Các công tố viên liên bang đã bắt giữ ba kỹ sư ở Thung lũng Silicon với cáo buộc đánh cắp bí mật thương mại về bảo mật chip nhạy cảm từ Google và các công ty khác, rồi chuyển chúng đến các địa điểm trái phép, bao gồm cả Iran, làm dấy lên lo ngại về an ninh quốc gia.
Một bồi thẩm đoàn liên bang tại Tòa án Quận Hoa Kỳ khu vực Bắc California đã đưa ra cáo trạng chống lại Samaneh Ghandali, Soroor Ghandali và Mohammadjavad Khosravi. Theo một tuyên bố từ Bộ Tư pháp, cáo trạng được đệ trình vào thứ Tư và được công bố vào thứ Năm tại San Jose.
Theo Bộ Tư pháp Hoa Kỳ, khi còn làm việc tại Google, Samaneh Ghandali bị cáo buộc đã "chuyển hàng trăm tập tin, bao gồm cả bí mật thương mại của Google, sang một nền tảng liên lạc của bên thứ ba", đến các kênh mang tên riêng của từng bị cáo.
Bản sao của bản cáo trạng đã được công bố chưa có sẵn tại thời điểm viết bài này. Decrypt đã liên hệ với văn phòng liên quan của Bộ Tư pháp để biết thêm thông tin và bình luận.
Ba người này bị cáo buộc đã lợi dụng vị trí làm việc tại Google và hai công ty khác (không nêu tên) để truy cập các tập tin mật liên quan đến bộ xử lý máy tính di động. Theo Bộ Tư pháp Hoa Kỳ, các tài liệu bị đánh cắp bao gồm bí mật thương mại liên quan đến bảo mật bộ xử lý và mật mã, và các tài liệu của Google sau đó đã được sao chép sang các thiết bị cá nhân và thiết bị làm việc liên quan đến các công ty khác nơi các bị cáo làm việc.
Các công tố viên cáo buộc rằng các bị cáo đã tìm cách che giấu hành vi của mình bằng cách xóa các tập tin, phá hủy các bản ghi điện tử và nộp các bản khai có lời khai sai sự thật cho các công ty nạn nhân, phủ nhận việc họ đã chia sẻ thông tin mật ra bên ngoài công ty.
Trong một tình tiết được mô tả trong bản cáo trạng, Bộ Tư pháp Hoa Kỳ cáo buộc rằng vào tháng 12 năm 2023, đêm trước khi đi Iran, Samaneh Ghandali đã chụp khoảng hai chục hình ảnh màn hình máy tính làm việc của một công ty khác, hiển thị thông tin bí mật thương mại.
Trong thời gian ở Iran, một thiết bị có liên quan đến cô ấy được cho là đã truy cập những bức ảnh đó, và Khosravi được cho là đã truy cập thêm các tài liệu bí mật thương mại khác.
Theo Bộ Tư pháp Hoa Kỳ, hệ thống an ninh nội bộ của Google đã phát hiện hoạt động đáng ngờ vào tháng 8 năm 2023 và thu hồi quyền truy cập của Samaneh Ghandali. Bản cáo trạng cáo buộc rằng sau đó bà đã ký một bản tuyên thệ khẳng định mình không chia sẻ thông tin mật của Google ra bên ngoài công ty.
Cả ba bị cáo đều bị buộc tội âm mưu và đánh cắp bí mật thương mại theo luật liên bang, cũng như cản trở công lý theo một đạo luật hình sự hóa hành vi sửa đổi, phá hủy hoặc che giấu hồ sơ hoặc các vật thể khác một cách bất chính nhằm cản trở việc sử dụng chúng trong một thủ tục chính thức.
Tội cản trở công lý có mức án tối đa theo luật định là 20 năm tù.
Các nhà quan sát cho rằng vụ việc này minh họa cách thức việc tiếp cận nội bộ với các hệ thống bán dẫn và mật mã tiên tiến có thể gây ra những hệ lụy đối với an ninh quốc gia.
“Ngay cả khi đã có các biện pháp kiểm soát hiện hành, những nhân viên có quyền truy cập hợp pháp vẫn có thể âm thầm trích xuất các tài sản trí tuệ nhạy cảm theo thời gian”, Vincent Liu, giám đốc đầu tư tại Kronos Research, chia sẻ với Decrypt .
Ông nói thêm rằng rủi ro đối với các công ty bán dẫn và mật mã thường đến từ “những người nội bộ đáng tin cậy, chứ không phải tin tặc”, mô tả rủi ro nội bộ là “một lỗ hổng dai dẳng, mang tính cấu trúc, đòi hỏi sự giám sát liên tục và phân vùng dữ liệu nghiêm ngặt”.
Trong những trường hợp như vậy, “người nội bộ chính là điểm yếu dễ bị tấn công”, Dan Dadybayo, trưởng bộ phận chiến lược tại Horizontal Systems, một nhà phát triển cơ sở hạ tầng mật mã, nói với Decrypt . Ông cho rằng “tường lửa không có tác dụng gì khi phương thức đánh cắp dữ liệu là truy cập hợp pháp”, và lập luận rằng khi các kỹ sư có thể chuyển “kiến trúc, logic quản lý khóa hoặc thiết kế bảo mật phần cứng ra khỏi môi trường được kiểm soát, thì ‘vòng bảo mật’ sẽ sụp đổ”.
Ông Dadybayo cho biết, nếu các tài sản trí tuệ nhạy cảm về bộ xử lý và mã hóa rơi vào tay Iran, các cơ quan quản lý có thể sẽ phản ứng mạnh mẽ.
Ông chỉ ra “việc thực thi chặt chẽ hơn các quy tắc xuất khẩu được coi là xuất khẩu, trong đó việc tiếp cận kiến thức được tính là xuất khẩu” và “các yêu cầu phân vùng, giám sát và cấp phép nghiêm ngặt hơn bên trong các công ty Hoa Kỳ”, đồng thời nói thêm rằng các chip tiên tiến và công nghệ mật mã “không còn được coi là hàng hóa thương mại trung lập” mà là “công cụ quyền lực địa chính trị”.
Vụ việc này cũng cho thấy những khoảng cách giữa việc tuân thủ quy định chính thức và khả năng thích ứng trong thực tế.
“Trong hầu hết các tổ chức công nghệ, rủi ro đánh cắp thông tin được cho là đã được giảm thiểu bằng cách đạt được chứng nhận SOC 2 và ISO,” Dyma Budorin, chủ tịch điều hành tại công ty bảo mật và tuân thủ mật mã Hacken, nói với Decrypt .
Các khuôn khổ như vậy “thường đo lường mức độ trưởng thành về tuân thủ, chứ không phải khả năng chống chịu thực tế trước một kẻ tấn công quyết tâm—đặc biệt là kẻ nội bộ.”
Ông cho biết, chứng nhận chứng minh rằng các biện pháp kiểm soát tồn tại "tại thời điểm kiểm toán", nhưng "nó không chứng minh rằng dữ liệu nhạy cảm không thể bị đánh cắp".
Budorin lập luận rằng, vì các tiêu chuẩn này quy định các biện pháp bảo vệ chung, chúng có thể khiến các biện pháp phòng vệ trở nên dễ dự đoán.
Ông nói thêm rằng đối với những kẻ tấn công tinh vi, "tuân thủ" thường có nghĩa là dễ đoán, đồng thời cảnh báo rằng an ninh thực sự đòi hỏi "xác thực liên tục, giám sát hành vi và thử nghiệm đối kháng", nếu không các tổ chức sẽ có nguy cơ "tuân thủ trên giấy tờ nhưng lại dễ bị tổn thương nghiêm trọng trên thực tế".
