Сигналоподателят от IBM Уилям Барлоу твърди, че е прикривано изтичане на данни

Сигналоподателят от IBM Уилям Барлоу твърди, че е прикривано изтичане на данни

Бивш ръководител по киберсигурност в IBM подаде сигнал, твърдейки, че компанията умишлено е скрила множество значителни пробиви в данните от американските правителствени власти. Твърденията, които излизат наяве чрез дело, заведено от Уилям Барлоу, рисуват тревожна картина за това как една от най-големите компании за корпоративни технологии в света може да е обработвала инциденти, засягащи обществената сигурност, които биха могли да засегнат както публични институции, така и частни лица. Твърденията на сигналоподателя за прикриване на пробив в данни в IBM отново разпалиха по-широк разговор за корпоративната отговорност при оповестяване на киберсигурност.

Какво твърди сигналоподателят срещу IBM

Уилям Барлоу, бивш старши ръководител по киберсигурност в IBM, твърди, че основната мрежа на IBM е била пробивана многократно и че висшето ръководство е предприело умишлени стъпки да скрие тази информация от регулаторите и съответните американски власти. Според медийни публикации, базирани на делото, Барлоу твърди, че прикриването е продължило значителен период, вероятно повече от десетилетие.

Основното твърдение не е просто, че IBM е претърпяла пробиви – нещо, което се случва дори на най-сигурните организации – а че ръководството е взело обмислено решение да скрие тези инциденти, вместо да ги оповести по надлежните канали. Делото на Барлоу твърди, че той е изразил притеснения вътрешно и е срещнал съпротива, което в крайна сметка го е накарало да поеме по пътя на сигналоподаване.

AT&T също е посочена в свързани твърдения, което подсказва, че проблемът може да не е изолиран в една единствена компания, а да отразява по-широки модели в начина, по който големите корпоративни технологични и телекомуникационни фирми обработват оповестяването на пробиви, когато са заложени значителни договори или репутация.

Кои данни и кои власти са били държани в неведение

Спецификите за това какви данни са били изложени и кои власти са били заобиколени остават централни въпроси в текущото производство. Твърденията сочат, че американските регулатори, които обикновено биха получили уведомление за значителни пробиви по силата на договорни или законови задължения, не са били информирани своевременно или изобщо не са били информирани.

Това е изключително важно, защото IBM обслужва федерални агенции, здравни институции, финансови организации и оператори на критична инфраструктура. Когато доставчик от такъв мащаб претърпи пробив и укрие тази информация, организациите надолу по веригата не могат да оценят собствената си изложеност, да уведомят засегнатите лица или да приложат компенсиращи мерки. Правителствените агенции особено разчитат на доставчиците да оповестяват инциденти, така че потоците от класифицирани или чувствителни данни да могат да бъдат прегледани и защитени.

Този случай не е изолиран в по-широката картина на сигурността на IBM. По-ранен инцидент, свързан с дъщерното дружество на IBM в Италия, обвързано с китайски кибероперации, показа как атаки срещу свързана с IBM инфраструктура могат да имат широки последици за публичните институции, които разчитат на тази инфраструктура за критични услуги.

Защо корпоративното прикриване на пробиви излага на риск обикновените потребители

Когато компаниите потискат оповестяването на пробиви, вредата се пренася директно върху обикновените хора. Лицата, чиито лични данни се съхраняват в системи, управлявани от IBM – независимо дали чрез доставчик на здравни услуги, правителствена програма за помощи или финансова институция – може никога да не научат, че информацията им е била изложена. Без това уведомление те не могат да предприемат защитни стъпки като наблюдение за кражба на самоличност, смяна на идентификационни данни или поставяне на сигнали за измами.

По-широкият риск е системен. Предприятията, които управляват данни от името на милиони хора, носят имплицитно задължение за доверие. Когато това задължение бъде нарушено чрез укриване вместо прозрачност, то подкопава цялата рамка от закони за уведомяване при пробиви, които съществуват, за да защитават потребителите. Закони като Закона за преносимост и отчетност на здравното осигуряване и различни щатски нормативни актове за уведомяване при пробиви съществуват именно защото законодателите са признали, че компаниите, оставени на собствените си устройства, биха могли да дадат приоритет на репутацията пред оповестяването.

Мащабното излагане на идентификационни данни и информация е постоянна заплаха в корпоративната екосистема. Усъвършенствани рамки за атаки, като описаните в репортажите за зловреден софтуер PCPJack, експлоатиращ уязвимости в облачни идентификационни данни, илюстрират как атакуващите активно се насочват към вида на обширната облачна инфраструктура, която корпоративни доставчици като IBM управляват. Когато пробиви в такива среди остават недокладвани, атакуващите запазват по-дълъг прозорец от възможности за експлоатиране на откраднати данни.

Студещият ефект върху други потенциални сигналоподатели също е реален. Ако служителите в големите корпорации виждат, че изразяването на притеснения за сигурността вътрешно води до репресии, а не до отстраняване на проблема, по-малко хора ще се осмелят да говорят. Това мълчание увеличава риска в цялата индустрия.

Как трябва да изглежда смислената прозрачност при пробиви

Твърденията срещу IBM подчертават пропастта между това как трябва да изглежда прозрачността при пробиви и това, което често се случва на практика. Истинската прозрачност изисква бързо вътрешно ескалиране, своевременно уведомяване на регулаторите и засегнатите клиенти, честно оповестяване на обхвата и естеството на пробива и ясна комуникация към лицата, чиито данни може да са били компрометирани.

Регулаторните рамки в Съединените щати са мозайка на федерално ниво, което създава пространство за неясноти, от които големите организации могат да се възползват. Комисията по ценните книжа и борсите предприе стъпки през последните години за затягане на правилата за оповестяване на пробиви от публични компании, но прилагането остава неравномерно. Случаят с Барлоу може да даде тласък за по-строги задължителни срокове и по-сурови наказания за умишлено укриване.

За предприятията, които сключват договори с големи технологични доставчици, този случай е напомняне да вградят изисквания за уведомяване при пробиви директно в договорите, с ясни срокове и финансови санкции за неоповестяване. Програмите за управление на риска при доставчици, които разчитат единствено на самоотчитане, са по своята същност уязвими към точно този вид поведение, което Барлоу твърди.

Какво означава това за вас

Ако работите за организация, която използва услуги на IBM, това е момент да прегледате договорите си с доставчици и да зададете директни въпроси относно задълженията за реакция при инциденти и оповестяване. За физическите лица, практическата реалност е, че вашите лични данни може да преминават през корпоративни доставчици, с които никога не взаимодействате пряко, което прави излагането ви трудно за проследяване.

Има конкретни стъпки, които можете да предприемете. Редовно проверявайте кредитните си отчети и финансовите сметки за признаци на неразрешена дейност. Използвайте уникални пароли за различните услуги, така че едно излагане на идентификационни данни да не доведе до каскаден ефект. Обмислете услуги за наблюдение на самоличността, които ви предупреждават, ако вашата информация се появи в известни бази данни за пробиви.

Твърденията на Барлоу са напомняне, че отговорността за киберсигурност не спира до корпоративния периметър. Независимо дали сте потребител, служител в публичния сектор или бизнес, оценяващ доставчици, разбирането как се обработват вашите данни и какво се случва, когато нещата се объркат, вече не е опция. Изисквайте прозрачност от компаниите, които държат вашите данни, и подкрепяйте правните и регулаторни рамки, които правят тази прозрачност приложима.