Інженери з Кремнієвої долини звинувачені у крадіжці секретів Google та технологічної торгівлі

Коротко

• Федеральні прокурори пред’явили звинувачення трьом колишнім інженерам Google у крадіжці комерційної таємниці та перешкоджанні правосуддю.
• Обвинувачені можуть отримати до 10 років ув’язнення за кожен випадок крадіжки комерційної таємниці та до 20 років — за перешкоджання правосуддю.
• Прокурори стверджують, що комерційні таємниці були перенаправлені до несанкціонованих місць, зокрема з доступом з Ірану.

Федеральні прокурори заарештували трьох інженерів із Кремнієвої долини, яких звинувачують у крадіжці чутливих секретів безпеки чипів у Google та інших компаній і їхньому перенаправленні до несанкціонованих місць, зокрема з доступом з Ірану, що викликає занепокоєння щодо національної безпеки. Федеральний великий жюрі у суді Північного округу Каліфорнії винесло звинувачення проти Самане Гандалі, Сурор Гандалі та Мохаммаджаведа Хосраві. Звинувачення було подано у середу та розсекречено у четвер у Сан-Хосе, повідомила прокуратура. Під час роботи в Google, Самане Гандалі нібито «перенесла сотні файлів, включаючи комерційні таємниці Google, на сторонню платформу для комунікацій», до каналів, що носили імена кожного обвинуваченого, повідомила прокуратура. Копія розсекреченого звинувачення на момент написання не була доступна. Decrypt звернувся до відповідного офісу прокуратури для отримання додаткової інформації та коментарів.

Трійця нібито використовувала своє працевлаштування в Google та ще двох невказаних компаніях для доступу до конфіденційних файлів, пов’язаних із мобільними процесорами. За даними прокуратури, викрадені матеріали включали комерційні таємниці, пов’язані з безпекою процесорів і криптографією, а матеріали Google пізніше копіювалися на особисті пристрої та робочі пристрої, пов’язані з іншими компаніями, де працювали обвинувачені. Прокурори стверджують, що обвинувачені намагалися приховати свої дії, видаляючи файли, знищуючи електронні записи та подаючи неправдиві заяви компаніям-жертвам про те, що вони не поширювали конфіденційну інформацію за межі компанії. У одному з епізодів, описаних у звинуваченні, прокуратура стверджує, що у грудні 2023 року, напередодні поїздки до Ірану, Самане Гандалі сфотографувала близько двох десятків знімків екрана робочого комп’ютера іншої компанії з інформацією про комерційну таємницю. Під час перебування в Ірані, пристрій, пов’язаний із нею, нібито отримав доступ до цих фотографій, а Хосраві нібито отримав доступ до додаткових матеріалів комерційної таємниці.

За даними прокуратури, внутрішні системи безпеки Google виявили підозрілу активність у серпні 2023 року і відкликали доступ Самане Гандалі. Звинувачення стверджує, що вона згодом підписала заяву, у якій заперечувала, що поширювала конфіденційну інформацію Google за межі компанії. Всі троє обвинувачених пред’явлені у спробі змови та крадіжці комерційної таємниці відповідно до федерального законодавства, а також у перешкоджанні правосуддю за статтею, яка криміналізує корупційне змінення, знищення або приховування записів або інших об’єктів з метою ускладнення їх використання у офіційних процесах. Обвинувачення у перешкоджанні правосуддю передбачає максимальний строк ув’язнення до 20 років. Ризики та безпекові наслідки Спостерігачі кажуть, що цей випадок ілюструє, як внутрішній доступ до передових систем напівпровідників і криптографії може мати наслідки для національної безпеки. «Працівники з легальним доступом можуть тихо витягати дуже чутливу інтелектуальну власність з часом, навіть за наявності існуючих контролів», — сказав Винсент Лю, головний інвестиційний директор Kronos Research, Decrypt. Ризик для компаній, що займаються напівпровідниками та криптографією, часто походить від «довірених внутрішніх осіб, а не хакерів», додав він, описуючи внутрішній ризик як «стійку, структурну вразливість, що вимагає постійного моніторингу та суворої сегментації даних». У таких випадках «внутрішній — це і є поверхня атаки», — сказав Дан Дадібайо, керівник стратегії в криптоінфраструктурній компанії Horizontal Systems, Decrypt. «Брандмауери не мають значення, коли вектор ексфільтрації — легальний доступ», — додав він, стверджуючи, що коли інженери можуть переміщати «архітектуру, логіку управління ключами або дизайн апаратної безпеки поза контрольоване середовище, «периметр» руйнується». Якщо чутливий IP процесорів і криптографії потрапить до Ірану, за словами Дадібайо, регулятори ймовірно, реагуватимуть агресивно.

Він звернув увагу на «жорсткіше застосування правил щодо вивезення знань, коли сам доступ до знань вважається експортом», а також «жорсткіше сегментування, моніторинг і ліцензування всередині американських компаній», додавши, що передові чипи та криптографія «більше не розглядаються як нейтральні комерційні товари», а як «інструменти геополітичної влади».  Цей випадок також виявляє розрив між формальним дотриманням правил і реальною стійкістю. «У більшості технологічних організацій ризики крадіжки інформації вважаються зменшеними завдяки отриманню сертифікацій SOC 2 та ISO», — сказав Дайма Будорін, виконавчий голова крипто-компанії Hacken, Decrypt. Такі рамки «часто оцінюють зрілість відповідності, а не фактичну стійкість проти цілеспрямованого нападу — особливо внутрішнього». За його словами, сертифікація доводить, що контролі існують «на момент аудиту», але «не доводить, що конфіденційні дані не можуть бути вкрадені». Оскільки ці стандарти передбачають загальні заходи безпеки, Будорін стверджує, що вони можуть робити захист передбачуваним. Для досвідчених зловмисників «відповідність» часто означає передбачуваність, додав він, попереджаючи, що справжня безпека вимагає «безперервної перевірки, моніторингу поведінки та тестування на злом», інакше організації ризикують бути «законно відповідними на папері, але критично вразливими на практиці».