Інженери з Кремнієвої долини звинувачені у крадіжці секретів Google та технологічної торгівлі

Коротко

• Федеральні прокурори пред’явили звинувачення трьом колишнім інженерам Google у крадіжці комерційної таємниці та перешкоджанні правосуддю.
• Обвинувачені можуть отримати до 10 років ув’язнення за кожен випадок крадіжки комерційної таємниці та до 20 років — за перешкоджання правосуддю.
• Прокурори стверджують, що комерційні таємниці були перенаправлені до несанкціонованих місць, зокрема з доступом з Ірану.

Федеральні прокурори заарештували трьох інженерів із Кремнієвої долини, яких звинувачують у крадіжці чутливих секретів безпеки чипів у Google та інших компаній і їхньому перенаправленні до несанкціонованих місць, зокрема з доступом з Ірану, що викликає питання національної безпеки. Федеральний великий журі у суді США Північного округу Каліфорнії винесло звинувачення проти Самане Гандалі, Сорур Гандалі та Мохаммаджаведа Хосраві. Звинувачення було подано у середу та розкрито у четвер у Сан-Хосе, повідомила прес-служба Мін’юсту. Під час роботи в Google, за даними Мін’юсту, Самане Гандалі нібито «перевезла сотні файлів, включаючи комерційні таємниці Google, на сторонню платформу для комунікацій», у канали, що містили імена кожного обвинуваченого. Копія розкритого звинувачення на момент написання не була доступною. Decrypt звернувся до відповідного офісу Мін’юсту за додатковою інформацією та коментарями.

Трійця нібито використовувала своє працевлаштування в Google та ще двох невказаних компаніях для доступу до конфіденційних файлів, пов’язаних із мобільними процесорами. За даними Мін’юсту, викрадені матеріали включали комерційні таємниці, пов’язані з безпекою процесорів і криптографією, а матеріали Google пізніше копіювалися на особисті пристрої та робочі пристрої, пов’язані з іншими компаніями, де працювали обвинувачені. Прокурори стверджують, що обвинувачені намагалися приховати свої дії, видаляючи файли, знищуючи електронні записи та подаючи неправдиві заяви компаніям-жертвам про те, що вони не поширювали конфіденційну інформацію за межі компанії. У одному з епізодів, описаних у звинуваченні, Мін’юст стверджує, що у грудні 2023 року, напередодні поїздки до Ірану, Самане Гандалі сфотографувала близько двох десятків зображень екрана робочого комп’ютера іншої компанії з інформацією про комерційну таємницю. Під час перебування в Ірані, пристрій, пов’язаний із нею, нібито отримав доступ до цих фотографій, а Хосраві нібито отримав доступ до додаткових матеріалів комерційної таємниці.

За даними Мін’юсту, внутрішні системи безпеки Google виявили підозрілу активність у серпні 2023 року і скасували доступ Самане Гандалі. Звинувачення стверджує, що вона згодом підписала заяву, в якій заперечувала поширення конфіденційної інформації Google за межі компанії. Всі троє обвинувачених пред’явлені у злочинній змові та крадіжці комерційної таємниці відповідно до федерального законодавства, а також у перешкоджанні правосуддю за статтею, яка криміналізує корупційне змінення, знищення або приховування записів або інших об’єктів з метою ускладнення їх використання у офіційних процесах. Обвинувачення у перешкоджанні правосуддю передбачає максимальний строк ув’язнення до 20 років. Ризики та безпекові наслідки Спостерігачі кажуть, що цей випадок ілюструє, як внутрішній доступ до передових систем напівпровідників і криптографії може мати наслідки для національної безпеки. «Працівники з легальним доступом можуть тихо витягати дуже чутливу інтелектуальну власність з часом, навіть за наявності існуючих контролів», — сказав Винсент Лю, головний інвестиційний директор Kronos Research, у Decrypt. Ризик для компаній, що займаються напівпровідниками та криптографією, часто походить від «довірених внутрішніх осіб, а не хакерів», додав він, описуючи внутрішній ризик як «стійку, структурну вразливість, що вимагає постійного моніторингу та суворої сегментації даних». У таких випадках «внутрішній — це і є поверхня атаки», — сказав Дан Дадібайо, керівник стратегії компанії Horizontal Systems, що займається криптоінфраструктурою, у Decrypt. «Брандмауери не мають значення, коли вектор ексфільтрації — легальний доступ», — додав він, стверджуючи, що коли інженери можуть переміщати «архітектуру, логіку управління ключами або дизайн апаратної безпеки поза контрольованим середовищем, «периметр» руйнується». Якщо чутливий IP процесорів і криптографії потрапить до Ірану, за словами Дадібайо, регулятори ймовірно, реагуватимуть агресивно.

Він звернув увагу на «жорсткіше застосування правил щодо вивезення знань, коли сам доступ до знань вважається експортом», а також «жорсткішу сегментацію, моніторинг і ліцензування всередині американських компаній», додавши, що передові чипи та криптографія «більше не розглядаються як нейтральні комерційні товари», а як «інструменти геополітичної влади». 
Цей випадок також виявляє розрив між формальним дотриманням правил і реальною стійкістю. «У більшості технологічних організацій ризики крадіжки інформації вважаються зменшеними завдяки отриманню сертифікацій SOC 2 та ISO», — сказав Діма Будорін, виконавчий голова крипто-безпеки та відповідності компанії Hacken, у Decrypt. Такі рамки «часто оцінюють зрілість відповідності, а не фактичну стійкість проти цілеспрямованого нападника — особливо внутрішнього». За його словами, сертифікація доводить, що контролі існують «на момент аудиту», але «не доводить, що чутливі дані не можуть бути вкрадені». Оскільки ці стандарти передбачають загальні заходи безпеки, Будорін стверджує, що вони можуть робити захист передбачуваним. Для досвідчених зловмисників «відповідність» часто означає передбачуваність, додав він, попереджаючи, що справжня безпека вимагає «безперервної перевірки, моніторингу поведінки та тестування на злом», інакше організації ризикують бути «законно відповідними на папері, але критично вразливими на практиці».