือนพูดว่า “รายต่อไป!” แล้วข้ามไป
    • Microsoft แทบจะปลดคนทำ technical documentation ออกหมดแล้ว ทุกวันนี้เลยเหลือแต่ เอกสาร API ที่สร้างอัตโนมัติ
      ตัวอย่างเช่น 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      เขียนแบบนี้จนไม่รู้ว่าค่าตั้งค่าด้านความปลอดภัยนั้นหมายถึงอะไร หรือมีผลกระทบครอบคลุมแค่ไหน

  • ข้อกำหนดดูเหมือนถูกออกแบบมาให้มีแค่ Microsoft cloud เท่านั้นที่ตอบโจทย์ได้
    ถึงได้มี Windows ในเพนตากอน

  • มี ผลประโยชน์ทับซ้อน เกี่ยวกับ Microsoft มากเกินไป บุคคลที่เกี่ยวข้องกับกระบวนการอนุมัติภายหลังกลับเข้าทำงานกับ Microsoft

    • ราวปลายยุค 90 Microsoft เรียนรู้กติกาของเกมนี้อย่างสมบูรณ์แล้ว ซึ่งก็ตรงกับช่วงคดีผูกขาด
    • แน่นอนว่ามันไม่ได้มีเจตนาร้ายเสมอไป บางครั้งผู้รับเหมาภาครัฐรู้จักผลิตภัณฑ์ดีอยู่แล้วจึงย้ายไปอยู่ฝั่งผู้ขาย
      สุดท้ายก็เป็นการ ทำภารกิจเดียวกันในอีกทีมหนึ่ง และบางคนก็เชื่อว่าในฐานะวิศวกร การไปแก้ปัญหาจากหน้างานจริงย่อมดีกว่า

  • FedRAMP ทั้งทำตามยาก และก็ไม่ได้รับประกันระดับความปลอดภัยจริง ๆ ด้วย เป็นระบบที่น่าอึดอัดสองชั้น

    • ถ้าไม่เคยทำงานในสภาพแวดล้อมด้าน compliance มาก่อน จะไม่เข้าใจความทรมานนี้

  • พออ่านประโยคที่ว่า “ผู้ตรวจทาน GCC High พบปัญหาทั้งในส่วนที่ประเมินได้และประเมินไม่ได้ แต่สุดท้าย FedRAMP กับ Microsoft ก็ตกลงกันได้ และอนุมัติในวันถัดจากคริสต์มาสปี 2024” แล้ว
    ก็อดสงสัยไม่ได้ว่า มีเงินบริจาคจำนวนเท่าไร ที่ถูกส่งต่อกัน