Как Apple борется с утечками — от проверок в Китае до «спецназа для почты»

Совещание, названное «Оставить шпионов — сохранение конфиденциальности в Apple», велось главой отдела международной безопасности Дэвидом Райсом, главой отдела расследований Ли Фридманом, а также Дженни Хабберт, которая работает в команде международных коммуникаций по вопросам безопасности и тренировочном подразделении.

По результатам часового доклада глобальный отдел безопасности Apple рассказал, что ведет целый ряд расследований по всему миру ради предупреждения будущих утечек, как в плане обнаружения заказчиков, будь это конкуренты или пресса, так и в отношении выяснения источника сливов. Некоторые из этих расследований ранее проводились в сотрудничестве с государственными структурами, вроде АНБ, ФБР и армией США.

Брифинг, который показывает, насколько компания озабочена вопросами конфиденциальности, это лишь первое из запланированных в Apple совещаний для сотрудников. На этом Райс и Фридман детально рассказали о том, как в Apple работают над предотвращением утечек, обсудили предыдущие случаи поимки нарушителей и ответили на вопросы почти 100 присутствующих.

Мероприятие начиналось и заканчивалось видеозаписями, которые прерывались словами Тима Кука с презентации новых устройств. В кадре сотрудники Apple рассказывали о негативном отношении к утечкам информации.

Кампанию по усилению секретности запустил Стив Джобс после возвращения в кресло CEO. В 2004 году результатом этих усилий даже стал неудачный судебный иск в адрес ряда блогеров, требующий раскрыть их источники. В 2012 году Тим Кук, который занял место Джобса, объявил об ужесточении контроля за информацией. Эта презентация показывала результаты таких действий.

Грег Джосвяк, глава маркетингового отдела iPod, iPhone и iOS, заявил, что для Кука этот вопрос имеет первостепенную важность. А также добавил косвенную рекомендацию в адрес подчиненных:

«Я твердо уверен, что мы нанимаем умных людей. И конечно же, они собираются делать правильные вещи, а значит — держать язык за зубами»

Чтобы предотвратить нежелательные утечки информации и грамотно расследовать их, компания наняла лучших специалистов. Команду «продакт-безопасности» возглавляет Дэвид Райс. За его плечами четыре года работы в АНБ на должности аналитика сетевых уязвимостей, а также позиция криптолога в американском ВМФ. На Apple он работает уже более шести лет. Его коллега, Ли Фридман, может похвастаться не менее впечатляющим послужным списком: в прошлом он глава отдела расследований киберпреступлений в американской прокуратуре, а также помощник бруклинского прокурора. Он возглавляет международный отдел расследований Apple с 2011 года.

Кроме того, недавно было сформировано подразделение «безопасности новых продуктов», сокращенно NPS. Они работают над предотвращением утечек — область их ответственности простирается от китайских фабрик до американских кампусов. Сотрудники этой команды ранее работали на местные полицейские отделения, ФБР, Секретную службу США и армию. К примеру, Михаэль Ровинс провел восемь лет в качестве секретного агента, а также проработал шесть лет в армейских структурах. Питер Бентли до NPS был руководителем службы безопасности в компании-подрядчике для оборонного комплекса.

Команда специалистов Apple настроена особенно серьезно в отношении поставщиков комплектующих — им посвящена первая часть презентации. Традиционно, именно на стадии производства инсайдеры получают больше всего сведений о новых устройствах, а затем передают их прессе или продают на черном рынке. Но по словам Райса, усилия по ужесточению контроля не прошли даром — теперь количество утечек от поставщиков меньше, чем объем сведений, слитых из кампуса в Калифорнии.

Обратная тенденция впервые появилась в прошлом году. По словам Райса, при оценке их задач стоит учитывать объемы работ, производимых на китайских производствах.

«В среднем, через наши производства проходит до 221 млн людей ежегодно. Для сравнения, посещаемость 25 главных тематических парков мира в год достигает 223 млн. Так что этот как один большой парк развлечений. Люди приходят и уходят на работу, миллиарды деталей носятся туда обратно»

Продавцы с черного рынка обычно настигают сотрудников производства на автобусных остановках и в общежитиях, где расклеивают объявления, обещающие огромные выплаты за компоненты новых устройств. И такая мотивация работает.

«Большинство, 99,9% этих ребят — просто хорошие люди, которые пришли за работой. Они намерены подзаработать, а потом вернуться в родную провинцию и начать собственное дело, или поддержать семью. Но есть и целая когорта парней, которые легко поддаются соблазну. Ведь что происходит, когда им, к примеру, предлагают сумму, сопоставимую с трехмесячной зарплатой? А в некоторых случаях можно разом получить и годовой оклад».

При этом официальная статистика гласит, что без учета внеурочного времени средняя ставка рабочих составляет $350/мес.

Главной добычей инсайдеров становятся корпуса и крышки устройств. Райс говорит, что «если у тебя есть крышка, ты уже почти знаешь, что мы собираемся сделать».
Работники прячут детали в ванных комнатах, зажимают между пальцами ног, перебрасывают через заборы и даже сливают в туалет, чтобы потом достать из канализационных стоков. Одна женщина суммарно вынесла до 8000 деталей, пряча их в своем лифчике.

Конечным пунктом назначения этих предметов становится рынок электроники в Шеньчжене. На нем работают до полумиллиона человек, а годовая прибыль торговой площадки достигает $20 млрд. При этом компания ведет практику обратного выкупа: в 2013 году она приобрела там 19 000 корпусов iPhone 5c до презентации устройства, а затем еще 11 000 до начала поставок на рынок. Райс говорит, что Apple старается скупать их максимально оперативно, чтобы не допустить утечек.

Спустя пару лет после усиления контроля, инициированного Куком, количество краж упало. В 2014 Apple зафиксировала 387 краж корпусов. В 2015 инцидентов было 57, причем 50 деталей украли прямо в день анонса. Согласно подсчетам Райса, статистика потерь — один к шестнадцати миллионам, недостижимый показатель для остальных игроков в индустрии.

Следом презентация вернулась от китайских реалий к вопросу утечек из американских кампусов. Местные сотрудники внезапно столкнулись с драконовскими мерами безопасности из-за успешного контроля за китайскими поставщиками. Ранее всем просто казалась бессмысленной идея содержать огромную команду по безопасности, если производители компонентов все равно сливали так много. Поэтому проблему заметили не сразу.

Компания создала специальное подразделение внутри команды по глобальной безопасности, группу менеджеров секретных программ. Они помогают сотрудникам поддерживать секретность. Но когда важная информация все-таки просачивается наружу, в дело вступают следователи Ли Фридмана, чтобы найти ответственных. Работа отнимает немало времени — одно из расследований затянулось на три года. Никто в компании не собирается пускать подобные случаи на самотек, говорит Фридман.

В свою очередь Хабберт рассказывает о поимке в прошлом году двух серьезных инсайдеров. Один работал в онлайн-магазине несколько лет, второй был сотрудником подразделения iTunes на протяжении шести лет. Оба предоставляли информацию блогерам. Первый начал общаться с журналистом в Twitter, а у второго завязались отношения с репортером.

На вопрос Хабберт о том, может ли Фридман нарисовать собирательный портрет таких людей, или выделить общие черты, тот отвечает утвердительно, обращаясь к аудитории:

«Общая черта в том, что они выглядят просто как вы, парни. Приходят на работу, не показывают никаких особенностей, а начинают с привычной мотивацией в духе: “Я люблю Apple, думаю что это классное место для работы, надеюсь сделать его лучше”».

В прошлом в Apple уже были случаи, когда сотрудники проговаривались после каких-то неудачных тестов производительности. Но по словам Фридмана, это редкость. Чаще всего люди просто слишком охотно делятся результатами проделанной работы или не могут вовремя сказать «Я не могу рассказывать об этом».

В свою очередь Райс настаивает, что ФОКУС на секретности для Apple не перерос в культуру страха.

«Одна из уникальных вещей, которых мы добились в Apple — никто не боится Большого Брата. В моей команде нет людей, которые бы читали содержимое имейлов или сидели за вашими сиденьями в автобусе. Мы таким не занимаемся».

При этом компания борется с ситуацией, когда кого-то случайно упоминают в качестве адресата имейла или добавляют в копию. Для этого создана команда быстрого реагирования, некий аналог SWAT для переписки. Они смотрят за списком адресатов и оперативно изымают письма до того, как их прочитает «не тот» сотрудник. Если это предотвратить не удалось, с человеком проводят индивидуальную беседу.

Но судя по презентации, работа на Apple во многом напоминает работу в ЦРУ. Один из сотрудников сообщает на видео, что ему очень непросто не говорить о своих профессиональных задачах с женой, детьми, друзьями. По его словам, это не значит, что требуется обрывать все связи — просто придется постоянно следить за тем, чтобы не проговориться.

Причем прямое разглашение информации это лишь одна сторона секретности — есть еще риск пассивного упоминания чего-то важного. Сотрудники должны придерживаться конфиденциальности и в офисах. В кампусах Apple есть специальные «красные зоны» — Райс лишь сообщает, что это «не место для разговоров». Возможно именно страх случайного разглашения провоцирует многих новоиспеченных сотрудников удалять свои Twitter-аккаунты.

При этом за ними остается право обсуждения. Они могут рассказать кому-угодно о том, как ужасен их начальник, поделиться информацией о зарплате или выдать сведения о нелегальной деятельности, если увидят что-то подобное. Черта пролегает вокруг продуктов и сервисов, готовящихся к релизу, а также доступности ряда устройств. Об этом Apple просит не разговаривать ни с кем, кроме доверенных лиц.

Райс призывает всех обращаться к сотрудникам службы безопасности в случае опасений о нарушении конфиденциальности. В девяти ситуациях из десяти, если у людей в Apple и возникают проблемы, то из-за желания скрыть ошибку.

«Наша команда была создана из-за того, что кто-то провел три недели, не сообщая что забыл прототип где-то в баре», — говорит Райс, напоминая о случае, когда сотрудник потерял тестовый экземпляр iPhone 4. Позже устройство попало в руки прессы. Утечка была такой болезненной, что Стив Джобс лично просил редактора портала Gizmodo вернуть устройство.

iPhone 4, который забыли в баре сотрудники Apple, а потом купили представители Gizmodo.

Другие компании начинает следовать за Apple в работе с культурой секретности. Согласно данным издания Business Insider, у CEO Snapchat Эвана Шпигеля на стене висит портрет Стива Джобса, а компания болезненно неравнодушна к утечкам на манер Apple. Нанимают специалистов по безопасности и в Facebook, а Google подает судебный иск против компании, якобы ведущей внутреннюю «программу по шпионажу».

На презентации Apple обсуждали как конкретные, так и достаточно размытые утечки: вроде слива информации про ремешки для Apple Watch, или сведений об увеличении нового iPad. Тим Кук верит, что они в любом случае бьют в самое сердце компании. В ходе прошлого отчета перед акционерами CEO даже пожаловался на падение продаж из-за сливов про будущие устройства.

Однако, информация все равно попадает в прессу, включая слухи про новый iPhone 8, которому приписывают безрамочный экран со встроенным дактилоскопическим сканером и фронтальной камерой.

И такие публикации являются одной из причин, почему Apple теперь проводит конференции по безопасности. А Дэвид Райс, тем временем, надеется, что его коллеги будут жить во «взрослой зоне» — и сам же расшифровывает это понятие.

«Одну вещь вы должны понять — и я надеюсь, вы поймете — Apple дает вам огромное количество власти».

Напомним, ранее мы собрали несколько слухов об iPhone 8, но точно нельзя сказать, правдивы ли они.