Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Oprogramowanie do systemów komunikacyjnych armii USA pisali rosyjscy programiści…
Oto podręcznikowy przykład zagrożeń związanych z outsourcingiem. Amerykańscy prywatni wykonawcy systemów telekomunikacyjnych pracujący dla Pentagonu, w celu obniżenia własnych kosztów, do prac programistycznych wynajęli… Rosjan.
NetCracker oraz Computer Sciences Corporation (CSC) — dwie prywatne amerykańskie firmy od lat realizujące zlecenia dla Departamentu Obrony Stanów Zjednoczonych zgodziły się zapłacić blisko 13 milionów USD kary za naruszenie warunków kontraktu.
Sama tylko firma CSC w 2014 roku otrzymała od Pentagonu półtora miliarda dolarów, to jednak nie powstrzymało jej przed pomysłem zwiększenia własnych zysków poprzez nielegalne (w świetle podpisanej umowy) dalsze zlecenie (za pośrednictwem firmy NetCracker) prac programistycznych do Rosji.
W efekcie zamiast obywateli amerykańskich legitymujących się odpowiednim poświadczeniem bezpieczeństwa, nad krytycznym systemem komunikacyjnym armii USA (zarządzanym przez agencję DISA — Defense Information Systems Agency) pracowali rosyjscy programiści.
Cała sprawa wyszła na jaw, gdy inny amerykański rządowy zleceniobiorca powiadomił Pentagon o podejrzewanych nieprawidłowościach. Co ciekawe, pomimo zgody na zapłacenie kary, obie podejrzane o nielegalne działania firmy nadal nie przyznają się do stawianych im zarzutów…
Chociaż brak jakichkolwiek szczegółów technicznych, osoba ujawniająca całe zamieszanie twierdzi również, że prace rosyjskich programistów doprowadziły do co najmniej jednej infekcji systemów należących do agencji DISA.
Walka elektroniczna
Osoby odpowiedzialne za outsourcing prac przy systemach komunikacyjnych armii USA zapomniały najwyraźniej, że walka elektroniczna (ang. electronic warfare) staje się jednym z kluczowych aspektów na współczesnym polu walki.
A jak się okazuje, nawet amerykańskie serwisy twierdzą, że (na przykładzie konfliktu w Syrii) Rosjanie radzą sobie na tym polu znakomicie. Amerykańskie systemy komunikacyjne są bowiem skutecznie zwalczane przez bardzo zaawansowane rosyjskie systemy walki elektronicznej takie jak Krasukha-4.
Czy któryś z rosyjskich programistów sprzedał lub w inny sposób wykorzystał informacje uzyskane podczas prac nad amerykańskimi systemami wojskowymi? Tego na razie nie wiadomo…
Outsourcing
Rozważając outsourcing prac nad własnymi krytycznymi systemami informatycznymi warto z pewnością wziąć pod uwagę powyższą historię. Zazwyczaj w praktyce korzystając z usług zewnętrznego dostawcy nie będziemy dysponowali metodami pozwalającymi na dokładną i systematyczną kontrolę wszystkich jego działań.
Oznacza to, że chronić będą nas jedynie potencjalne odszkodowania uzyskane w przypadku złamania warunków dostarczania danej usługi. Pytanie jednak, czy będą one w stanie zrekompensować wszystkie zagrożenia związane z powierzeniem swych tajemnic zewnętrznej firmie oraz… kolejnym firmom z nią współpracującym.
— Wojciech Smol
Jak byłem w wojsku to WRE (walka radioelektroniczna), wyglądała dosyć staroświecko w porównaniu do tego co jest obecnie.
Mogą tłumaczyć, że przynajmniej nie pisali im tego Chińczycy ;)
Chińczycy natomast dostarczyli hardware… ;-)
W sumie bym się nie zdziwił…
wolny rynek
Pytanie czy firmy, które zleciły outsourcing nie miały „dodatkowych korzyści” ze zlecenia dla ruskich podwykonawców… Trudno mi sobie wyobrazić głupotę na tak dużą skalę. Ciekawe też jak to wygląda w drugą stronę – Francja na przykład sprzedaje do Rosji Mistrale, coś mi się wydaje, że one tez mogą nie być całkiem „czyste”.