Британські інженери атомних підводних човнів використовують програмне забезпечення, розроблене в росії та білорусі, всупереч правилам Міністерства оборони, – інформує британська The Telegraph.
Програмне забезпечення мало бути створене британським персоналом з допуском до секретної інформації, але його розробка була частково передана на аутсорсинг розробникам із Сибіру і мінська. Існують побоювання, пише видання, що код, створений російськими та білоруськими розробниками, може бути використаний для розкриття місцеперебування британських підводних човнів.
The Telegraph розуміє, що Міністерство оборони вважало порушення безпеки серйозною загрозою для оборони Великої Британії і розпочало розслідування. Розслідування виявило, що фірма, яка передала роботу над інтранет-мережею для інженерів атомних підводних човнів у росію та біларусь, спочатку тримала її в таємниці й обговорювала, чи зможе вона приховати місцезнаходження працівників, надавши їм фальшиві імена загиблих британців.
Окрім підводного флоту Великої Британії, існують побоювання, що подальші оборонні можливості могли бути скомпрометовані, оскільки з'ясувалося, що попередній проєкт також був переданий на аутсорсинг розробникам у мінську.
Національна безпека під загрозою. Хто віддав розробку росіянам на аутсорс
У п'ятницю експерти попередили, що національна безпека Великої Британії могла опинитися під загрозою, якби особисті дані осіб, які володіють секретною інформацією про британський атомний підводний флот, потрапили в чужі руки, що зробило б їх вразливими до шантажу або цілеспрямованих атак (радимо подивитися 1-й сезон британського серіалу "Чергування" (Vigil), щоб краще зрозуміти про що йдеться – iPress).
Колишній міністр оборони Бен Воллес заявив, що цей витік "потенційно зробив нас вразливими до підриву нашої національної безпеки". Він додав: "Знову і знову такі країни, як Китай і росія, атакують ланцюги постачання наших оборонних підрядників. Це не нове явище".
Тіньовий міністр оборони Джеймс Картлідж сказав, що "абсолютним імперативом" є забезпечення "повної стійкості і безпеки британських найбільш чутливих оборонних програм".
The Telegraph стверджує, що компанія Rolls-Royce Submarines, яка від імені Королівського військово-морського флоту Великої Британії обслуговує флот атомних підводних човнів, хотіла модернізувати інтранет для своїх співробітників і уклала субпідрядний договір з WM Reply, консалтинговою компанією в галузі цифрових технологій.
WM Reply тоді використовував розробників з білорусі – найближчого союзника росії – один з яких, згідно з документами, наданими на запит Міноборони, фактично працював з дому в Томську в Сибіру, а інший – у москві.
Підводний флот Великої Британії. Ризики для безпеки
Усі британські підводні човни – атомні. Деякі з них несуть ядерні ракети, але всі вони мають ядерні реактори, встановлені для приведення в рух.
Флот Підводного флоту поділяється на два типи: ударні підводні човни і балістичні ракетоносці.
Чотири підводні човни з балістичними ракетами класу "Авангард", введені на озброєння із середини 1990-х років, є носіями ядерних сил стримування Великої Британії.
Один із чотирьох "бумерів" перебуває на патрулюванні 24 години на добу, 365 днів на рік.
Хоча "Авангарди" несуть відносно невелику кількість торпед для самооборони, їхнє основне озброєння складається з 16 балістичних ракет Trident II D5, кожна з яких оснащена ядерною боєголовкою британського виробництва.
Їхнє похмуре завдання полягає в тому, щоб надати прем'єр-міністру можливість запобігти ядерній війні або відплатити за неї.
Побудовані компанією Vickers Shipbuilding and Engineering у Барроу-ін-Фернесс, Камбрія, "Авангарди" з часом будуть замінені запланованим класом дредноутів, які продовжуватимуть нести ракети Trident до 2060-х років.
Захищають "Авангарди" ударні підводні човни класу Astute, неофіційно відомі як "мисливці-вбивці" Підводної служби.
Ці човни оптимізовані для пошуку ворожих суден і знищення їх за допомогою торпед, кожен із них несе до 38 одиниць зброї Spearfish.
Усі британські підводні човни, окрім одного, базуються на військово-морській базі "Клайд", відомій всьому флоту як "Фаслейн".
Підводний човен HMS Triumph, останній у своєму класі, базується в Плімуті на військово-морській базі "Девонпорт".
Атомний підводний флот Великої Британії
Як повідомляє The Telegraph, інтранет-система містила персональні дані всіх співробітників Rolls-Royce Submarines, а також організаційну структуру тих, хто працює на підводному флоті Великої Британії.
Влітку 2020 року співробітники WM Reply почали бити на сполох щодо наслідків для безпеки використання білоруського персоналу в проєкті і запропонували поінформувати Rolls-Royce. У листопаді на зборах колективу, стенограма яких була надана слідчим Міноборони, з'ясувалося, що деякі працівники серйозно занепокоєні.
Але керівництво сказало їм, що не потрібно "панікувати" і що Rolls-Royce не слід інформувати, оскільки існує ризик, що вона може скасувати проєкт, якщо дізнається про це. Лише навесні 2021 року, коли про занепокоєння повідомили безпосередньо у Rolls-Royce, було розпочато розслідування. Згодом, влітку 2022-го, питання було передано до МО, що спричинило подальше розслідування, яке завершилося у лютому минулого року.
Старша наукова співробітниця аналітичного центру Chatham House докторка Маріон Мессмер заявила, що дозвіл білоруським і російським розробникам працювати над такого роду проєктами становить явний "ризик для національної безпеки". За її словами, будь-які зловмисники, які отримують доступ до персональних даних тих, хто працює на підводному флоті Великої Британії, несуть ризик "шантажу або цілеспрямованої атаки".
"Зі стратегічної точки зору, підводні човни мають ту перевагу, що їх дуже важко виявити і вони дуже мобільні. Якби хтось мав доступ до системи відстеження, яка показує, де знаходяться підводні човни у будь-який час, це дало б йому величезну стратегічну перевагу – плануючи напад на Велику Британію, він міг би найперше націлитися на атомні підводні човни і вивести з ладу "Трайденти", – сказала вона.
Представник Rolls-Royce заявив: "Ми можемо категорично заявити, що в жодному разі не існувало жодного ризику того, що дані, засекречені чи ні, будуть доступні або стануть доступними особам, які не мають допуску до секретної інформації. Особи, які не мають доступу до системи безпеки, не можуть отримати доступ до будь-яких конфіденційних даних через інтрамережу нашої компанії. Вона використовується для надання бізнес-новин, підтримки добробуту та каналу для співпраці між нашими колегами".
"Усі наші постачальники дотримуються суворих вимог безпеки. Після того, як нам стало відомо про ці звинувачення, які явно порушували ці вимоги, і після ретельного внутрішнього розслідування, яке завершилося у 2021 році, Rolls-Royce Submarines припинила співпрацю з WM Reply. Ми не укладали з ними жодних подальших контрактів", – йдеться у заяві компанії.
Rolls-Royce заявила, що провела повну перевірку ІТ-безпеки будь-якого кодування перед тим, як воно було введено в її мережу. Компанія впевнена, що співробітники WM Reply та їхні субпідрядники не мали доступу до інформації на захищених серверах.
The Telegraph пише, що представник компанії WM Reply заперечив твердження, що її дії могли загрожувати національній безпеці. "WM Reply регулярно переглядає свої процеси і процедури доставки, поважає потреби та процеси своїх клієнтів і має прозорі та довгострокові відносини з цими клієнтами", – заявили в компанії.
Прессекретар Міністерства оборони зазначив: "Це питання було повністю розслідувано компанією Rolls-Royce. Як вони заявили, жодним чином не було порушено цілісність системи".
Свідоме приховування. Як російська причетність до програмного забезпечення для підводних човнів трималася в таємниці
Минуло кілька хвилин конференц-зв'язку між співробітниками WM Reply, коли один із них підсумував занепокоєння учасників зустрічі.
"Ми говоримо про серйозні речі, це наш захист... це може зашкодити компанії, якщо це стане відомо", – сказав він.
Вигравши контракт від Rolls-Royce Submarines на оновлення інтранету компанії, команда цифрових консультантів провела більшу частину розмови, намагаючись зрозуміти, як вони можуть приховати той факт, що делікатну роботу мають виконувати розробники з білорусі, союзника росії, настільки близького, що дехто називає її васальною державою.
Як сказав один із них: "Я думаю, щойно ми згадаємо про мінськ... Вони просто скажуть: "Вау!"
Під час мозкового штурму один зі співробітників припустив, що WM Reply може приховати залучення офшорних розробників, приховуючи їхні імена, що звучать як білоруські. Цього можна було б досягти, як було запропоновано, використовуючи замість них імена "померлих людей у Великій Британії".
Відеоконференція Microsoft Teams, яка відбулася в листопаді 2020 року, є центром викриттів про те, як дуже чутлива робота була передана на аутсорсинг людям з білорусі та росії.
Компанія Rolls-Royce Submarines, яка керує британським флотом атомних підводних човнів від імені Міністерства оборони, обумовила, що роботи з модернізації її інтрамережі повинні виконуватися лише особами, які мають допуск до секретної інформації, що базується у Великій Британії.
Тим, хто працював над проєктом для WM Reply у Великій Британії і мав допуск, було сказано, що вони повинні отримати консультацію перед поїздкою до певних країн, де діють "особливі обмеження безпеки", до яких належать білорусь і росія.
Розмова з командою, стенограма якої була передана слідчим Міноборони, відбулася наприкінці етапу "відкриття" роботи і за кілька днів до офіційного початку проєкту. На той момент деякі з тих, хто працював над проєктом у WM Reply, почали відчувати дискомфорт через використання програмістів, які працювали з офісу в мінську, що явно суперечило інструкціям МО.
Керівництво WM Reply обговорювало різні варіанти того, як приховати особи білоруських програмістів з Rolls-Royce, наприклад, доручити одному британському розробнику скомпілювати все програмне забезпечення, вироблене в білорусі, щоб виглядало так, ніби весь код був створений у Великій Британії.
Інший співробітник, який відповів на дзвінок, заявив, що Rolls-Royce не можна розповідати про білоруських розробників, сказавши: "Ми не можемо сказати їм, що ми це робимо, на жаль".
Інший член команди запитав, чому, якщо вони не роблять нічого поганого, Rolls-Royce не можуть бути проінформовані?
Старший член команди застеріг від ескалації занепокоєння на вищому рівні керівництва, заявивши, що це може призвести до того, що вони вирішать "повністю висмикнути вилку" з проєкту і ризикують втратити контракт вартістю пів мільйона фунтів стерлінгів.
Вони продовжували заспокоювати інших членів команди, стверджуючи, що ризик "мінімальний", оскільки вже виконували попередні проєкти для Rolls-Royce, використовуючи мінських розробників без жодних проблем. Вони також стверджували, що можуть зробити так, щоб мінська команда "навіть не знала, над чим працює", і попросили співробітників припинити "розмовляти один з одним про паніку" з цього приводу.
Після зустрічі старший співробітник WM Reply повідомив команді, що вони розмовляли з підрядником Rolls-Royce, який зазначив, що він був би радий, якби офшорні робітники без допуску брали участь у проєкті, "якщо це необхідно для досягнення прискорених термінів і тільки в середовищі WM".
Однак, згідно з документами, вивченими Міноборони, компанії Rolls-Royce не було прямо заявлено, що це передбачає використання робітників з білорусі або росії.
Крім того, згідно з документами, наданими на запит МО, WM Reply хотіла використати розробників з офісу в білоруській столиці мінську, щоб скоротити витрати. Розробники в білорусі коштували б "значно дешевше", ніж у Великій Британії, тому укладення з ними контракту на проєкт загальною вартістю близько пів мільйона фунтів стерлінгів "збільшило б маржу прибутку".
Старша наукова співробітниця аналітичного центру Chatham House Д-р Маріон Мессмер зазначила, що ІТ-розробки та розробка програмного забезпечення все частіше передаються на аутсорсинг агентствам в таких країнах, як білорусь, росія, Польща та Україна, що "робиться як захід зі скорочення витрат".
"Це може бути абсолютно нешкідливим, але це стає величезною проблемою для безпеки, якщо йдеться про роботу над критично важливою національною інфраструктурою", – сказала вона.
Проблема з даними. Надмірна залежність від певних постачальників
The Telegraph зазначає, що колишній міністр оборонних закупівель пан Картлідж розповів, що коли він працював у Міністерстві оборони, чиновники вивчали ланцюги поставок, зокрема, питання забезпечення того, щоб Велика Британія не стала "надмірно залежною від певних постачальників товарів, які є важливими для нашої критичної інфраструктури".
Ед Арнольд з Королівського інституту об'єднаних сил заявив, що в цьому випадку існує "головна загроза безпеці", пов'язана із саботажем, що фінансується державою, а також потенційна можливість потрапляння інформації до рук злочинців. "Проблема з даними в наші дні полягає в тому, що ви можете зберігати їх досить швидко і легко. Як тільки ви втрачаєте контроль над даними, ви не можете отримати їх назад", – сказав він.
"Це дає державним суб'єктам досить хорошу відправну точку для розвідки. Якщо ви хочете скомпрометувати системи, вам потрібно спочатку вирішити, на кого націлитися. Якщо ви можете отримати набір даних, який зробить попередній відбір за вас, це означає, що наступні підходи і цільові подачі будуть більш продуктивними", – додав Арнольд.
Він сказав, що росія, найближчий союзник білорусі, є однією з "першочергових" загроз національній безпеці Великої Британії. "Загроза складається з потенціалу, можливостей, намірів – у них є все", – підкреслив він.
The Telegraph наголошує, що Міністерство оборони повинно запитати себе: "А що, якби не було викривача?" Це не МО виявило проблему, це не Rolls-Royce. Якби його не попередили про це, потенційно існувала б вразливість, яку можна було б використовувати й експлуатувати протягом більш тривалого періоду часу.
Впевнені у безпеці. Як проігнорували викривачів
Компанія Rolls-Royce, яка розпочала розслідування після того, як навесні 2021 року до неї безпосередньо звернулися з цим питанням, заявляє, що впевнена у безпеці своєї інтрамережі.
The Telegraph зазначає, що представник компанії заявив, що все програмне забезпечення або роботи з розробки, які були передані на субпідряд, включно з "готовими" програмними пакетами, пройшли ретельне тестування на безпеку, перш ніж були прийняті до використання.
Компанія стверджує, що щорічно проводить "перевірку стану здоров'я" ІТ-технологій у всіх своїх мережах і регулярно бере участь у навчаннях з Національним центром кібербезпеки, щоб гарантувати безпеку мереж.
Речник WM Reply заявив, що компанія заперечує звинувачення в тому, що її дії могли загрожувати національній безпеці. "WM Reply регулярно переглядає свої процеси і процедури доставки, поважає потреби та процеси своїх клієнтів і має прозорі та довгострокові відносини з цими клієнтами", – йдеться в повідомленні.
Виконавча директорка Whistleblowers UK Джорджина Халфорд-Холл зазначила: "Тут було багато викривачів, які робили правильні речі і висловлювали занепокоєння. У подібних випадках можна було б очікувати, що компанія серйозно поставиться до справи і діятиме на основі доказів, наданих викривачами. Але замість того, щоб відреагувати на занепокоєння, вони закрили справу. Викривачі відчули, що їх проігнорували, відсунули на другий план і стали мішенню для переслідування з боку роботодавця".
Вона є однією з тих, хто проводить кампанію за закони про викриття, які можуть призвести до того, що компанії будуть оштрафовані на мільйони фунтів стерлінгів за спроби приховування фактів. Міністрів закликають підтримати законопроєкт про викривання, який також заборонить угоди про нерозголошення і створить новий трибунал, де розглядатимуться справи про викривання.
Учасники кампанії сподіваються, що законопроєкт, який захистить викривачів від кримінальних або цивільних позовів, буде підтриманий урядом сера Кейра Стармера.
Джерело: The Telegraph
