مهندسو وادي السيليكون يتهمون بسرقة أسرار تجارية وتقنية من جوجل

ملخص سريع

• وجه المدعون الفيدراليون تهمًا لثلاثة مهندسين سابقين في جوجل بسرقة أسرار تجارية وعرقلة العدالة.
• يواجه المتهمون عقوبة تصل إلى 10 سنوات في السجن عن كل تهمة سرية تجارية، وما يصل إلى 20 سنة عن تهمة العرقلة.
• يزعم المدعون أن الأسرار التجارية تم توجيهها إلى مواقع غير مصرح بها، بما في ذلك الوصول من إيران. وجه المدعون الفيدراليون اعتقال ثلاثة مهندسين من وادي السيليكون متهمين بسرقة أسرار أمنية حساسة للرقائق من جوجل وغيّرها وتوجيهها إلى مواقع غير مصرح بها، بما في ذلك إيران، مما يثير مخاوف أمنية وطنية. أعاد هيئة المحلفين الكبرى الفيدرالية في محكمة المقاطعة الشمالية بكاليفورنيا إصدار لائحة اتهام ضد سامانه غندالي، سورو غندالي، ومحمدجواد خسرواي. تم تقديم لائحة الاتهام يوم الأربعاء وكُشفت الخميس في سان خوسيه، وفقًا لبيان من وزارة العدل. بينما كانت تعمل في جوجل، زعمت وزارة العدل أن سامانه غندالي “نقلت مئات الملفات، بما في ذلك الأسرار التجارية لجوجل، إلى منصة اتصالات طرف ثالث”، إلى قنوات تحمل اسم كل متهم، حسبما ذكرت الوزارة. لم تكن نسخة من لائحة الاتهام المكشوفة متاحة على الفور عند كتابة هذا النص. ديكرِبت تواصلت مع المكتب المعني لوزارة العدل للحصول على مزيد من المعلومات والتعليق.

يُزعم أن الثلاثة استخدموا عملهم في جوجل وشركتين أخريين غير مسميتين للوصول إلى ملفات سرية مرتبطة بمعالجات الحواسيب المحمولة. وفقًا لوزارة العدل، شملت المواد المسروقة أسرارًا تجارية تتعلق بأمان المعالج والتشفير، وتم نسخ مواد جوجل لاحقًا إلى أجهزة شخصية وأجهزة عمل مرتبطة بالشركات الأخرى التي كان المتهمون يعملون بها. يزعم المدعون أن المتهمين حاولوا إخفاء أفعالهم عن طريق حذف الملفات، وتدمير السجلات الإلكترونية، وتقديم بيانات كاذبة للشركات الضحية تنكر أنهم شاركوا معلومات سرية خارج الشركة. في إحدى الحالات الواردة في لائحة الاتهام، تزعم وزارة العدل أنه في ديسمبر 2023، قبل يوم من سفرها إلى إيران، قامت سامانه غندالي بتصوير حوالي اثني وعشرين صورة لشاشة حاسوب عمل تابعة لشركة أخرى تعرض معلومات سرية. أثناء وجودها في إيران، يُزعم أن جهازًا مرتبطًا بها وصل إلى تلك الصور، ووفقًا للادعاءات، قام خسرواي بالوصول إلى مواد سرية إضافية.

وفقًا لوزارة العدل، اكتشفت أنظمة الأمان الداخلية لجوجل نشاطًا مشبوهًا في أغسطس 2023 وألغت وصول سامانه غندالي. وتزعم اللائحة أنها وقعت لاحقًا على بيان تفيد فيه بأنها لم تشارك المعلومات السرية لجوجل خارج الشركة. يُواجه الثلاثة تهمًا بالتآمر وسرقة الأسرار التجارية بموجب القانون الفيدرالي، بالإضافة إلى عرقلة العدالة بموجب قانون يعاقب على التلاعب أو تدمير أو إخفاء السجلات أو الأشياء الأخرى بشكل فاسد لتقليل استخدامها في إجراء رسمي. تصل العقوبة القصوى لاتهام العرقلة إلى 20 سنة في السجن. المخاطر والتداعيات الأمنية يقول المراقبون إن القضية توضح كيف يمكن أن يحمل الوصول الداخلي إلى أنظمة أشباه الموصلات والتشفير المتقدمة تداعيات على الأمن القومي. قال فينسنت ليو، المدير التنفيذي للاستثمار في كرونوس ريسيرش، لـ ديكرِبت: “يمكن للموظفين الذين لديهم وصول شرعي أن يستخرجوا بصمت حقوق ملكية فكرية حساسة جدًا مع مرور الوقت، حتى مع وجود ضوابط قائمة”. وغالبًا ما تأتي المخاطر على شركات أشباه الموصلات والتشفير من “الموظفين الموثوق بهم، وليس من القراصنة”، وأضاف أن خطر الداخل هو “ثغرة هيكلية مستمرة تتطلب مراقبة دائمة وتقسيم صارم للبيانات”. وفي مثل هذه الحالات، “الداخل هو سطح الهجوم”، قال دان دادبايو، قائد الاستراتيجية في مطور البنية التحتية للعملات الرقمية Horizontal Systems، لـ ديكرِبت. “الجدران النارية لا تهم عندما يكون مسار التسريب هو الوصول الشرعي”، مضيفًا أن المهندسين يمكنهم نقل “الهندسة، منطق إدارة المفاتيح أو تصميم أمان الأجهزة خارج بيئات السيطرة، مما ينهار ‘الحدود’”. إذا وصلت حقوق الملكية الفكرية الحساسة للمعالجات والتشفير إلى إيران، قال دادبايو إن الجهات التنظيمية سترد على الأرجح بشكل حاسم.

وأشار إلى “تطبيق قوانين التصدير المعتبرة بشكل أكثر صرامة حيث يُعتبر الوصول إلى المعرفة تصديرًا بحد ذاته” و"تقسيم أكثر صرامة، ومراقبة، ومتطلبات ترخيص داخل الشركات الأمريكية"، مضيفًا أن الرقائق المتقدمة والتشفير “لم يُعامل بعد كسلع تجارية محايدة” بل “أدوات للقوة الجيوسياسية”.  كما يكشف القضية عن فجوات بين الامتثال الرسمي والمرونة في العالم الحقيقي. قال ديما بودورين، رئيس مجلس إدارة شركة Hacken للأمن والامتثال في مجال التشفير، لـ ديكرِبت: “في معظم المؤسسات التكنولوجية، يُفترض أن تكون مخاطر سرقة المعلومات مخففة من خلال الحصول على شهادات SOC 2 و ISO”. وأضاف أن هذه الأطر “تقيس غالبًا نضج الامتثال، وليس المقاومة الفعلية ضد مهاجم مصمم — خاصة الداخل”. وقال إن الشهادة تثبت وجود ضوابط “في وقت التدقيق”، لكنها “لا تثبت أن البيانات الحساسة لا يمكن سرقتها”. نظرًا لأن هذه المعايير تفرض تدابير حماية مشتركة، جادل بودورين بأنها يمكن أن تجعل الدفاعات متوقعة. وللمهاجمين المتطورين، قال إن “الامتثال” غالبًا ما يعني التوقع، محذرًا من أن الأمن الحقيقي يتطلب “التحقق المستمر، والمراقبة السلوكية، والاختبار العدائي”، وإلا فإن المؤسسات تكون “متوافقة على الورق ولكنها معرضة للخطر بشكل حرج في الممارسة”.