·基于所披露文件所描述的入侵方法的調查結果和金雅拓在2010年及2011年間所監測到的精心策劃的攻擊，使我們有理由相信NSA和GCHQ的行動有可能已經發生

　　·針對金雅拓的攻擊僅破壞了其辦公網絡，不會導致大規模的SIM加密密鑰被盜用

　　·此次攻擊行動旨在攔截加密密鑰，因為它們會在全球的移動運營商和其供應商之間進行傳輸。至2010年，金雅拓已為其客戶廣泛部署了安全傳輸系統。在這種部署下，只有極少的例外情況有可能導致盜用的發生

　　·即使密鑰最終被盜，情報部門也只能窺探到第二代2G移動網絡的通信。3G和4G網絡則不易受到這類攻擊的侵害

　　·金雅拓其他產品均不會受到此攻擊的影響

　　·對這些類型攻擊的最好應對措施就是在數據存儲和傳輸時對其進行系統加密，采用最新型的SIM卡，以及針對每次操作的定制算法

　　繼2015年2月19日某網站發布的一份報告之后，金雅拓（Euronext NL0000400653 GTO）根據以下兩個因素展開了全面徹底的調查：一、該網站上公布的聲稱源自NSA和GCHQ的報告；二、金雅拓內部監測工具和以往監測到的嘗試性攻擊的記錄。

　　文中所有評論建立這樣一個假定之上，即在所公布的文件是真實的，且準確參考了2010年和2011年間所發生的事件。我們在此公布的內容既不認可這些網站上所公布文件的部分或全部內容，也不提供反駁它們的理由。

　　金雅拓是一個致力于數字安全的公司，他人時不時地嘗試攻擊我們。這些入侵嘗試或多或少都是精心策劃的，而且我們也已習慣應對。這其中大部分的入侵都未成功，只有極少數穿透了金雅拓高度安全的網絡架構的外層。

　　參照NSA和GCHQ報告中所涵蓋的時間段，我們可以確認，金雅拓經受了多次攻擊。尤其在2010年和2011年間，我們監測到兩個可能與此攻擊行動有關的精心策劃的入侵。

　　2010年6月，我們注意到金雅拓法國的一個站點有可疑活動，其中有第三方試圖窺探辦公網絡。這里的“辦公室網絡”指我們的員工進行內部或外部溝通所使用的網絡。我們立即采取了措施，應對這一威脅。

　　2010年7月，金雅拓安全團隊發現了第二個安全事件。有人盜用了金雅拓的合法電子郵件地址向我們的一個移動運營商客戶發送了郵件。此偽造電子郵件包含可下載惡意代碼的附件。 我們立即通知該客戶，并向有關當局報告此次事件以及所用的惡意軟件類型。

　　在同一時間段，我們也發現了多次嘗試訪問金雅拓員工電腦的攻擊，這些員工都是與客戶保持定期聯系的人員。

　　當時我們無法確定肇事者，但現在我們認為他們可能與NSA和GCHQ行動有關。這些入侵僅影響了我們網絡的外層，即與外界聯系所使用的辦公網絡。 一般來說，SIM加密密鑰和客戶數據并不存儲在這些網絡上。 金雅拓網絡架構的設計就像洋蔥和橙子的交叉，具有多層次和多分段，有助于分類聚集和隔離數據，認識到這一點非常重要。

　　以上這些嚴重的、精心策劃的攻擊并沒有在我們網絡的其他部分被監測到。在運行SIM的基礎架構上以及管理金雅拓其他產品，如銀行卡、身份證或電子護照等，的安全網絡中，并沒有發現任何破壞活動。這些網絡彼此獨立，且不與外部網絡連接。

　　除此以外，個別的，針對大量SIM卡的遠程攻擊也是極其困難的。這一事實加上金雅拓復雜的網絡架構促使情報部門將數據作為首選目標，即如報告所述，數據在供應商和移動運營商之間進行傳輸時進行攻擊。

　　早在2010年前我們已經部署了高度安全的傳輸流程，大大降低了客戶共享數據時遭到攔截的風險。此報告表明，這些攻擊的目標是阿富汗、也門、印度、塞爾維亞、伊朗、冰島、索馬里、巴基斯坦和塔吉克斯坦的移動運營商。報告還指出，當運營商使用安全數據傳輸方法時，攔截技術根本不起作用，尤其是“無法對巴基斯坦網絡產生結果”。我們可以證實，在當時巴基斯坦運營商和金雅拓之間的數據傳輸采用了非常安全的傳輸流程。 然而在2010年，這些數據傳輸方法并未被普遍使用，某些運營商和供應商選擇不去使用它們。在金雅拓，安全傳輸系統是標準的做法，只有在特殊情況下才不會使用它。

　　對該報告的分析顯示除金雅拓外，NSA和GCHQ還將許多其他各方作為目標。而作為市場領導者，金雅拓可能一直是情報部門的首選目標，以便他們入侵盡可能多的手機。即便如此，我們在該報告中可以看到，有許多方面都與金雅拓無關，例如：

　　·金雅拓從未向文檔所列的12個運營商之中的4家運營商銷售過 SIM卡，特別是索馬里運營商，據報道該運營商有30萬個密鑰被盜。

　　·聲稱是我們個人化中心所處位置的列表所顯示的SIM卡個人化中心位于日本、哥倫比亞和意大利。然而，當時金雅拓尚未在這些國家運營個人化中心。

　　·表2顯示，只有2%的加密密鑰交換(38/1719)來自SIM供應商，并指出，SIM供應商使用強大的加密方法意味著其他群體(98%)更容易遭受這些類型的攻擊。

　　2010-2011年期間，攻擊的目標國家的大多數運營商仍在使用2G網絡。第二代技術的安全水平的開發最初始于20世紀80年代，到2010年被認為過于薄弱和過時。如果2G SIM卡加密密鑰被情報部門偵聽，那么從技術上說他們能夠在手機使用SIM卡時窺探通信。這是眾所周知的、舊的2G技術弱點，多年來我們一直建議運營商增加安全機制的部署。然而，即使加密密鑰被情報部門偵聽，其利用價值也有限。這是因為當時在這些國家，大部分正在服務中的2G SIM卡都是預付費卡，生命周期非常短，通常為3至6個月。

　　隨著專有算法的引入，原有2G標準的已知弱點被消除了，目前專有算法仍然被主要的網絡運營商用作額外的安全保護機制。隨著擁有額外加密的3G和4G技術的到來，安全水平獲得了進一步的提高。如果有人偵聽到3G或4G SIM卡所使用的加密密鑰，也無法連接網絡，從而無法窺探通信。因此，3G和4G卡不會受到上述攻擊的影響。然而，雖然與2G向下兼容，但這些新產品并未在全球使用，原因是這些產品較為昂貴，而有時運營商僅據價格做出采購決策。

　　數字安全并非一成不變的。隨著時間的流逝，目前一流的技術會逐漸喪失其有效性，因為新的研究和日益增強的處理能力可能催生新型攻擊。所有值得信賴的安全產品必須定期進行重新設計和升級。SIM卡也不例外，它們一直隨著時間而演進。特別值得一提的是，針對3G和4G網絡，技術已經進行了大規模的重新開發。

　　對于和金雅拓一起在SIM卡中嵌入了定制算法的移動運營商來說，這樣的安全性水平更高。金雅拓客戶所使用算法的多樣性和碎片化進一步增加了部署大規模全球監控系統的復雜性和成本。這是我們反對替代技術的原因之一，替代技術可能會限制運營商自定義其安全機制的能力。如果此類技術不幸被破壞或失效，則會使組織大規模監控變得更加輕松簡單。

　　金雅拓希望重申我們提供民用領域最高安全水準的承諾。我們的安全產品、基礎架構和流程旨在確保全球的、開放的商業環境的最高安全水平。這些一直由第三方私人和公共機構定期進行審核和認證。

　　然而，我們意識到，最頂級的國家機關，尤其是當他們協同工作時，擁有的資源和法律支持遠遠超過普通黑客和犯罪組織所能企及的。而且我們擔心，這些國家機關可能參與對私營企業進行毫無理由的任意操作。

　　鑒于最近的事件，金雅拓關注的焦點始終是我們的客戶。我們的團隊特別感謝客戶在過去幾天來給予我們的支持。這些事件激勵我們的員工更加緊密地與客戶及業界合作，以研發出更加先進的解決方案，滿足最終用戶的需求。

　　在當今世界，任何組織都可能遭受網絡攻擊。因此，遵循安全最佳實踐和采用最新技術比以往任何時期都更加重要，這包括先進的數據加密，即使網絡被破壞，第三方也無法訪問任何被盜信息。

　　金雅拓將一如既往地監測網絡，完善流程。除非有重大進展，我們將不對此事再做進一步的溝通。