Немецкий бизнес: США занимается промышленным шпионажем

Здание номер 14 центра в Санкт-Леон-Рот безопасно почти так же, как и Форт Нокс. Но здесь впечатляют своей мощью не многометровой высоты стены. И не камеры безопасности на стальных воротах, сделанных при помощи новейших технологий. На самом деле, несколько недель назад эти ворота даже не работали , а на приклеенном листке можно было прочитать краткое руководство: "Ворота сломаны. Открывайте пожалуйста вручную".

То, что делает это здание на юго-востоке Германии по-настоящему безопасным, - это совершенная, сродни искусству система верификации отпечатков пальцев. Этот компьютерный центр насыщен серверами, на которых хранятся данные самой компании – крупного разработчика ПО, а также тысяч других компаний. Все вместе это составляет гигантскую библиотеку секретной информации, покрывающей большую часть Европы. Чтобы попасть в здание, посетителям потребуется пройти через 5 точек системы безопасности, каждая из которых оснащена собственным сканером отпечатка пальцев. Только авторизованным пользователям предоставляется доступ, и только тем людям, которые реально существуют. С отрезанными пальцами в здание не проникнешь.

Другими словами, будет неправильным сказать , что никаких попыток для укрепления безопасности компаний в Германии не предпринимается. В противоположность этому, меры предосторожности, предпринимаемые порой немецкими компаниями, порой смотрятся как отрывки из романов Джона Гришэма – или иногда как страницы из истории болезни про паранойю.

Когда менеджеры BMW летят в другую страну, они оставляют корпоративные мобильные телефоны дома в Мюнхене. Вместо этого им выдаются «одноразовые» телефоны, которые можно выбросить по возвращении.

У такого химического гиганта как Evonik, менеджеры должны хранить свои мобильные телефоны в коробках из под печенья во время собраний. Суть состоит в том, что эти коробки будут служить как клетки Фарадея и это послужит хорошей защитой от прослушивания разговоров.

У Фердинанда Пища, председателя наблюдательного совета Volkswagen, есть конференц-офисы, которые регулярно проверяются на предмет «жучков», а у самой компании даже есть собственные авиалинии - Volkswagen Air Services. Самолеты зарегистрированы на Каймановых островах, но не для того, чтобы уйти от уплаты налогов. Суть состоит в том, чтобы самолеты компании были менее узнаваемы, чтобы таким образом, затруднить доступ к спискам пассажиров на борту.

В аэрокосмической корпорации EADS работникам запрещается пользоваться iPad или iPhone на работе. Разрешены только Blackberry. Кроме того работникам, работающим в зонах повышенной безопасности запрещено читать рабочую почту кроме как на своих рабочих местах.

Растущие опасения по поводу кражи данных

После того как на поверхность всплыла активная шпионская деятельность Соединенных Штатов, немецкие менеджеры стали еще больше нервничать по поводу безопасности данных. Глава EADS Том Эндерс и другие топ-менеджеры решили усилить и без того серьезные меры безопасности. "Многие документы, ранее отправляемые по электронной почте, сейчас вручаются адресату непосредственно в руки", - заявил официальный представитель EADS. Он отметил, что только те документы, которые разрешено обнародовать публично, могут отправляться по электронной почте.

Эндерс и его компаньоны не одиноки в своих убеждениях. Многие немецкие менеджеры обеспокоены тем, что АНБ может сделать с теми данными, которые она предположительно собрала с немецких компаний, делится Ульрих Бремер, член исполнительного совета немецкой Ассоциации по безопасности в промышленности и торговле (ASW).

Бремер далек от теорий заговора, и он даже не пытается предположить, что разведка США преднамеренно выкачивала промышленные секреты из Германии и передавала их американским компаниям. Вместо этого, его волнует то, что разведагентства работали вплотную с консультантами из частного сектора. "Кто знает, продавали ли они информацию заинтересованным сторонам направо и налево", - говорит Бремер, допуская "высокую" вероятность подобного риска.

Основатель SAP - Хассо Платтнер также чувствует обеспокоенность разведоперациями американских спецслужб. "Странно действительно, что большая часть собранных данных, - с юга Германии", - говорит он, "именно там, где расположены мелкие и крупные технологические компании".

Чувство беспокойства охватило всю Германию. "Мы замечаем, что компании стали более раздражительными в последние недели", - утверждает Майкл Джордж, глава Cyber Alliance Center в Федеральном офисе Баварии по охране Конституции – подразделения разведочного агентства Германии. "Когда речь заходит о промышленном шпионаже, они почти всегда сосредотачиваются на Востоке. А теперь они размышляют – не угрожают ли им с Запада".

Малый и средний бизнес особенно контактирует с экспертами государственного агентства и задает некоторые вопросы: Что будет с программными продуктами, производимыми в США – например, Microsoft, и широко используемыми немецкими компаниями? Следует ли менеджерам по-прежнему пользоваться Skype при общении? Кроме хакерских атак из Китая, следует ли бизнесу опасаться промышленного шпионажа из Штатов?

'Американцы настоящие профессионалы’

Раньше у немецких компаний было достаточно уверенности насчет того, что поступает из Соединенных Штатов. Сейчас же уверенность сильно угасла.

На данный момент благодаря всплывшей информации известны случаи, когда американские агентства пытались украсть немецкие секреты производства. Но это все потому, что немецкие власти и компании были недостаточно внимательны. Тайны хакерских атак обычно очень хорошо скрыты, и вполне возможно, что разведагентства из США просто хорошо заметают свои следы.

И на самом деле – им не нужно получать доступ к немецким компаниям напрямую. То. Что случается иногда – это разведагентства из США во время проведения своих изысканий в Сети, перехватывают пакеты данных от немецких компаний, которых "там не должно было быть", - говорит официальное лицо из Федерального офиса по охране Конституции (BfV). Через утечку информации, эта информация очень часто попадает к немецким властям, которые затем уведомляют об этом пострадавшие компании.

"Американцы – настоящяие профессионалы. Они не оставляют следов – а если и оставляют, то ложные", - говорит Кристофер Фишер и з консалтинговой фирмы BFK из Карлсруэ. "Достаточно легко представить, что атака – родом из Китая. И хотя их активность сейчас очень заметна, свалить на Китай очень просто".

Всем компаниям давно известно, что им следует опасаться хищных глаз конкурентов. Но до настоящего момента, в основном полагалось, что угроза промышленного шпионажа идет от государственных предприятий по большей части из Китая и России, где является распространенной практикой для агентств следить за чужими успехами.

Кроме того, Германия уже давно известна тем, что в стране выжигают каленым железом шпионов. За последние годы преданы огласке десятки дел. Единственное отличие между ними всеми в том .что шпионы охотились за различными предметами. Иранцы интересовались где бы они смогли купить оборудование для своей ядерной программы. Русские положили глаз на военные штуки. А китайские контрафактщики интересовались всем – от военных технологий до стереосистем класса high-end.

Проблема в том как уберечь себя от шпионажа заключается в том, что большинство потенциальных точек доступа мониторится параллельно. В одной только SAP регистрируют около 3000 атак за месяц. По всей Германии – сотни тысяч – только за сутки. "Не нужно обладать особыми навыками или воспользоваться чужой помощью, чтобы провести атаку на малый и средний бизнес", - говорит официальный представитель BfV.

Более того, никому доподлинно не известно откуда конкретно приходят атаки. Промышленные ли это шпионы, или чужая разведка, а может просто хакер-самоучка? Однако, ясно одно, что в сети находятся сотни тысяч наемников, блуждающих по просторам Интернета, готовые предложить свои услуги тому, кто заплатит больше. И они очень хороши в своем деле. "У нас были случаи, когда атакующие внедрялись в компьютеры компании, а обнаруживали их только через несколько месяцев", - говорит Фишер, консультант из BFK. "Когда это случается, то нужно понимать – секретов больше нет".

И всем компаниям нужно бояться Торстена Шредера. Себя он сам называет хакером и любит одеваться в типичные для комьюнити одежды: футболки с хакерских сборищ и практичные брюки-Карго, все предпочтительно черного цвета.

Не так давно шредер атаковал медицинскую компанию. Используя собственный компьютер, он быстро получил доступ к одному из терминалов менеджера по продажам в компании. Это ему дало доступ на уровне сотрудника компании, и позволило использовать брешь в безопасности файрвола, защищающего компанию от атак извне.

"Как только вы оказываетесь внутри, доступ к важнейшей информации о клиентах и финансовых данных становится всего лишь вопросом времени", - утверждает Шредер. В этом случае возможный урон стал еще хуже. Шредеру удалось установить свое собственное ПО на сервер компании, и стать администратором и так называемым "супер-пользователем".

Для хакера, проведшего атаку извне, это один из самых значительных успехов, и ночной кошмар для пострадавшей компании. Однако, в этом случае компания сама заплатила Шредеру за его услуги. Как и многие из его товарищей, 36-летний хакер превратил свое увлечение в работу. Шредеру принадлежит компания Modzero, находящаяся в швейцарском городе Винтерфур. С четырями другими работниками он консультирует компании по вопросам IT-безопасности и защите против кибер-шпионажа.

Как говорит сам Шредер, процент успеха по проводимым им вторжениям, длящимся от пяти до десяти дней, близок к ста. "Фактически, мы всегда что-нибудь находим". Это применимо в том числе и к большим компаниям со своей собственной корпоративной системой безопасности, когда у них есть собственные " команды взлома ", регулярно проводящих атаки и таким образом тестирующих безопасность. В большинстве случаев, говорит Шредер, чем выше уровень в иерархии – тем выше риски безопасности. "топ-менеджеры – это очень привлекательные цели", - утверждает он,"потому что у них особый статус и очень часто у них особый набор привилегий доступа".

Людские слабости – ключ ко всему

Все это относит нас к фундаментальной проблеме любой контрразведочной операции: множество точек доступа. Которые нужно мониторить. Даже если бы было возможным сделать сети компании более защищенными, атакующие просто выбрали бы другой путь - например тот, что ведет через постель, как уяснил несколько недель тому назад один из работников немецкой медицинской фирмы.

Сначала он не мог нарадоваться тому, что у него завязалось знакомство с прекрасной китаянкой. Молодая и привлекательная, и самое главное – он был ей интересен. Уже потом, когда он был скомпрометирован и шантажирован фотографиями, прекрасная китаянка заставила менеджера понять, что же случилось на самом деле. Он попал в так называемую "honey trap" – старый шпионский трюк.

Жертве пришлось предоставить информацию об одном из успешных продуктов, производимых его компанией. Но в этот раз атака провалилась, после того как работник рассказал своему боссу и своей жене о китаянке. Тем не менее случай показательно демонстрирует, что даже в эпоху шпионажа высоких технологий остается по-прежнему слабым одно звено в выведывании секретов – это человеческая сущность. В данном конкретном случае - мужская.

Атакующие используют простые, но эффективные приемы. Например, человек идет в будку для переговоров, называет себя менеджером и случайно роняет что-нибудь рядом с жертвой: например USB-носитель.

Жертва, полагая, что это замечательная возможность, берет флэшку, вставляет в свой компьютер и смотрит что на ней – и таким образом ничего не подозревая, загружает шпионское ПО.

Хакерам нравится комбинировать новые технологии с проверенными временем методиками. Чтобы заслужить доверие потенциальной жертвы, атакующие отыскивают информацию в соцсетях. Проведя в социальных сетях несколько дней, можно собрать нужную информацию гораздо быстрее, чем потратить на это время в реальности.

Предпочтения. Контакты, друзья и даже намеки на возможные комбинации для паролей для аккаунтов к электронной почте или сетям в компании – все это можно найти в профилях Facebook и в соцсети Xing.

Скоординированная оборона

Эта форма шпионажа – через узнавание окружения и личных данных – называется социальным инжинирингом. Вместе со взломом она является одним из важнейших инструментов в деятельности спецслужб. Но, как сообщает исследование консалтинговой фирмы Corporate Trust, только каждый четвертый работник немецкой компании подготовлен к такого типа угрозе.

По факту, работники в большинстве компаний просто думают, что IT-отдел как-нибудь там справится с проблемами безопасности самостоятельно. В большинстве компаний даже не до конца понятно какие данные являются особенно важными и уязвимыми – то, что инсайдеры называют "бриллиантами с короны" компании. И только одна из каждых пяти компаний делает необходимый анализ для самой себя.

Проблема для немецких спецслужб заключается в том, что он инее знают, что именно вторится в самой компании. Компании, и правда, держат язык за зубами и сообщают только о 20% от общего количества случаев промышленного шпионажа в службу BfV.

Чтобы указать на эту проблему, Георг – эксперт по кибербезопасности из Баварии, постоянно работает над тем, чтобы завоевать доверие компаний малого и среднего бизнеса. "Самым ужасным в нынешней ситуации является то, что каждая компания действует сама по себе", - говорит он, "и никто не знает, что происходит у соседа". Это значит, что атакующие могут воспользоваться той же самой уловкой, чтобы получить доступ к нескольким компаниям, и никто из них даже не поймет, что случилось. Баварское разведагентство совсем недавно начало собирать анонимную информацию об атаках от самих компаний.

Когда дело доходит до шпионажа, то отношения между государственными агентствами и компаниями, а также между политическими силами и бизнес-сообществом, пропитанные годами недоверия – замыкаются в порочный круг. Компании понимают, что внутреннее министерство и служба BfV уделяют недостаточно внимания проблеме. В то же время, разведагентства настроены критически по отношению к отрасли, заявляя, что компании предоставляют слишком мало информации о хакерских атаках и возможных случаях промышленного шпионажа.

Хартфрид Вольфт, эксперт по внутренней политике в поддерживающей бизнес политической партии свободных демократов (FDP), полагает, что Германия находится в худшей позиции, что касается вопросов защиты в отношении промышленного шпионажа. А малый и средний бизнес в особенности. "Университеты и другие исследовательские лаборатории также нуждаются в более существенной защите", - сказал он.

Но с тех пор как появились новости о широкой шпионско-разведывательной деятельности АНБ, углы кажется, начинают сглаживаться. К концу августа представители обеих сторон намереваются подписать соглашении о защите бизнеса. Эти планы включают в себя создание Интернет-платформы, на базе которой компании и правительство смогут обмениваться информацией о возможных атаках. "Цель состоит в том, чтобы предупреждать друг друга, так, чтобы вовремя закрывать бреши в безопасности", - заявляет глава IT-отдела одной из крупных немецких фирм.

Кроме того, министром внутренних дел Ганцом-Петером Фридрихом подготавливается закон о предупреждениях в IT-сфере, но он получил слабую поддержку. Согласно предлагаемому решению, компании, обнаружившие атаку на свои компьютерные системы, должны немедленно сообщить об этом. Но бизнес-сообщество полагает, что на данный момент идея закона проработана слабо. И что собирается делать господин министр внутренних дел со всем этим ворохом данных, спрашивает глава безопасности одного из подрядчиков в сфере обороны? Он назвал предлагаемый закон "шуткой", заключая, что он в очередной раз доказывает беспомощность законодателей.

Так называемая инициатива Safe Harbor Framework – соглашение между Соединенными Штатами и Европейским Союзом, подписанное в 2001 году, и призванное регулировать секретность данных компаний из США, действующих в Европе становится особенно уязвимым.

Согласно этой инициативе, компании из США могут более или менее свободно соглашаться на подчинение определенным правилам секретности данных, когда они собирают и хранят информацию об европейских гражданах. Тогда безопасность в рамках Harbor Framework рассматривалась как гарант качества, согласно которому власти США должны проводить сертификацию и осуществлять должным образом мониторинг.

Более чем 3000 компаний из США – включая таких гигантов как Google, Facebook и Microsoft – уже поставили свою подпись, соглашаясь соблюдать правила. Это позволило им (с соглашения ЕС) хранить, обрабатывать и собирать миллиарды наборов персональных данных граждан ЕС.

Однако, в 2004 году исследование, сделанное Еврокомиссией обнаружило, что мониторинга по поводу соответствия правилам хранения данных не осуществлялось – особенно в Соединенных Штатах. В то время американцы пообещали улучшить ситуацию.

Второе исследование появилось четыре года спустя, и было сделано при посредничестве Бельгийского университета совместно с американскими и норвежскими исследователями. Это 192-страничное исследование в отличие от 2004 года, было доступно узкому кругу экспертов.

Сегодня ЕС заявляет, что оно включило исследование в свое определение инициативы Safe Harbor. Но менеджеры крупнейших немецких корпораций подозревают, что за умалчиванием этого исследования стояли другие мотивы. Они полагают, что результаты исследования были настолько разочаровывающими, что это соглашение должно было быть разорвано уже давно.

В исследовании авторы весьма твердо делают вывод, что официальные представители из США относятся к соблюдению необходимых правил по поводу личных данных "еще хуже", чем в 2004 году. К примеру, в отчете заявляется, что соответствующая проверка и соблюдение соответствий в части личных данных со стороны властей США было "полностью неадекватным". И в этих случаях вряд ли накладывались какие-либо санкции в отношении властей США.

Но сейчас еврокомиссар по юстиции Вивьен Рединг считает, что уже хватит. По ее словам, соглашение является скорее "ловушкой, нежели убежищем для наших граждан". Рединг больше не считает возможным одностороннее соблюдение соглашения.

Спрос на защищенные телефоны растет

Согласно Патриотическому Акту США от 2001 года, власти США могут получить доступ к любым данным, относящимся к их государству – частным и коммерческим в том числе. И даже более ТОО – от разработчиков софта могут потребовать создавать бэкдоры - или "интерфейсы"- через которые разведагентсва могут иметь доступ к программам. Разработчики также должны подписать нераскрываемое соглашение и наложить запрет на своих топ-менеджеров по вопросам характера их работы.

Но на данный момент опасений по поводу того ,что закупаемое в США программное обеспечение может содержать лазейки для спецслужб, у SAP нет. Даже если у SAP нет доступа к исходникам, компания нанимает на стороне компании, специализирующиеся на поиске «дыр» еще до совершения покупки. После того, внутренний департамент SAP проверяет исходный код. "Вам нужно быть чертовски хитрым, чтобы заполучить их", - говорит Гордон Мюль, глава отела безопасности в SAP.

Но опасные утечки могут появиться в интерфейсах сразу же как только различные программы начнут координировать свою работу друг с другом или когда антивирусное обеспечение перестает обновляться. "Тысячи систем в SAP, имеющие выход в Интернет, не являются такими уж свежими", - говорит Александр Поляков из ERPScan - компании по IT-безопасности. "Они становятся лазейками для воров и шпионов".

Кое-кто тоже преуспел ан волне бума по поводу безопасности. Это, например, Secusmart – компания, располагающаяся в Дюссельдорфе, и специализирующаяся на создании защищенных от прослушки телефонах. Среди клиентов компании – канцлер Ангела Меркель.

Через несколько недель, Secusmart предоставит немецкому правительству обычные Blackberry, которые работают со специальной картой размером с ноготь. Когда абонент говорит в микрофон телефона, слова шифруются. В то же самое время устройством можно пользоваться как обычным смартфоном.

С момент как на поверхность всплыли методы слежки АНБ, Secusmart зарегистрировала растущий интерес к защищенным телефонам собственного производства. "В прошлом, компании часто не верили нам, когда мы говорили, что не так уж просто прослушать телефонные звонки, но это случилось", - говорит Йорг Горонзи, главный отдела продаж в Secusmart. "Скандал с утечкой данных открыл многим глаза".

Но, добавляет Горонзи, это еще не самое лучшее: чтобы эффективно защитить саму себя, компания собирается не только обеспечить защищенными от прослушки мобильниками топ-менеджеров и менеджеров, но даже секретарей и помощников. Система шифрования работает только когда и у звонящего и принимающего звонок есть защищенный телефон. По этой причине, Secusmart заявляет, что крупным корпорациям имеет смысл закупать телефоны на сотрудников от 500 до 1000 человек по весьма бодрой цене в 2500 евро.