Инженеры британских атомных подводных лодок используют программное обеспечение, разработанное в России и Беларуси в нарушение правил Министерства обороны. Об этом пишет The Telegraph в материале под названием «Программное обеспечение для британских атомных подводных лодок создано беларусскими инженерами».
Reform.news приводит его перевод с английского.
Программное обеспечение должно было быть создано британскими сотрудниками, имеющими допуск, но его разработка была частично передана разработчикам в Сибири и столице Беларуси Минске.
Существуют опасения, что код, созданный российскими и беларусскими разработчиками, может быть использован для раскрытия местоположения британских подводных лодок.
Как пишет The Telegraph, Министерство обороны сочло брешь в системе безопасности серьезной угрозой для обороны Великобритании и начало расследование.
В ходе расследования выяснилось, что фирма, которая передала работу по созданию интранета для инженеров атомных подводных лодок России и Беларуси, изначально держала ее в секрете и обсуждала, можно ли скрыть местонахождение работников, дав им вымышленные имена умерших британцев.
Есть опасения, что под угрозой оказался не только подводный флот Великобритании, но и другие оборонные мощности, поскольку выяснилось, что предыдущий проект также был передан на аутсорсинг разработчикам в Минске.
Национальная безопасность под угрозой
В пятницу эксперты предупредили, что национальная безопасность Великобритании может оказаться под угрозой, если личные данные людей, обладающих секретными сведениями о британском атомном подводном флоте, попадут в чужие руки, что сделает их уязвимыми для шантажа или целенаправленных атак.
Бен Уоллес, бывший министр обороны, заявил, что нарушение «потенциально может привести к подрыву нашей национальной безопасности». «Снова и снова такие страны, как Китай и Россия, нацеливаются на цепочки поставок наших оборонных подрядчиков. Это не новое явление», — добавил он.
Джеймс Картлидж, теневой министр обороны, заявил, что «абсолютным императивом» является обеспечение «полной устойчивости и безопасности наших самых чувствительных оборонных программ».
Компания Rolls-Royce Submarines, которая проектирует и управляет атомным подводным флотом Великобритании от имени Королевского военно-морского флота, хотела обновить свою внутреннюю сеть для сотрудников и поручила эту работу WM Reply, консалтинговой фирме по цифровым технологиям.
WM Reply затем использовала разработчиков из Беларуси — ближайшего союзника России, один из которых фактически работал из дома в Томске, Сибирь, согласно документам, представленным на расследование МО.
Интранет-система включала персональные данные всех сотрудников Rolls-Royce Submarines, а также организационную структуру тех, кто работает на подводном флоте Великобритании.
Летом 2020 года сотрудники WM Reply начали бить тревогу по поводу последствий использования беларусских сотрудников для проекта с точки зрения безопасности и предложили проинформировать Rolls-Royce.
К ноябрю собрание коллектива — стенограмма которого была предоставлена следователям МО — выявило серьезные опасения некоторых сотрудников.
Но начальство сказало им, что не нужно «паниковать» и что Rolls-Royce не следует информировать, поскольку существует риск, что она может отменить проект, если узнает об этом.
Только весной 2021 года, когда об опасениях сообщили непосредственно в Rolls-Royce, было начато расследование. Летом 2022 года этот вопрос был доведен до сведения МО, что послужило поводом для дальнейшего расследования, которое завершилось в феврале прошлого года.
Доктор Марион Мессмер, старший научный сотрудник аналитического центра Chatham House, заявила, что разрешение беларусским и российским разработчикам работать над подобными проектами представляет собой явный «риск для национальной безопасности».
По ее словам, любые злоумышленники, получившие доступ к личным данным тех, кто работает на подводном флоте Великобритании, могут подвергнуться риску «шантажа или целенаправленной атаки».
«Со стратегической точки зрения подводные лодки хороши тем, что их очень трудно обнаружить и они очень мобильны. Если бы у кого-то был доступ к системе слежения, показывающей, где постоянно находятся подводные лодки, это дало бы им огромное стратегическое преимущество — при планировании атаки на Великобританию они могли бы сначала нацелиться на атомные подводные лодки и вывести из строя Trident».
Представитель Rolls-Royce сказал: «Мы можем категорически заявить, что ни разу не было риска доступа к данным, секретным или иным, или предоставления их лицам, не имеющим допуска к безопасности. Лица, не прошедшие проверку на благонадежность, не могут получить доступ к каким-либо секретным данным через нашу корпоративную сеть. Он используется для предоставления обновлений по бизнесу, поддержки благополучия и канала для сотрудничества между нашими коллегами.
Все наши поставщики соблюдают строгие требования безопасности. Как только нам стало известно об этих обвинениях, которые явно нарушали эти требования, и после тщательного внутреннего расследования, которое завершилось в 2021 году, Rolls-Royce Submarines прекратила сотрудничество с WM Reply. Мы не заключали с ними никаких новых контрактов».
Rolls-Royce заявила, что перед внедрением в свою сеть любого кодирования проводила полную проверку ИТ-безопасности. В компании уверены, что сотрудники WM Reply и их субподрядчики не имели доступа к информации на защищенных серверах.
Представитель WM Reply опроверг утверждение о том, что ее действия могли поставить под угрозу национальную безопасность.
«WM Reply регулярно пересматривает свои процессы и процедуры доставки, уважает потребности и процессы своих клиентов и поддерживает с ними прозрачные и долгосрочные отношения», — заявили они.
Представитель МО сказал: «Этот вопрос был полностью расследован Rolls-Royce. По их словам, целостность системы ни разу не была нарушена».
Как российская связь с программным обеспечением подводных лодок держалась в секрете
Прошло несколько минут после селекторного совещания между сотрудниками WM Reply, когда один из них подытожил опасения участников совещания.
«Мы говорим о серьезных вещах, это наша защита… Это может испортить компанию, если выйдет наружу», — сказал он.
Получив контракт от Rolls-Royce Submarines на модернизацию интранета, команда цифровой консалтинговой компании большую часть разговора пыталась придумать, как скрыть тот факт, что секретные работы будут выполняться разработчиками из Беларуси — союзника России, настолько близкого, что его можно назвать вассальным государством.
Как сказал один из них: «Я думаю, что как только мы упомянем Минск… думаю, они просто ахнут!».
Во время мозгового штурма один из сотрудников предложил WM Reply скрыть участие офшорных разработчиков, скрыв их беларусскоязычные имена. Этого можно добиться, предположили они, используя вместо этого имена «мертвых людей в Великобритании».
Видеоконференция Microsoft Teams, состоявшаяся в ноябре 2020 года, оказалась в центре разоблачений о том, что выполнение особо важных работ было передано на аутсорсинг людям из Беларуси и России.
Компания Rolls-Royce Submarines, управляющая британским флотом атомных подводных лодок по поручению Министерства обороны, оговорила, что работы по модернизации ее интранета должны выполняться только лицами, имеющими допуск к UK-brd-безопасности .
Тем, кто работал над проектом для WM Reply в Великобритании и имел допуск, было сказано, что они должны получить консультацию перед поездкой в некоторые страны, где действуют «особые ограничения безопасности», в том числе в Беларусь и Россию.
Teams call — стенограмма которого была передана следователям МО — состоялся в конце фазы «обнаружения» работы и всего за несколько дней до официального начала проекта. К этому моменту некоторым из тех, кто работал над проектом в WM Reply, стало неудобно использовать кодеров из офиса в Минске, что явно противоречило инструкциям МО.
Старшие менеджеры WM Reply обсуждали различные варианты того, как скрыть личности беларусских кодеров от Rolls-Royce, например, поручить одному британскому разработчику скомпилировать все программное обеспечение, которое было произведено в Беларуси, чтобы все выглядело так, будто весь код был создан в Великобритании.
Другой сотрудник, участвовавший в разговоре, заявил, что Rolls-Royce нельзя рассказывать о беларусских разработчиках, сказав: «Мы не можем сказать им, что мы это делаем, к сожалению».
Другой член команды спросил, почему, если они не делают ничего плохого, Rolls-Royce не может быть проинформирован?
Более высокопоставленный член команды предостерег от передачи проблем на более высокий уровень руководства, заявив, что это может привести к тому, что они решат «полностью отключить» проект и рискуют потерять контракт на полмиллиона фунтов.
Они продолжили успокаивать других членов команды, утверждая, что риск «минимален», поскольку они уже выполняли предыдущие проекты для Rolls-Royce, используя разработчиков в Минске, без каких-либо проблем.
Они утверждали, что могут сделать все «безопасно», чтобы минская команда «даже не знала, над чем работает», и просили сотрудников перестать «доводить друг друга до паники» по этому поводу.
После встречи старший сотрудник WM Reply сообщил команде, что они поговорили с подрядчиком из Rolls-Royce, который выразил готовность предоставить возможность оффшорным работникам без допуска к секретной информации принять участие в проекте «там, где это необходимо для достижения ускоренных сроков и только в среде WM».
Однако, согласно документам, изученным МО, Rolls-Royce не было прямо заявлено, что речь идет об использовании рабочих из Беларуси или России.
Согласно документам, представленным на расследование МО, утверждалось, что WM Reply хотела использовать разработчиков из офиса в столице Беларуси Минске, чтобы сократить расходы. Утверждалось, что разработчики в Беларуси обошлись бы «значительно дешевле», чем в Великобритании, поэтому найм их для проекта — общей стоимостью около полумиллиона фунтов — «увеличил бы маржу прибыли».
Доктор Марион Мессмер, старший научный сотрудник аналитического центра Chatham House, заявила, что работы по разработке ИТ и программного обеспечения все чаще передаются на аутсорсинг агентствам в таких странах, как Беларусь, Россия, Польша и Украина, что «делается в качестве меры по сокращению расходов».
«Это может быть совершенно безобидно, но становится огромной проблемой для безопасности, если речь идет о работе над критически важной национальной инфраструктурой», — сказала она.
Джеймс Картлидж, теневой министр обороны, сказал: «Страна должна быть уверена, что делается все возможное, чтобы разобраться в этом».
«Чрезмерная зависимость от определенных поставщиков»
Г-н Картлидж, бывший министр оборонных закупок, сказал, что, когда он работал в МО, чиновники рассматривали цепочки поставок, в частности вопрос о том, чтобы Великобритания не стала «чрезмерно зависимой от определенных поставщиков товаров, имеющих важное значение для нашей критической инфраструктуры».
Эд Арнольд, сотрудник Королевского института обороны и исследований в области безопасности (Royal United Services Institute for Defence and Security Studies), считает, что в данном случае существует «главная угроза безопасности», связанная с государственным саботажем, а также возможность попадания информации в руки злоумышленников.
«Проблема с данными в наши дни в том, что их можно довольно быстро и легко сохранить. Как только вы потеряете контроль над данными, вы не сможете их вернуть», — сказал он.
«Это даст государственному деятелю неплохую отправную точку для разведки. Если вы хотите скомпрометировать системы, вам нужно сначала выяснить, на кого нацелиться. Если вы можете получить набор данных, который сделает предварительный отбор за вас, это означает, что последующие подходы и целевые предложения будут более продуктивными».
Он отметил, что Россия, ближайший союзник Беларуси, является одной из «главных» угроз национальной безопасности Великобритании. «Угроза складывается из потенциала, возможностей, намерений — у них есть все это», — сказал он.
Министерство обороны должно задаться вопросом: «А что, если бы не было информатора?». Это не МО выявило проблему, это не Rolls-Royce. Если бы его не предупредили об этом, потенциально существовала бы уязвимость, которую можно было бы использовать и эксплуатировать в течение более длительного периода времени».
Уверенность в безопасности
Компания Rolls-Royce, которая начала расследование произошедшего после того, как весной 2021 года к ней обратились напрямую по этому вопросу, заявила, что уверена в безопасности своей внутренней сети.
Представитель компании заявил, что все программное обеспечение или разработки, переданные на субподряд, включая готовые программные пакеты, проходят строгую проверку на безопасность, прежде чем рассматриваются для использования.
Компания заявила, что ежегодно проводит «проверку здоровья» всех своих сетей и регулярно участвует в учениях с Национальным центром кибербезопасности, чтобы обеспечить безопасность сетей.
Представитель WM Reply заявил, что компания отрицает утверждение о том, что ее действия могли поставить под угрозу национальную безопасность. «WM Reply регулярно пересматривает свои процессы и процедуры доставки, уважает потребности и процессы своих клиентов и поддерживает с ними прозрачные и долгосрочные отношения», — говорится в сообщении.
Джорджина Хэлфорд-Холл, исполнительный директор организации Whistleblowers UK, сказала: «Здесь было несколько осведомителей, которые поступали правильно и высказывали свои опасения».
«В подобном случае можно было бы ожидать, что компания отнесется к делу серьезно и будет действовать в соответствии с доказательствами, предоставленными осведомителем. Но вместо того, чтобы принять меры, они закрыли компанию. Информаторы чувствовали себя проигнорированными, отстраненными и преследуемыми своим работодателем».
Она входит в число тех, кто выступает за принятие законов о разоблачении, которые могут привести к штрафам на миллионы фунтов стерлингов для компаний за попытку сокрытия информации.
Министров призывают поддержать законопроект о разоблачении, который также запретит соглашения о неразглашении информации и создаст новый трибунал, в котором будут рассматриваться дела о раскрытии информации.
Предыдущие версии законопроекта о разоблачении, которые были внесены как в Палату общин, так и в Палату лордов, получили поддержку со стороны высокопоставленных деятелей Лейбористской партии, включая Маргарет Ходж и лорда Брауна, который был министром обороны при сэре Тони Блэре и Гордоне Брауне.
Участники кампании надеются, что законопроект, который защитит информаторов от уголовного или гражданского преследования, получит поддержку правительства Кира Стармера.
Действующий режим информирования о нарушениях позволяет работникам подавать иск в трудовой суд против своей организации, если их уволили или с ними несправедливо обошлись на работе из-за того, что они сделали «защищенное раскрытие» информации о правонарушении.
Эти меры защиты были установлены в Законе о раскрытии информации, представляющей общественный интерес, 1998 года (PIDA), но многих отпугивает цена и сложность системы. Законопроект предусматривает компенсацию людям за любые убытки, которые они понесли, например, были уволены с работы, в результате того, что они сообщили о нарушениях.
В нем также будет создан регулирующий орган — Офис информаторов — для расследования случаев раскрытия информации под защитой. Оно будет устанавливать минимальные стандарты для политик информирования о нарушениях на рабочих местах, контролировать и обеспечивать их соблюдение, а также возбуждать судебные дела.
Гражданские санкции — максимальный штраф в размере 10 процентов от оборота компании до 18 миллионов фунтов стерлингов — будут взиматься с тех, кто не выполняет предписание Управления по раскрытию информации. Кроме того, в законопроект включено новое уголовное преступление, связанное с нанесением ущерба осведомителю, максимальный срок тюремного заключения по которому составляет 18 месяцев.
Г-жа Хэлфорд-Холл также призывает надзорный орган, который контролирует профессиональное поведение юристов, обеспечить, чтобы юридическим фирмам не разрешалось содействовать сокрытию вопросов национальной безопасности.
«Пора бы SRA (Управление по регулированию деятельности адвокатов) прекратить ходить вокруг да около и выдвинуть значимые правила и серьезные последствия для юристов», — сказала г-жа Хэлфорд-Холл. «Каждый юрист должен быть обязан сообщать о проблемах национальной безопасности или других вопросах защиты в соответствующие регулирующие органы и/или полицию».
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
