Insinyur Silicon Valley Dituntut atas Pencurian Rahasia Dagang Google dan Teknologi

Singkatnya

• Jaksa federal telah menuntut tiga mantan insinyur Google dengan tuduhan pencurian rahasia dagang dan penghalangan.
• Terdakwa menghadapi hukuman hingga 10 tahun penjara untuk setiap tuduhan rahasia dagang dan hingga 20 tahun untuk penghalangan.
• Jaksa menuduh bahwa rahasia dagang dialirkan ke lokasi yang tidak berwenang, termasuk akses dari Iran. Jaksa federal telah menangkap tiga insinyur Silicon Valley yang diduga mencuri rahasia dagang keamanan chip yang sensitif dari Google dan lainnya serta mengarahkan mereka ke lokasi yang tidak berwenang, termasuk Iran, menimbulkan kekhawatiran keamanan nasional. Seorang juri agung federal di Pengadilan Distrik AS untuk Distrik Utara California mengeluarkan dakwaan terhadap Samaneh Ghandali, Soroor Ghandali, dan Mohammadjavad Khosravi. Dakwaan tersebut diajukan hari Rabu dan dibuka pada hari Kamis di San Jose, menurut pernyataan dari DOJ. Saat bekerja di Google, Samaneh Ghandali diduga “mentransfer ratusan file, termasuk rahasia dagang Google, ke platform komunikasi pihak ketiga,” kata DOJ. Salinan dakwaan yang dibuka tidak segera tersedia pada saat penulisan. Decrypt telah menghubungi kantor DOJ terkait untuk informasi dan komentar lebih lanjut.

Ketiga orang tersebut diduga menggunakan pekerjaan mereka di Google dan dua perusahaan lain yang tidak disebutkan namanya untuk mengakses file rahasia terkait prosesor komputer mobile. Menurut DOJ, materi yang dicuri termasuk rahasia dagang terkait keamanan prosesor dan kriptografi, dan materi Google kemudian disalin ke perangkat pribadi dan perangkat kerja yang terkait dengan perusahaan lain tempat mereka bekerja. Jaksa menuduh bahwa terdakwa berusaha menyembunyikan tindakan mereka dengan menghapus file, menghancurkan catatan elektronik, dan mengajukan afidavit palsu kepada perusahaan korban yang menyangkal bahwa mereka telah membagikan informasi rahasia di luar perusahaan. Dalam salah satu episode yang digambarkan dalam dakwaan, DOJ menuduh bahwa pada Desember 2023, malam sebelum bepergian ke Iran, Samaneh Ghandali memfoto sekitar dua lusin gambar layar komputer kerja perusahaan lain yang menampilkan informasi rahasia dagang. Saat di Iran, sebuah perangkat yang terkait dengannya diduga mengakses foto-foto tersebut, dan Khosravi diduga mengakses materi rahasia dagang tambahan.

Menurut DOJ, sistem keamanan internal Google mendeteksi aktivitas mencurigakan pada Agustus 2023 dan mencabut akses Samaneh Ghandali. Dakwaan tersebut menuduh bahwa dia kemudian menandatangani afidavit yang menyatakan bahwa dia tidak membagikan informasi rahasia Google di luar perusahaan. Ketiga terdakwa didakwa dengan konspirasi dan pencurian rahasia dagang berdasarkan hukum federal, serta penghalangan keadilan berdasarkan undang-undang yang mengkriminalisasi pengubahan, penghancuran, atau penyembunyian catatan atau objek lain secara korup untuk merusak penggunaannya dalam proses resmi. Tuduhan penghalangan membawa hukuman maksimum 20 tahun penjara. Risiko dan implikasi keamanan Pengamat mengatakan kasus ini menunjukkan bagaimana akses orang dalam terhadap sistem semikonduktor dan kriptografi canggih dapat memiliki implikasi keamanan nasional. “Karyawan dengan akses yang sah dapat diam-diam mengekstrak IP yang sangat sensitif dari waktu ke waktu, bahkan dengan kontrol yang ada,” kata Vincent Liu, kepala petugas investasi di Kronos Research, kepada Decrypt. Risiko bagi perusahaan semikonduktor dan kriptografi sering kali berasal dari “orang dalam yang dipercaya, bukan peretas,” tambahnya, menggambarkan risiko orang dalam sebagai “kerentanan struktural yang persisten yang memerlukan pemantauan terus-menerus dan pemisahan data yang ketat.” Dalam kasus seperti ini, “orang dalam adalah permukaan serangan,” kata Dan Dadybayo, pemimpin strategi di pengembang infrastruktur kripto Horizontal Systems, kepada Decrypt. “Firewall tidak berarti apa-apa ketika vektor eksfiltrasi adalah akses yang sah,” katanya, berargumen bahwa ketika insinyur dapat memindahkan “arsitektur, logika manajemen kunci, atau desain keamanan perangkat keras keluar dari lingkungan yang terkendali, ‘perimeter’ runtuh.” Jika IP prosesor dan kriptografi yang sensitif sampai ke Iran, Dadybayo mengatakan regulator kemungkinan akan merespons secara agresif.

Dia menunjuk pada “penegakan aturan ekspor yang dianggap lebih ketat di mana akses pengetahuan sendiri dihitung sebagai ekspor” dan “segregasi, pemantauan, dan persyaratan lisensi yang lebih ketat di dalam perusahaan AS,” menambahkan bahwa chip canggih dan kriptografi “tidak lagi diperlakukan sebagai barang komersial netral” tetapi sebagai “alat kekuatan geopolitik.”  Kasus ini juga mengungkap celah antara kepatuhan formal dan ketahanan dunia nyata. “Dalam sebagian besar organisasi teknologi, risiko pencurian informasi diasumsikan dapat diminimalkan dengan mendapatkan sertifikasi SOC 2 dan ISO,” kata Dyma Budorin, ketua eksekutif di perusahaan keamanan dan kepatuhan kripto Hacken, kepada Decrypt. Kerangka kerja tersebut “sering kali mengukur kematangan kepatuhan, bukan ketahanan nyata terhadap penyerang yang gigih—terutama orang dalam.” Sertifikasi, katanya, membuktikan bahwa kontrol ada “pada saat audit,” tetapi “tidak membuktikan bahwa data sensitif tidak dapat dicuri.” Karena standar ini menetapkan perlindungan umum, Budorin berpendapat, mereka dapat membuat pertahanan menjadi prediktabel. Bagi penyerang yang canggih, “kepatuhan” sering berarti dapat diprediksi, tambahnya, memperingatkan bahwa keamanan nyata membutuhkan “validasi terus-menerus, pemantauan perilaku, dan pengujian adversarial,” atau organisasi berisiko “kepatuhan secara dokumen sementara secara kritis terekspos dalam praktik.”