Oprogramowanie do systemów komunikacyjnych armii USA pisali rosyjscy programiści…

Oto podręcznikowy przykład zagrożeń związanych z outsourcingiem. Amerykańscy prywatni wykonawcy systemów telekomunikacyjnych pracujący dla Pentagonu, w celu obniżenia własnych kosztów, do prac programistycznych wynajęli… Rosjan.

NetCracker oraz Computer Sciences Corporation (CSC) — dwie prywatne amerykańskie firmy od lat realizujące zlecenia dla Departamentu Obrony Stanów Zjednoczonych zgodziły się zapłacić blisko 13 milionów USD kary za naruszenie warunków kontraktu.

Fort Meade — kwatera główna agencji DISA (źródło: Disa.mil)

Sama tylko firma CSC w 2014 roku otrzymała od Pentagonu półtora miliarda dolarów, to jednak nie powstrzymało jej przed pomysłem zwiększenia własnych zysków poprzez nielegalne (w świetle podpisanej umowy) dalsze zlecenie (za pośrednictwem firmy NetCracker) prac programistycznych do Rosji.

W efekcie zamiast obywateli amerykańskich legitymujących się odpowiednim poświadczeniem bezpieczeństwa, nad krytycznym systemem komunikacyjnym armii USA (zarządzanym przez agencję DISA — Defense Information Systems Agency) pracowali rosyjscy programiści.

Cała sprawa wyszła na jaw, gdy inny amerykański rządowy zleceniobiorca powiadomił  Pentagon o podejrzewanych nieprawidłowościach. Co ciekawe, pomimo zgody na zapłacenie kary, obie podejrzane o nielegalne działania firmy nadal nie przyznają się do stawianych im zarzutów…

Chociaż brak jakichkolwiek szczegółów technicznych, osoba ujawniająca całe zamieszanie twierdzi również, że prace rosyjskich programistów doprowadziły do co najmniej jednej infekcji systemów należących do agencji DISA.

Walka elektroniczna

Osoby odpowiedzialne za outsourcing prac przy systemach komunikacyjnych armii USA zapomniały najwyraźniej, że walka elektroniczna (ang. electronic warfare) staje się jednym z kluczowych aspektów na współczesnym polu walki.

Krasukha — rosyjski system walki elektronicznej (źródło: vitalykuzmin.net)

A jak się okazuje, nawet amerykańskie serwisy twierdzą, że (na przykładzie konfliktu w Syrii) Rosjanie radzą sobie na tym polu znakomicie. Amerykańskie systemy komunikacyjne są bowiem skutecznie zwalczane przez bardzo zaawansowane rosyjskie systemy walki elektronicznej takie jak Krasukha-4.

Czy któryś z rosyjskich programistów sprzedał lub w inny sposób wykorzystał informacje uzyskane podczas prac nad amerykańskimi systemami wojskowymi? Tego na razie nie wiadomo…

Outsourcing

Rozważając outsourcing prac nad własnymi krytycznymi systemami informatycznymi warto z pewnością wziąć pod uwagę powyższą historię. Zazwyczaj w praktyce korzystając z usług zewnętrznego dostawcy nie będziemy dysponowali metodami pozwalającymi na dokładną i systematyczną kontrolę wszystkich jego działań.

Oznacza to, że chronić będą nas jedynie potencjalne odszkodowania uzyskane w przypadku złamania warunków dostarczania danej usługi. Pytanie jednak, czy będą one w stanie zrekompensować wszystkie zagrożenia związane z powierzeniem swych tajemnic zewnętrznej firmie oraz… kolejnym firmom z nią współpracującym.

— Wojciech Smol