Отчет швейцарского расследования дела Crypto AG

14.01.2021
Аналитический центр "Катехон" публикует перевод аналитической публикации по теме крупнейшего шпионского скандала последних лет

В прошлом месяце швейцарский парламентский комитет по надзору за разведкой опубликовал отчет о своем расследовании дела Crypto AG, бывшего швейцарского производителя систем шифрования, который тайно принадлежал ЦРУ и немецкому BND.

Комитет обнаружил, что швейцарская служба внешней разведки знала об этом тайном владении с 1993 года и использовала свои знания для расшифровки иностранных сообщений, но не проинформировала об этом ответственного министра.

Здесь мы предоставляем перевод резюме этого отчета, а также некоторые интересные дополнительные детали из остальной части отчета комитета о Crypto AG в отношении правительства Швейцарии.

Резюме отчета Crypto AG

Швейцарский парламентский комитет по аудиту национальной безопасности и спецслужб (нем. Geschäftsprüfungsdelegation или GPDel) начал расследование 13 февраля 2020 года и 10 ноября опубликовал свой 64-страничный отчет о деле Crypto AG на французском и немецком языках.

Мы добавили некоторые ссылки и дополнительные сведения в скобках, а также выделили подзаголовки жирным курсивом для облегчения навигации по тексту.

Дело Crypto AG

Отчет ревизионной комиссии Федерального Собрания от 2 ноября 2020 года

  1. Коротко о главном

С осени 1993 года Службе стратегической разведки (нем. Strategischer Nachrichtendienst или SND) удалось получить достоверную информацию о Crypto AG. Она установила, что компания принадлежит иностранным спецслужбам и экспортировала «слабые» устройства, шифрование которых может быть взломано при должных усилиях.

Чтобы взломать шифрование таких устройств, SND начала собирать техническую информацию об их методах шифрования и списках клиентов. Позже, когда SND стала гражданской службой, ей удалось получить постоянный доступ к этим сведениям с согласия американских спецслужб.

  1. Правовая ситуация

С юридической точки зрения, парламентский аудиторский комитет (GPDel) рассматривает это как сотрудничество разведок, как в прошлом это предусматривалось военным законодательством, а сегодня – Законом о разведывательной службе (Nachrichtendienstgesetz или NDG). Из того факта, что SND и американские агентства действовали по взаимному согласию, следует, что швейцарские власти разделяют ответственность за деятельность Crypto AG.

По закону SND и иностранная разведка использовали компанию в Швейцарии для сбора информации о зарубежных странах. Однако, учитывая большие политические последствия этого сотрудничества, GPDel считает неправильным, что, за исключением нынешнего главы Федерального министерства обороны, гражданской защиты и спорта (VBS), ни один из ее предшественников не был проинформирован об этой операции.

  1. Полицейское расследование

Кроме того, выводы SND относительно Crypto AG во время дела Бюлера, которое расследовала федеральная полиция (Bundespolizei или BuPo) в 1994 и 1995 годах, не должны были утаивать от политического руководства. Глава федерального военного ведомства (EMD) в то время не смог узнать правду о Crypo AG и другими способами, как он объяснил GPDel.

GPDel также не нашёл никаких доказательств того, что правительство неправомерно влияло на расследование, проводимое BuPo. Скорее, глава Федерального департамента юстиции и полиции (EJPD) попытался уточнить право собственности на компанию. В конечном итоге, однако, BuPo пришлось прекратить свои расследования, не имея возможности ответить на этот вопрос.

В 1994 году GPDel неоднократно информировали о продолжающихся расследованиях BuPo. Как и военное и политическое руководство SND, GPDel ничего не узнал от службы внешней разведки, связанной с Crypto AG. Компания никогда не была источником информации, предоставляемой Министерством обороны (VBS), когда общий надзорный орган специально занимался темой криптологии в 2007 и 2009 годах.

  1. Хранение и уничтожение документов, связанных с Crypto AG

Особенно ценными для проверки GPDel были оперативные файлы SND и BuPo, которые федеральная разведывательная служба (Nachrichtendienst des Bundes или NDB) хранила в переоборудованном K-Anlage (Kriegsanlage, хорошо скрытом бывшем командном бункере Швейцарской армия под Берном). Их архивирование в соответствии с действующими правилами еще не завершено. Однако из-за практики архивирования спецслужб нет гарантии, что все важные документы по-прежнему доступны.

Уничтожение таких записей частично разрешалось законом и постановлениями, но в некоторых случаях противоречило им. В период с 2011 по 2014 год NDB уничтожала документы из их переписки с зарубежными партнерскими службами вместо того, чтобы хранить, как предписано.

Проверка показала GPDel, что уничтожение файлов спецслужбой не является эффективным методом защиты источников. Скорее, существует риск того, что прежние источники могут быть скомпрометированы, если у властей нет надлежащей информации.

  1. Иностранный шпионаж под видом швейцарской компании

Компании и организации, работающие на швейцарской земле, выигрывают от имиджа Швейцарии как нейтрального государства. Соответственно, иностранные спецслужбы могут быть заинтересованы в том, чтобы действовать под видом швейцарской компании в ущерб другим странам.

При определенных обстоятельствах такая компания может быть признана виновной в уголовном преступлении запрещенной спецслужбы против иностранных государств. Однако такая операция допустима в соответствии с применимым законодательством, когда иностранное агентство использует такую ​​компанию вместе с NDB для сбора информации о зарубежных странах (см. Статью 34, параграф 2 NDG).

По мнению GPDel, планирование такой операции должно включать политическую оценку возможных последствий для Швейцарии, а также для всех пострадавших сотрудников компании. Поэтому Федеральный совет (Бундесрат) должен прояснить в принципе, какой простор для маневра он хочет предоставить Министерству обороны (VBS) в этом отношении.

  1. Недостаточное внимание к поставке безопасных устройств шифрования

Случай Crypto AG показывает, что компании, находящиеся под влиянием иностранных спецслужб, могут производить устройства со «слабыми» методами шифрования. Однако GPDel предполагает, что Crypto AG никогда не поставляла «слабое» шифровальное оборудование властям Швейцарии. Важным в данном случае было то, что швейцарские власти могли проверить безопасность купленных устройств или даже повлиять на их конструкцию. Однако это возможно только с поставщиками, которые разрабатывают и производят свои устройства в Швейцарии.

Исходя из соображений безопасности, федеральное правительство не несет ответственности за закупку технологий шифрования у иностранных поставщиков. С самого начала Федеральный совет не уделил должного внимания той роли, которую отечественные поставщики играют в обеспечении доступности технологии безопасного шифрования для швейцарских властей. Будучи ответственным ведомством, Министерство обороны (VBS) вовремя не проанализировало риски для надежных поставок и не проинформировало Федеральный совет об этом.

  1. Доступ к Crypto AG при управлении спецслужбами

Информационный доступ к Crypto AG был тщательно охраняемым секретом на уровне управления SND. Но когда в 2010 году была создана Федеральная служба разведки и безопасности (NDB), эта информация оставалась скрытой для ее первого директора. Столкнувшись с этим несколько лет спустя, он отказался взять на себя ответственность.

Только летом 2019 года нынешний директор заказал документ с изложением позиции по этому делу, хотя его не проинформировал его предшественник, и это было еще до того, как NDB узнала из исследования СМИ о Crypto AG. Однако она не использовала это информационное преимущество для раскрытия отношений между Crypto AG, предшественниками NDB и американскими спецслужбами. Вместо того, чтобы прояснить правовую ситуацию и признать политические последствия, NDB преуменьшила значимость дела Crypto AG для текущей организации.

Министерство обороны (VBS), которое уже проинформировало Федеральный совет и GPDel в ноябре 2019 года, не смогло определить необходимость политических действий. Межведомственная рабочая группа, которую также создало VBS, не смогла поддержать политическое руководство из-за нежелания NDB предоставлять информацию для надвигающегося разведывательного дела.

В своем заявлении на заседании Федерального совета 20 декабря 2019 года министерство обороны заявило, что уровень информации недостаточен для предметного обсуждения дела Crypto AG. После обнаружения файлов в K-Anlage, о которых Министерство обороны сообщило Федеральному совету, этот вывод утратил силу.

Поскольку NDB не проводила оценку обширных файлов перед заседанием Федерального совета, Совет решил создать внешний комитет экспертов для прояснения явно чисто исторических вопросов. Таким образом, Федеральный совет с самого начала возложил на себя стратегическое руководство по рассмотрению дела Crypto AG о раздаче.

  1. Прекращение параллельного расследования судьи Оберхольцера

Когда 13 февраля 2020 года GPDel открыл свою инспекцию, бывший федеральный судья Никлаус Оберхольцер в течение месяца работал в качестве внешнего эксперта от имени Федерального совета, но не имел доступа к файлам из K-Anlage. После того как GPDel запросил у NDB все соответствующие файлы, он признал, что дело Crypto AG вышло за рамки чистой истории и имеет актуальное значение. Это доказало, что подход оборонного ведомства рассматривать историческую и текущую стороны дела по отдельности не очень эффективен.

Учитывая различные параллельные расследования, GPDel счел необходимым обсудить нерешенные вопросы координации с главой Министерства обороны, прежде чем работа будет продолжена. Однако, когда министерство обороны расширило сферу расследования Оберхольцера до встречи, согласованной с GPDel, GPDel отозвал свое разрешение Федеральному совету нанять г-на Оберхольцера 21 февраля 2020 года. В качестве следователя GPDel он затем сообщил о связанных с разведкой аспектах дела Crypto AG в секретном отчете для GPDel.

25 февраля 2020 года GPDel обсудил отзыв разрешения с главой министерства обороны. Последующий письменный обмен с Федеральным советом привел к встрече с федеральным президентом и главой Министерства обороны 25 мая 2020 года, на которой GPDel предоставил информацию о наиболее важных фактах о роли разведывательных служб в случае Crypto AG. В секретном письме эта информация также была доведена до сведения Федерального совета.

  1. Приостановление действия экспортных лицензий для правопреемников Crypto AG

После заседания Федерального совета 20 декабря 2019 года Федеральное министерство экономики, образования и исследований (WBF) приняло решение приостановить действие общих экспортных лицензий для компаний-правопреемников Crypto AG (Crypto International AG и TCG Legacy AG). Очевидно, целью было избежать неблагоприятного освещения WBF в СМИ.

Однако, с точки зрения GPDel, приостановление действия этих лицензий не было ни материально, ни юридически оправданным, как и то, как Государственный секретариат по экономическим связям (SECO) откладывал дела, связанные с этими компаниями. Тем не менее, индивидуальные экспортные заявки могут быть поданы.

Также не было никаких юридических аргументов против их выдачи, как справедливо признала группа экспортного контроля 4 марта 2020 года. Однако из-за позиции Федерального департамента иностранных дел (EDA) в мае 2020 года было решено подать все заявки в Федеральный совет для принятия решения.

  1. Подача уголовного иска против Crypto AG

25 февраля 2020 года SECO при поддержке WBF подал заявление о возбуждении уголовного дела в федеральную прокуратуру. Из-за первого освещения в СМИ SECO заподозрил, что, экспортируя «более слабую» технологию шифрования до 2018 года, Crypto AG нарушила индивидуальные обязательства по декларированию в соответствии с законом об экспортном контроле (Güterkontrollrecht).

Не сочтя нужным дальнейшее изучение, WBF приняло аргумент SECO, согласно которому существует законное обязательство подать жалобу. Однако, согласно заключению по запросу SECO, федеральный прокурор посоветовал не возбуждать уголовное дело; SECO не обсуждал этот вопрос с другими федеральными агентствами.

С точки зрения GPDel, жалоба на уголовное дело была основана на недостаточной оценке фактов и неадекватной правовой аргументации. Поскольку жалоба была явно направлена ​​по политическим причинам, ее должен был подать Департамент экономики (WBF), а не SECO.

  1. Разрешение на судебное преследование Crypto AG

13 марта 2020 года федеральный прокурор запросил у Департамента юстиции и полиции (EJPD) разрешение на судебное преследование за нарушения закона об экспортном контроле, о которых сообщил SECO. Три месяца спустя EJPD подал ходатайство прокурора о вынесении решения в Федеральный совет. До этого 25 мая 2020 года EJPD обсуждал этот вопрос с GPDel.

WBF, со своей стороны, обратилось в Федеральный совет 10 июня 2020 года с просьбой одобрить все ожидающие рассмотрения заявки на экспорт, хотя он поддержал жалобу SECO на уголовное дело. После того как Федеральный совет отложил рассмотрение вопроса на неделю, WBF потребовало приостановить вынесение решения до завершения прокурорского расследования. Федеральный совет последовал этому предложению 19 июня 2020 года и в тот же день предоставил разрешение федеральному прокурору.

  1. Нарушение добросовестности и разделения властей

GPDel признает согласованность между решениями Федерального совета в отношении заявки на разрешение от федерального прокурора и индивидуальных заявок на экспорт от компаний-правопреемников Crypto AG. Однако с их отсрочкой на неопределенный срок Федеральный совет, возможно, нарушил принцип добросовестности, потому что в принципе каждая швейцарская компания может рассчитывать на разрешение на свой экспорт, если против этого нет юридических аргументов.

Закон об экспортном контроле также не был подходящим средством рассмотрения дела Crypto AG, в то время как уголовная жалоба, очевидно, была попыткой избавиться от политической ответственности, позволив системе правосудия заняться делом Crypto AG. При этом Федеральный совет, в конечном итоге, связал уголовное дело с продолжающимся расследованием GPDel, которое было проблематичным с учетом разделения властей.

  1. Служба внешней разведки Швейцарии

Первоначально служба внешней разведки Швейцарии (нем. Strategischer Nachrichtendienst или SND) входила в состав Untergruppe Nachrichtendienst (UG ND), который подчинялся генеральному штабу швейцарской армии. В 2001 году она был выведен из военной иерархии и превращена в гражданскую службу, но по-прежнему находилась в ведении главы Министерства обороны.

1 января 2010 года SND была объединена со службой внутренней безопасности (Dienst für Analyze und Prävention или DAP) в нынешнюю федеральную службу разведки и безопасности (Nachrichtendienst des Bundes или NDB), которая также отвечает за разведку в области связи.

Известными подразделениями NDB являются:

  • NDBA for Auswertung (Анализ)
  • NDBB for Beschaffung (Закупка)
  • NDBB-A for Beschaffung Ausland (Зарубежные приобретения)
  • NDBB-I for Beschaffung Inland (Внутренние приобретения)
  • NDBS for Steuerung und Lage (Согласование)
  • NDBU for Unterstützung (Поддержка)

Подробности из отчета Crypto AG

Помимо общих выводов, переведенных выше, отчет GPDel о деле Crypto AG также содержит более подробную информацию, которую стоит перевести:

  1. Отчет MINERVA

NDB предоставила парламентскому комитету по аудиту (GPDel) копию внутреннего отчета ЦРУ о Crypto AG. Этот отчет называется «MINERVA – История» и описывает, как с 1950-х годов спецслужбы США сотрудничали со шведским владельцем Crypto AG и в 1970 году были переданы ЦРУ и BND.

Отчет включает вывод немцев из операции в 1993 году и заканчивается в 1995 году. Отчет MINERVA был написан после 2000 года при участии представителей BND.

Похоже, что примерно в 2005 году немцам предоставили копию отчета и подготовили дополнительные оценки. Эта версия американского отчета вместе с немецкими документами попала в руки прессы, которая в феврале 2020 года опубликовала некоторые разделы отчета. Полный отчет MINERVA объемом почти 100 страниц еще не выпущен.

GPDel проанализировал отчет MINERVA, и дополнительная информация от NDB подтвердила подлинность документа. Что касается ситуации в Швейцарии, то отчет не всегда точен и содержит небольшие ошибки. Видимо, американские авторы не очень хорошо знали Швейцарию и ее правительство. (стр. 9-10)

> См. также: Кодовые слова, относящиеся к Crypto AG

  1. Получение и использование информации об ослабленных алгоритмах

С осени 1993 года SND стало известно о том, что Crypto AG принадлежит американским и немецким спецслужбам и что компания создает устройства шифрования с более слабыми алгоритмами. SND была направлена на взлом шифрования самих этих ослабленных устройств и собирала техническую информацию о методах шифрования экспортированных устройств Crypto AG. Эти знания также можно использовать для выявления слабых методов шифрования, используемых в устройствах, купленных швейцарскими клиентами. (стр.20)

Этот поиск информации о слабых алгоритмах продолжался после того, как SND стала гражданской службой в 2001 году, и была успешной только потому, что американская разведка согласилась с тем, что Швейцария получила необходимую информацию, но только в той мере, в которой это необходимо. (стр.20)

Чтобы действительно использовать свои знания об ослабленных методах шифрования в интересах национальной безопасности, SND также пришлось получить доступ к зашифрованным сообщениям. Перехват радиосвязи проводился подразделением швейцарской армии (Führungsunterstützungsbasis der Armee или FUB).

После модернизации систем для перехвата коротковолновой (высокочастотной) радиосвязи, Швейцария приступила к созданию системы перехвата спутниковых каналов под кодовым названием Onyx, которая стала полностью работоспособной в 2006 году. Возможности дешифрования были интегрированы в процесс перехвата, управляемый SND. (стр.20)

  1. Знания о Crypto AG в SND и NDB

В SND информация о Crypto AG держалась в секрете. Об этом знали только глава SND (Фред Шрайер) и его преемники (Ханс Вегмюллер и Пауль Цинникер) и не более двух других сотрудников SND. Директор недавно созданной NDB Маркус Зайлер был (устно) проинформирован о существовании слабых устройств Crypto AG, когда вступил в должность в 2010 году. (стр. 21)

Только в последний год своего пребывания у власти, в 2017 году, Зайлер также был проинформирован о том, что позволило его организации расшифровать слабые алгоритмы, но он отказался принять документ о дальнейших возможностях. Заместитель директора Пол Зинникер поддержал его в отказе от дальнейших действий. Бывшие главы Министерства обороны Швейцарии (VBS) не были проинформированы о том, что Crypto AG находится под контролем американской разведки и что швейцарская разведка использует свои знания о слабых алгоритмах. (стр. 21)

Весной 2019 года нынешний директор NDB Жан-Филипп Годен получил практически ту же информацию о Crypto AG, что и его предшественник двумя годами ранее. Но на этот раз Годен запросил подробную презентацию и письменный документ с изложением обстановки. 19 августа 2019 года Годен также проинформировал главу Минобороны. (стр. 21)

В середине октября 2019 года NDB был предоставлен экземпляр отчета MINERVA, а его директор был проинформирован о содержании этого документа. По состоянию на конец октября возросло количество сообщений между NDB, американскими и другими иностранными разведывательными службами, в том числе в ожидании освещения в СМИ отчета MINERVA. (стр.22)

  1. Осведомленность о слабых местах в устройствах шифрования

В 2007 году GPDel был проинформирован о том, как возможности дешифрования SND интегрированы в процесс перехвата иностранных сообщений. Информационный бюллетень показал, что многие производители устройств шифрования создали слабые места для некоторых своих клиентов. За этой практикой стояли спецслужбы США и некоторых их союзников. Однако другие государства с соответствующими возможностями, например, Швейцария, также могут извлечь из этого выгоду. (стр.23)

Согласно GPDel, информация об ослабленных устройствах Crypto AG предоставила Швейцарии полезные разведданные, поскольку их можно было использовать для расшифровки сообщений от иностранных целей и обмена информацией с иностранными разведывательными службами, что также укрепило позиции Швейцарии. Однако следует также отметить, что методы шифрования и доступ к соответствующим сообщениям постоянно меняются, и ноу-хау могут быстро потерять свою ценность. (стр.27)

GPDel обнаружил, что можно выявить слабые места в различных типах устройств шифрования, используемых швейцарскими учреждениями, и устранить недостатки. Это показывает, насколько важно иметь хорошее представление о внутренних производителях и влиять на качество их продукции. (стр.27)

GPDel заверили, что все проверки ясно показали, что Crypto AG никогда не предоставляла слабые устройства шифрования правительственным учреждениям Швейцарии – в отличие от другой компании. (стр.31)

  1. Вторая швейцарская компания, продающая устройства с ослабленным шифрованием

Из рукописных заметок главы министерства обороны GPDel узнал, что безопасность шифровальных устройств, используемых федеральными агентствами, регулярно становилась предметом разговоров между директором SND и главой министерства обороны.

Где-то между 2002 и 2008 годами стало ясно, что швейцарский производитель (не Crypto AG) продал небезопасное оборудование федеральному правительству и двум крупным корпорациям. Узнав об этом, Минобороны приняло меры по устранению уязвимости. (стр.28)

В ноябре 2020 года швейцарская телекомпания SRF сообщила, что другой швейцарской компанией является Omnisec AG, которая была основана в 1987 году и ликвидирована в 2018 году.

Согласно SRF, Omnisec продавала менее безопасные устройства шифрования из своей серии 500 швейцарским федеральным агентствам и даже секретным службам SND и DAP. Эти ослабленные устройства также были проданы по крайней мере двум частным компаниям, включая банк UBS – примерно в то время, когда США требовали от швейцарских банков отменить свою банковскую тайну.

Ссылки и источники

 

Смотреть источник по ссылке