Microsoft stopt met inzet Chinese werknemers voor ondersteuning leger VS

Microsoft stopt met het inzetten van Chinees personeel voor de technische ondersteuning van clouddiensten voor het Amerikaanse ministerie van Defensie. Deze praktijk werd eerder door journalisten ontdekt en zou mogelijk voor cyberbeveiligingsrisico's zorgen.

Tot voor kort zou Microsoft werknemers die zich in China bevinden hebben ingezet om, onder toezicht van een Amerikaanse medewerker, technische ondersteuning te bieden aan het Amerikaanse ministerie van Defensie, zo ontdekte ProPublica. Na kritiek van senator Tom Cotton en erkenning van de minister van Defensie Pete Hegseth, heeft Microsoft zijn beleid aangepast. Volgens een woordvoerder mogen werknemers die zich in China bevinden geen technische ondersteuning meer bieden aan het ministerie van Defensie 'voor clouddiensten en gerelateerde services'.

De betreffende werknemers werden volgens het medium door 'digitale escorts' begeleid. Dit waren Amerikaanse werknemers die toezicht hielden op de handelingen van het Chinese personeel. Zij werden naar verluidt via externe bedrijven ingehuurd en hadden volgens de onderzoeksjournalisten niet altijd genoeg technische expertise om effectief te kunnen controleren op eventuele cyberdreigingen. Overigens ontkennen bronnen bij het ministerie van Defensie zelfs volledig dat er dergelijke begeleiders gebruikt werden: "Letterlijk niemand lijkt iets te weten over dit systeem."

Door Yannick Spinner

Redacteur

20-07-2025 • 12:33

120

Reacties (120)

120
105
43
0
0
39
Wijzig sortering
Het klinkt bijna als een grap dat chinezen ondersteuning geven aan het amerikaanse leger. Je zou denken dat zo'n bureaucratische instelling met ontelbaar veel regeltjes toch ergens zou vermelden dat data en kennis van gevoelige systemen binnen de landsgrenzen moet blijven.
Er bestaan "regeltjes" en er bestaat werkelijkheid. In Nederland (en andere EU landen) bestaan er regeltjes m.b.t. data ( bijvoorbeeld: Regel: Bepaalde Kadaster- en defensiedata mag niet in de cloud of ingezien worden door niet-EU landen. Realiteit: Kadaster- en defensiedata wordt bewaard op storageoplossingen die weliswaar in een datacenter van een outsourcing-partij/bedrijf zoals Capgemini, Atos, Sogeti o.i.d. waarvan de hoofdkantoren in de EU zitten, maar de daadwerkelijke beheerders van dat soort bedrijven in bijvoorbeeld India zitten. Die letterlijk overal bij kunnen. Wat is nou een grap?

[Reactie gewijzigd door Obfzk8R op 20 juli 2025 15:01]

Ik weet niet of je spreekt uit ervaring, maar ik denk dat als dat de realiteit is, er bij jullie defensie toch een paar hoge piefen eens een goed gesprek zullen voeren intern en mogelijks ook met externe partners.
De meeste “hoge piefen” willen hier gewoon niet over nadenken omdat het allemaal te moeilijk is en de salesmanager van Microsoft/Amazon/vul maar in, hebben hun verzekert dat er niemand anders bij de data kan 🙄
ik kan niet voor een ander spreken, want ik ken de organisatie niet, maar zelfs bij mijn eigen werkgever die toch niet de kleinste is, maar zeker niet de grootste loopt er wel wat personeel rond dat kennis van zaken heeft en ook een CIO om op zulk niveau beslissingen te nemen. Je doet alsof het een KMO zonder kennis is die zich maar wat laat aansmeren en ik ga er van uit/hoop echt dat dit gewoon maar persoonlijke veronderstellingen zijn.
Als ze zonder scrupules infiltreren in de communicatie van de bondskanselier , een bondgenoot notabene, waarom denk jij dan, dat jouw organisatie veilig zou zijn 🤷🏻‍♂️ Als je dan ook nog eens de controle over je hardware uit handen geeft (IAAS,PAAS,SAAS,…) is het ALTIJD gameover.

Ik heb het zonet nog even opgezocht:

“No, Azure virtual machines do not encrypt data within the CPU cache memory itself”

En dat is dan nog de moeilijkere weg, als jij al de moeite hebt genomen om een VM te gebruiken waarvan het geheugen genencrypteerd werd, maar hoogstwaarschijnlijk gebruiken ze gewoon een exploit die bewust niet gepatched wordt, net zoals dat is voor android en IOS devices

[Reactie gewijzigd door klakkie.57th op 20 juli 2025 22:29]

ik spreek uiteraard niet over mijn organisatie en met wie we al dan niet contracten hebben, noch over welke security-levels er zijn, maar ik weet dat er alvast speciale en zelfs compleet gescheiden clouds zijn voor het Amerikaanse leger. Stel voor het gemak de vraag aan copilot "is there a special cloud for the us army other than azure?" en je krijgt een heleboel info die met bronvermelding wordt gegeven.
Dit, en er wordt op dat niveau ontzettend slecht geluisterd naar ICT medewerkers. Ze willen geen gezeik want te moeilijk en later kunnen zeggen dat ze het niet wisten. Kop van de ciso op het hakblok en door.
Ga er maar vanuit dat dit vrijwel overal gebeurd. Iets met aanbestedingen en mensen die niet (meer) willen betalen voor zaken als defensie. En dan nog externe "partners" die a beloven en b doen (al dan niet onbewust).
V.w.b. defensie: als de beheerders in India overal bijkunnen dan overtreden die bedrijven de regels in de ABDO. Heb je die informatie uit eerste hand (dat het in India gedaan wordt) of van horen zeggen?
geen defensie maar wel uit 1e hand ervaren en kan bevestigen dat op papier mooi is maar in realiteit ...
Ach, er gebeuren wel dommere dingen: https://www.asiafinancial.com/swiss-firm-sent-parts-for-taiwanese-missiles-to-china-tn

De regeltjes zijn er vast wel, maar zelden kent iedereen alle regeltjes die van toepassing zijn of komen ze op het juiste moment in je op.
Tja. Microsoft opereert als één entiteit in dit geval. Er is 'een persoon' die 'iets doet'. Follow-the-sun. En als die Chinees goedkoper is dan een persoon in west-Australie, dan is die keus toch snel gemaakt?

Vanuit het leger gezien, is het inderdaad een logische, dat je bediend wil worden vanuit eigen land, of minimaal bondgenoten.
Flow the sun is natuurlijk ook niet letterlijk, europa wordt ook gewoon vanuit lage lonen landen bedient, maar dan is het daar laat in de avond, en zuid Amerika neemt dan weer een stukje goedkope arbeid voor zich.
Toen ik lang geleden bij IBM werkte was het VS, Nederland/België/Frankrijk, Australië/Nieuw-Zeeland. Maar allicht was dat de uitzondering, en misschien is het tegenwoordig niet meer zo.
Zo'n 15 jaar geleden werd EMEA vanuit zuid-africa bediend. Omdat dat goedkoper was en in Nederlands kon. India is altijd een outsourcing land geweest voor europa maar zeker voor de VS. Maar dat was in het engels. Het is maar net wat je als bedrijf wilde. Veel werd ook uit ierland geregeld maar dan zat je vaak al bij de tweede lijn. derde lijn zat meestal in het land zelf. Al waren dat ook regelmatig expats.
Grappig, 15 jaar geleden werd bij ons (een van de top 5 grootste outsourcers ter wereld) EMEA al bediend vanuit Polen/Tsjechië/Bulgarije/Roemenië. Nu overigens nog steeds.
Dat is toch wel een makkelijk excuus en ik vraag me tegelijk af hoe het gesteld is met MS eigen R&D, doen ze gevoelige ontwikkelingen ook in China?

Uiteindelijk geeft dit geen vertrouwen in een gigant zoals MS en als ze zo met partijen zoals de US overheid omgaan moet je daar als kleine partij heel ver weg blijven.
MS werkt vooral heel veel met Indie. Daar kun je natuurlijk dezelfde vraagtekens bij zetten.

Dat ze juist voor de R&D van US defensie naar China gaan is enigszins verdacht.
Alleen is het vaak 1ticketing systeem bij bedrijven waar alle 1ste lijns gewoon bij kunnen.
Tja. Het verschilt per bedrijf/branch, en wat regelgeving vereist. Ik heb vroeger bij een financiële instelling gewerkt, waar ze met 'Chinese Wall's werkten. (waarschijnlijk nog steeds). Dit kwam er op neer dat bepaalde klanten niet behandeld mochten worden door dezelfde personen. Die teams werden fysiek gesplitst met letterlijk muren er tussen. De data werd op gescheiden applicatieservers gezet, gescheiden databases, gescheiden netwerken, enz.
Die 'subteams' konden niet bij elkaars informatie komen, enz.

Dit was een verplichting vanuit afspraken tussen de ECB en de MAS (De toen handhavende organisatie van de Maleisische Singaporese centrale bank.)

Stel dat de Amerikaanse overheid toeleveranciers wettelijk gaat verplichten dit te scheiden (Chinese werknemers buitensluiten), dan hebben toeleveranciers te gewoon te doen. En dan ongeacht wat wij daar van vinden, natuurlijk.

[Reactie gewijzigd door lenwar op 20 juli 2025 20:21]

MAS is de regulator van Singapore, niet van Maleisië.
Je hebt helemaal gelijk. Het klopte ook niet helemaal in m’n hoofd. Thanks!
Nee, in de meeste systemen die gebouwd zijn voor iets of wat grotere schaal zie je dat teams duidelijk afgescheiden van elkaar werken en er zelfs aparte nummeringen zijn, alsof ze volledig onafhankelijk zijn zonder ook nog maar te weten dat andere diensten er van gebruik maken, om nog maar te zwijgen van het feit dat je ook gewoon aparte infrastructuur kan opzetten.

Als het dan om een van de grootste bedrijven ter wereld voor een van de grootste klanten in het land gaat, dan weet je dat het gewoonweg niet in te beelden is dat op zo'n amateuristische manier als jij omschrijft zou worden gewerkt.
Dat verschilt uiteraard per organisatie. Ik heb voor een grote multinational gewerkt en zij hadden voor de ondersteuning van het gehele EMEA-gebied een en hetzelfde systeem.
ik zeg niet dat het niet gebeurt in andere bedrijven met veel minder security-requirements of waar het juist wenselijk is dat iedereen van een bepaald servicelevel overal bij kan, maar dat is met alle respect een paar grootteordes verschil.
Dat is gewoon nietlogische met follow the sun service centers

En bij support komt er wel een tag te staan, maar je alles van het zelfde zit gewoon in 1 systeem. Sommige hebben wel rbac beperkingen.
Dat is ook vermeld. Volgens het artikel gaat het om data met een (relatief) laag vertrouwelijkheidsniveau. Daarom dachten ze dat deze regeling veilig genoeg was.
Microsoft uses the escort system to handle the government’s most sensitive information that falls below “classified.” According to the government, this “high impact level” category includes “data that involves the protection of life and financial ruin.” The “loss of confidentiality, integrity, or availability” of this information “could be expected to have a severe or catastrophic adverse effect” on operations, assets and individuals, the government has said. In the Defense Department, the data is categorized as “Impact Level” 4 and 5 and includes materials that directly support military operations.
Ik denk daarom dat er wel regels zijn, en Microsoft zich daar ook aan houdt, maar dat Microsoft de regels uitvoert op een manier waar je vraagtekens bij kunt zetten.
Voor defensie zijn regels vaak anders in screenings process, net Als voor navo support moeten wij ook als msft andere screening hebben.
Bedenk dat heel veel organisaties een helpdesk dienstverlener gebruiken die vanuit nog weer andere landen werkt. Zelf heb ik wel eens helpdesks gebeld waarbij afhankelijk van het tijdstip iemand uit het oosten van Europa de telefoon op nam, of iemand uit India, of iemand uit Zuid Amerkia. En dat was niet eens voor een grote internationale multinational. Het is voor veel organisaties maar net waar ze de helpdesk inhuren. Talen worden over de hele wereld gesproken, zelfs Nederlands.

Aan de andere kant, als microsoft zelf niet eens het idee had dat een Chineese helpdesk voor de US overheid misschien niet wenselijk is, dan vrees ik het ergste voor de microsoft-cloud contracten die de Europeese overheden gebruiken. Alles moet tot in de puntjes worden vastgelegd en dan nog zullen de grote cloud providers daan hun eigen draai aan geven waar wij Europeanen dan hun wenkbrouwen bij fronsen.
Contracten worden tussen 2 partijen gesloten en zeker op dit niveau hebben beiden enorm veel inspraak op wat er in staat. Als defensie niet expliciet stipuleert dat enkel Amerikaanse werknemers met een specifieke veiligheidsscreening vanuit de VS aan hun omgeving mogen, dan staat het Microsoft vrij om haar eigen standaarden te volgen voor zover er geen andere overkoepelende afspraken zijn gemaakt.
Die regeltjes zijn er ook voor het leger. Het is eerder raar dat microsoft zich daar niet aan hield. ITAR heet dat geloof ik.
Ik snap de discussie in de comments helemaal niet. Het gaat hier om een nationale veiligheids kwestie, met de nadruk op een natie. Dan gaan we toch niet discussiëren over discriminatie!

Helaas gaat deze wereld steeds meer naar het beschermen van Naties, met de US en Rusland als grote aanjagers, ipv een focus op het verbeteren van de gehele wereld. Dan zul je je (veiligheids)beleid hier ook op moeten inrichten.

Dus alleen mensen in dienst nemen of op gevoelige plekken die het belang van jouw natie dienen.
Dat is natuurlijk makkelijker gezegd dan gedaan. Hoe bepaal je of iemand het belang van je natie dient? Op basis van nationaliteit of afkomst? Dus een Nederlander dient per definitie enkel en alleen het belang van Nederland en niks anders?
Je zult ergens een eerste grens moeten trekken en een nationaliteit lijkt me een prima begin. Daarna zul je deze personen moeten screenen, hun familie ook en na in diensttreden actief monitoren op bepaalde signalen.

Dit gebeurt ook bij gevoelige banen zoals de DNB, dus heel raar is het niet.
Ik snap wel dat bepaalde groepen dat als discriminatie wilt wegzetten. Anders kunnen ze hun onderdanen niet als spionnen inzetten.
Weten we zeker dat Tom Cotton hier zich niet weer vergist met Singapore?
Aan de ene kant snap ik het wel. China is geen militaire bondgenoot van de NAVO.
China en de VS stevenen af op de 2e koude oorlog, dat China niet in de NAVO zit en geen bondgenoot is van de VS is alsof je verteld dat slangen geen pootjes hebben.
Lekker bijdehand
Dat wil zeggen dat Microsoft die chinese it-ers wel nog inzet voor bedrijven en eindklanten? Dus voor ons? Hoe betrouwbaar is Microsoft dan wel - is de vraag die meteen bij mij op komt.

En hoe zit dat met de concullega's binnen big tech?

Produceert men de hardware ook niet in China?
Het gaat om M$ een "Amerikaans" en "Bedrijf" dus betrouwbaarheid is 0.0 en ik gebruik wel Bing en een XB maar vertouwen doe ik het niet daarom VPN en als het om consoles gaat bijna alles komt bij Foxconn vandaan Wikipedia: Foxconn persoonlijk heb ik liever producten uit EU, Taiwan, Japan, Vietnam, Zuid-Korea en je kunt ook met bijv. Routers er achter komen waar het vandaan komt de onderdelen en de fabricage en persoonlijk heb ik het liefste Netgear en Asus.

Teveel onderdelen en fabricage komt uit China en Trump wil dat weer terug halen maar Amerika is niets beter dus ook al zouden de ITers betrouwbaar zijn de hardware en software daar achter is al twijfelachtig dus gebruik een VPN rechtstreeks in jouw meterkast naar jouw wifi en op Tweakers is genoeg informatie te vinden over producten en services en dat hoeft niet duur te zijn en ik vertouw een mede tweaker eerder dus als je hulp zoekt kijk dan op forums en soms zijn er ook wel tweakers die een VPN opzetten voor benzine geld en een biertje ^^

[Reactie gewijzigd door Tri Force op 21 juli 2025 17:36]

Vanuit defensie oogpunt kan ik hier best inkomen.
Tot voor kort zou Microsoft werknemers die zich in China bevinden hebben ingezet om, onder toezicht van een Amerikaanse medewerker, technische ondersteuning te bieden aan het Amerikaanse ministerie van Defensie, zo ontdekte ProPublica.
Microsoft in China en ze werken voor Amerikaanse leger? Ongelooflijk, ik wist niet wat ik net las. Dat had het nooit mogen gebeuren. Want als je niet goed oppast stuurt Chinese staat een Chinese controleur dan komt hij vast naast een Amerikaanse medewerker (die Chinese medewerkers controleert) staan... Dan wordt Amerikaanse controleur gearresteerd, zwaar verhoren en hem naar de kampen afgevoerd. Dat zeg ik als een voorbeeld.
Opzich geen verkeerd besluit en niet alleen voor Amerika maar elk land zou dat moeten doen en dat heeft niets met racisme te maken maar gewoon "Staats Veiligheid'' maar ja als je kijkt naar de figuren wie momenteel de Amerikaanse regering zijn is het begrijpelijk dat men in de richting gaat van discriminatie en zoals een mede tweaker al zei zijn het allemaal Rode vlaggen van China, Trump, Hegseth, Vance etc. tenminste ik zie dat niet als iets betrouwbaar..
China doet ook zulke dingen toch, zelf met leerlingen op een school. Onlangs had een Chinese studente intiem contact met een westerling, die werd gelijk geschorst en weggestuurd van haar studie en ten schande gemaakt. Dit ook om veiligheids redenen
Waar en wie? Beetje vreemd verhaal.

Op dit item kan niet meer gereageerd worden.