Pakar keamanan siber federal menyetujui layanan cloud Microsoft meski ada keraguan

 (propublica.org)
1 poin oleh GN⁺ 2026-03-19 | 1 komentar | Bagikan ke WhatsApp
  • Program FedRAMP milik pemerintah AS menyetujui layanan Government Community Cloud High (GCC High) dari Microsoft meski ada kekhawatiran keamanan
  • Laporan evaluasi internal secara eksplisit menyatakan “tidak yakin dapat menilai kondisi keamanan secara keseluruhan”, dan beberapa peninjau menyebut sistem tersebut sebagai “kacau”
  • Microsoft selama bertahun-tahun gagal melengkapi dokumen keamanan inti seperti arsitektur enkripsi dan diagram aliran data, tetapi persetujuan tetap diberikan karena lembaga pemerintah sudah memakai layanan itu
  • Dalam proses persetujuan, faktor-faktor seperti konflik kepentingan lembaga penilai pihak ketiga, tekanan antara Justice Department dan Microsoft, serta pengurangan personel FedRAMP saling berpengaruh
  • Kasus ini menunjukkan bahwa sistem verifikasi keamanan cloud pemerintah AS telah merosot menjadi prosedur formalitas, dan menimbulkan risiko serius terhadap perlindungan rahasia negara

Persetujuan FedRAMP dan kontroversi Microsoft GCC High

  • FedRAMP adalah program yang memverifikasi keamanan layanan cloud untuk lembaga pemerintah, dan GCC High milik Microsoft adalah layanan yang menangani data pemerintah yang sensitif
    • Menurut laporan internal, Microsoft “kekurangan dokumentasi keamanan yang memadai”, dan para evaluator tidak yakin terhadap tingkat keamanan sistem tersebut
    • Meski demikian, pada akhir 2024 FedRAMP menyetujui GCC High dalam bentuk “persetujuan bersyarat”
  • Keputusan persetujuan diambil karena Justice Department dan industri pertahanan sudah menggunakan layanan tersebut, sehingga penolakan dikhawatirkan akan mengganggu operasi pemerintah
  • Surat persetujuan itu memuat peringatan bahwa “karena ada risiko yang belum diketahui, tiap lembaga harus menggunakannya dengan hati-hati”

Kekurangan dokumentasi keamanan Microsoft dan penundaan berkepanjangan

  • Sejak 2020, FedRAMP meminta Microsoft menyerahkan diagram alur enkripsi data, tetapi perusahaan tidak memberikan materi lengkap dengan alasan “kompleksitas”
    • Microsoft hanya menyerahkan beberapa white paper dan tidak dapat menjelaskan dengan jelas kapan data dienkripsi atau didekripsi
  • Penyedia cloud lain (Amazon, Google) memberikan materi serupa, tetapi Microsoft berulang kali memberi tanggapan yang tidak lengkap selama berbulan-bulan
  • Peninjau FedRAMP mengibaratkan sistem Microsoft sebagai struktur yang kusut seperti “spaghetti pile”, dan menilai ketidakjelasan aliran data meningkatkan risiko keamanan

Lembaga penilai pihak ketiga dan masalah konflik kepentingan

  • Coalfire dan Kratos yang dipekerjakan Microsoft secara informal memberi tahu FedRAMP bahwa mereka “tidak menerima informasi yang cukup dari Microsoft”
    • Karena kedua lembaga ini dibayar langsung oleh Microsoft, muncul kekhawatiran soal rusaknya independensi
  • FedRAMP memberi tahu Kratos mengenai “rencana tindakan korektif”, tetapi perusahaan itu menyatakan evaluasinya sah
  • Microsoft menyatakan bahwa mereka “menanggapi semua permintaan dengan sungguh-sungguh” dan membantah adanya laporan informal (backchannel)

Tekanan dari lembaga pemerintah dan distorsi proses persetujuan

  • Pada 2023, FedRAMP menghentikan peninjauan karena respons Microsoft yang tidak memadai, tetapi proses itu dimulai lagi lewat lobi antara Justice Department dan Microsoft
    • Seorang pihak Microsoft meminta Justice Department menekan persetujuan FedRAMP dengan alasan “akses pasar tertunda”
    • Dalam rapat, CIO Justice Melinda Rogers berpihak pada Microsoft dan mengkritik cara FedRAMP melakukan peninjauan
  • Setelah itu White House mengeluarkan panduan bahwa FedRAMP harus “melakukan peninjauan yang ketat”, tetapi GCC High sudah lebih dulu menyebar ke banyak lembaga

Pengurangan personel dan keterbatasan sistemik

  • Karena pemotongan anggaran, FedRAMP menyusut menjadi sekitar 20 pegawai dan anggaran tahunan US$10 juta, sehingga pada praktiknya merosot menjadi lembaga persetujuan formalitas bagi industri
  • GSA menyatakan bahwa “peran program ini bukan menilai tingkat keamanan, melainkan menyediakan informasi”, sehingga menghindari tanggung jawab verifikasi yang nyata
  • Para pakar mengkritik bahwa FedRAMP telah “kehilangan perannya sebagai pengawas yang harus melindungi data publik”

Dampak lanjutan dan kontroversi etika

  • Setelah laporan ProPublica, Microsoft mengumumkan penghentian keterlibatan insinyur berbasis di China dalam pekerjaan terkait pertahanan
  • Justice Department sedang menindak pelaporan keamanan cloud palsu melalui dakwaan penipuan FedRAMP terhadap mantan pegawai Accenture
  • Pada 2025, mantan wakil jaksa agung Lisa Monaco, yang memimpin kebijakan keamanan siber terkait FedRAMP, direkrut sebagai presiden global affairs Microsoft, sehingga memicu kontroversi etika
  • Microsoft menjelaskan bahwa semua perekrutan “mematuhi hukum dan standar etika”

Kesimpulan: risiko sertifikasi keamanan yang menjadi formalitas

  • Melalui kasus ini, ProPublica menyoroti bahwa sertifikasi FedRAMP bukan jaminan keamanan yang nyata
  • Microsoft GCC High masih menanggung “unknown unknowns”, dan lembaga pemerintah harus menanggung sendiri risiko tersebut
  • Para pakar menilai sistem keamanan cloud pemerintah AS telah merosot menjadi “Security Theater”, bukan keamanan yang sesungguhnya

Bacaan terkait

1 komentar

 
GN⁺ 2026-03-19
Komentar Hacker News

  • GCC High menyebar ke seluruh pemerintahan dan industri pertahanan karena lembaga federal bisa menerapkan produk itu bahkan saat masih dalam peninjauan
    Pada akhirnya, para peninjau FedRAMP tidak punya pilihan selain menyetujuinya karena sudah telanjur dipakai di seluruh Washington meskipun peninjauan penuh belum selesai
    Artinya, standarnya bergeser dari “apakah alat ini aman?” menjadi “apakah ini cukup berisiko atau layak ditolak secara politis?”

    • FedRAMP pantas dikritik. Prosesnya terlalu lambat dan mengabaikan masukan industri
      Akibatnya, hampir semua startup yang ingin menjual produk ke pemerintah harus membayar pajak Palantir. Nilainya sekitar 200–500 ribu dolar per tahun, dan untuk mendapatkan sertifikasi FedRAMP secara langsung dibutuhkan setidaknya 2–3 juta dolar serta waktu 2–3 tahun
      Pada akhirnya sebagian besar perusahaan terpaksa bergantung pada Palantir (atau 2F). Ini adalah struktur monopoli yang dipaksakan oleh regulasi pemerintah
    • Karena itulah vendor besar ingin masuk lebih dulu berapa pun biayanya
      Setelah sudah tertanam, mustahil pindah, dan itu menjadi sumber uang yang nyaris tak terbatas
    • Jika benar-benar ingin menjamin keamanan, yang penting adalah penyederhanaan, bukan konfigurasi yang rumit
      Yang paling aman adalah beberapa server di ruang bawah tanah yang terkunci, hanya menjalankan perangkat lunak yang sudah teruji

  • Saya baru-baru ini memakai Entra ID, dan hanya untuk MFA saja ada 12 pengaturan, 20 cara menonaktifkan pengguna, 4 metode autentikasi, serta kebijakan akses bersyarat dengan 50 variabel dan template
    Kustomisasinya memang bebas, tetapi setelah dikonfigurasi rekan kerja saya bahkan tidak bisa login. Rupanya itu dianggap cara memperkuat keamanan

    • Alur login SSO Microsoft adalah salah satu yang paling penuh bug yang pernah saya lihat. Redirect-nya terlalu banyak, dan “remember me” sama sekali tidak pernah berfungsi
    • Microsoft punya banyak fitur, tetapi hampir tidak ada yang benar-benar bekerja dengan baik
    • Ada cara konfigurasi tambahan, tetapi tersembunyi jauh di dalam dokumentasi SharePoint yang bahkan tidak bisa diakses
    • Kami juga mengalami hal yang sama. Ditambah lagi, mereka memaksa mengirim email statistik Entra ID setiap minggu, dan tidak ada cara untuk berhenti berlangganan
    • Masalah Microsoft modern adalah mereka mencoba mengejar tiga hal sekaligus
      • peluncuran cepat ala “Move fast and break things
      • obsesi kompatibilitas mundur ala “We do not break user space
      • tidak pernah memensiunkan produk selama puluhan tahun
        Kombinasi ini membuat produk Microsoft menjadi labirin API yang saling tumpang tindih dan fitur yang belum selesai

  • Microsoft memang lemah dalam keamanan, dan itulah sebabnya sentralisasi cloud menjadi lebih berbahaya
    Misalnya, dalam insiden Storm-0558, satu kunci penandatanganan yang dicuri memungkinkan pemalsuan token autentikasi untuk semua akun Azure AD
    Jika akses tingkat ini disalahgunakan pada skala negara, dampaknya bisa menjadi bencana ekonomi

    • Sebenarnya bahkan pernah ada celah yang tidak memerlukan pencurian kunci penandatanganan sama sekali. Lihat artikel terkait
    • Tetapi insiden seperti ini bisa terjadi di perusahaan mana pun. Pada akhirnya ini masalah kesalahan manusia

  • Para ahli itu benar. Azure adalah platform paling berantakan yang pernah saya gunakan
    Produk baru dipaksa mewarisi komponen Azure lama, sehingga tidak konsisten, dan komunikasi antartim begitu buruk sampai hampir tidak ada integrasi sama sekali
    Dari format log hingga konsep keamanan, semuanya berbeda-beda, sampai saya ragu Microsoft benar-benar tahu apa itu SIEM

    • Saya bekerja di Microsoft lebih dari 10 tahun, dan dari dalam pun terasa sama
      Misalnya, sistem internal Cosmos adalah mesin pemrosesan data yang luar biasa, tetapi dirilis ke luar terlalu lambat dan dukungannya berantakan
      Synapse gagal, Fabric adalah versi baru, tetapi di internal pun hampir tidak dipakai
      Lingkungan akun dan keamanannya begitu rumit sehingga pekerjaan itu sendiri terasa menyiksa
      Azure menghasilkan uang hanya karena skala Microsoft. Secara nyata, ia sedang “bertumbuh sambil gagal
      Tautan paper tentang Cosmos
    • Struktur produk yang berevolusi seperti ini sudah menjadi standar Microsoft sejak 2018
      Karena peluncuran cepat dan perbaikan berbasis umpan balik pengguna, pada awalnya terasa eksperimental, tetapi setelah beberapa tahun biasanya jadi lumayan bisa dipakai
    • Pengabaian terhadap pengguna terlalu jelas. Sebagai hasil dari era antimonopoli, sekarang mereka bahkan tidak merasa perlu bersaing
    • Azure seperti memukul pelanggan dengan dompet pelanggan sendiri. Bukan memberi akses, tetapi merampas kepemilikan lalu menagih biaya
    • Fenomena seperti ini juga terlihat pada perusahaan “mengejar pemimpin pasar” seperti GitLab. Yang penting bukan kualitas fitur, melainkan jumlah fitur di spreadsheet

  • CIO Departemen Kehakiman menekan agar persetujuan FedRAMP diberikan, lalu tahun berikutnya bergabung dengan Microsoft. Rasanya ini sudah cukup untuk membatalkan persetujuan itu sendiri

  • Dalam artikel itu, ungkapan “pile of shit” tampaknya merujuk bukan pada layanannya sendiri, melainkan pada paket dokumentasi keamanan
    Konteksnya adalah Microsoft tidak memberikan informasi yang jelas sehingga evaluasinya sendiri menjadi sulit

    • Menurut laporan internal, para evaluator tidak bisa mempercayai status keamanan sistem karena buruknya dokumentasi keamanan Microsoft
      ProPublica yang memperluasnya menjadi masalah seluruh cloud terasa agak clickbait
    • Pada akhirnya, tanpa dokumentasi, evaluasi tidak mungkin dilakukan, tetapi tetap saja disetujui… seolah-olah bilang, “Berikutnya!” lalu lanjut
    • Microsoft hampir memecat semua penulis dokumentasi teknisnya, jadi sekarang yang tersisa hanya dokumentasi API hasil generate otomatis
      Contohnya 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      Dengan model seperti ini, mustahil memahami arti pengaturan terkait keamanan atau cakupan dampaknya

  • Persyaratannya tampak dirancang agar hanya cloud Microsoft yang bisa memenuhinya
    Itulah sebabnya Pentagon memakai Windows

  • Terlalu banyak konflik kepentingan terkait Microsoft. Orang-orang yang terlibat dalam proses persetujuan kemudian masuk bekerja di Microsoft

    • Sekitar akhir 90-an Microsoft tampaknya sudah sepenuhnya menguasai aturan permainan ini. Waktunya bertepatan dengan era kasus antimonopoli
    • Tentu tidak selalu ada niat jahat. Ada juga kontraktor pemerintah yang pindah ke vendor karena sudah sangat memahami produknya
      Pada akhirnya mereka merasa sedang menjalankan misi yang sama di tim yang berbeda. Sebagai teknisi, ada yang percaya lebih baik menyelesaikan masalah langsung di lapangan

  • FedRAMP sulit dipatuhi, dan juga tidak benar-benar menjamin tingkat keamanan yang nyata. Sistem ini membuat frustrasi dari dua sisi sekaligus

    • Kalau belum pernah bekerja di lingkungan compliance, Anda tidak akan tahu penderitaan seperti ini

  • Kalimat “para peninjau GCC High menemukan masalah baik pada bagian yang bisa dievaluasi maupun yang tidak, tetapi pada akhirnya FedRAMP dan Microsoft mencapai kesepakatan, dan persetujuan diberikan sehari setelah Natal 2024” membuat saya bertanya-tanya,
    sebenarnya sumbangan sebesar apa yang berpindah tangan