Ki az a William Barlow?

William Barlow az IBM egy korábbi magas rangú kiberbiztonsági vezetője, aki visszaélést bejelentő pert indított, azt állítva, hogy a vállalat több jelentős adatvédelmi incidenst eltitkolt az amerikai kormányzati tisztviselők elől.

Mit állít William Barlow pere az IBM-ről?

Azt állítja, hogy az IBM alapvető hálózatát ismételten feltörték, potenciálisan több mint egy évtizeden keresztül, és hogy a felső vezetés megfontolt döntést hozott ezeknek az eseteknek a szabályozók és tisztviselők elől való eltitkolásáról.

Mely amerikai tisztviselőket vagy szabályozókat tartottak állítólagosan sötétben?

Az állítások arra utalnak, hogy azokat az amerikai szabályozókat, akiknek szerződéses vagy jogi kötelezettségek alapján értesítést kellett volna kapniuk az incidensekről, a jelentések szerint nem tájékoztatták időben, vagy egyáltalán nem értesítették.

Miért jelent komoly aggodalmat az IBM ügyfelei számára az állítólagos eltussolás?

Mert az IBM szövetségi ügynökségeket, egészségügyi intézményeket, pénzügyi szervezeteket és kritikus infrastruktúra-üzemeltetőket szolgál ki, és az incidens információ visszatartása megakadályozza őket abban, hogy felmérjék saját kitettségüket, értesítsék az érintetteket, vagy kiegyenlítő intézkedéseket vezessenek be.

Említ a cikk más hasonló, az IBM-et érintő eseteket?

Igen, megjegyzi, hogy az AT&T-t is megnevezték kapcsolódó vádakban, és utal egy korábbi esetre, amikor az IBM olaszországi leányvállalatát érte incidens, amelyet kínai kiberműveletekhez kapcsoltak, ami szélesebb körű mintázatra utal.

William Barlow, az IBM volt kiberbiztonsági vezetője adatvédelmi incidensek eltussolásával vádolja a céget

Az IBM egy korábbi kiberbiztonsági vezetője visszaélést jelentett, azt állítva, hogy a vállalat szándékosan eltitkolt több jelentős adatvédelmi incidenst az amerikai kormányzati tisztviselők elől. A William Barlow által benyújtott perben felszínre kerülő állítások nyugtalanító képet festenek arról, hogyan kezelhette a világ egyik legnagyobb vállalati technológiai cége azokat a biztonsági eseményeket, amelyek közintézményeket és magánszemélyeket egyaránt érinthettek. Az IBM adatvédelmi incidens eltussolását leleplező visszaélést bejelentő személy állításai újraélesztették a kiberbiztonsági közzététellel kapcsolatos vállalati elszámoltathatóságról szóló szélesebb körű párbeszédet.

Mivel vádolja a visszaélést bejelentő személy az IBM-et

William Barlow, az IBM egy korábbi magas rangú kiberbiztonsági vezetője azt állítja, hogy az IBM alapvető hálózatát több alkalommal is feltörték, és hogy a felső vezetés szándékos lépéseket tett annak érdekében, hogy ezt az információt eltitkolja a szabályozó hatóságok és az érintett amerikai tisztviselők elől. A perről szóló beszámolók szerint Barlow azt állítja, hogy az eltussolás hosszú időszakon át tartott, és akár több mint egy évtizedre is visszanyúlhat.

Az elsődleges vád nem csupán az, hogy az IBM-et incidensek érték – ami még a legbiztonságtudatosabb szervezetekkel is időnként előfordul –, hanem hogy a vezetőség megfontolt döntést hozott ezeknek az eseteknek az eltitkolásáról ahelyett, hogy a megfelelő csatornákon keresztül közzétette volna őket. Barlow pere azt állítja, hogy belsőleg felvetette aggályait, és ellenállásba ütközött, ami végül arra késztette, hogy a visszaélés-bejelentői utat válassza.

Az AT&T-t is megnevezték kapcsolódó vádakban, ami arra utal, hogy a probléma nem csupán egyetlen vállalatra korlátozódik, hanem szélesebb körű mintázatokat tükrözhet abban, ahogyan a nagyvállalati technológiai és távközlési cégek kezelik az adatvédelmi incidensek közzétételét, ha jelentős szerződések vagy a hírnevük forog kockán.

Milyen adatokat és mely tisztviselőket tartottak állítólagosan sötétben

Az, hogy pontosan milyen adatok kerültek nyilvánosságra, és mely tisztviselőket kerültek meg, továbbra is központi kérdések a folyamatban lévő jogi eljárásban. Az állítások arra utalnak, hogy azokat az amerikai szabályozó hatóságokat, amelyek szerződéses vagy jogi kötelezettségek alapján szoktak értesítést kapni a jelentős incidensekről, a jelentések szerint nem tájékoztatták kellő időben, vagy egyáltalán nem értesítették.

Ennek óriási jelentősége van, mert az IBM szövetségi ügynökségeket, egészségügyi intézményeket, pénzügyi szervezeteket és kritikus infrastruktúra-üzemeltetőket szolgál ki. Ha egy ilyen méretű szállítót incidens ér, és visszatartja ezt az információt, akkor a tőle függő szervezetek nem tudják felmérni saját kitettségüket, értesíteni az érintett személyeket, vagy kiegyenlítő kontrollokat bevezetni. A kormányzati ügynökségek különösen függenek attól, hogy a beszállítók közzétegyék az eseményeket, hogy a minősített vagy érzékeny adatfolyamokat felül lehessen vizsgálni és védeni lehessen.

Ez az eset nem elszigetelt a tágabb IBM biztonsági képet tekintve. Egy korábbi, az IBM olaszországi leányvállalatát érintő incidens, amelyet kínai kiberműveletekhez kapcsoltak, megmutatta, hogy az IBM-hez kapcsolódó infrastruktúra elleni támadások milyen széles körű következményekkel járhatnak a kritikus szolgáltatásokhoz ezt az infrastruktúrát igénybe vevő közintézményekre nézve.

Miért jelentenek kockázatot a vállalati incidens-eltussolások az egyéni felhasználók számára

Amikor a vállalatok elnyomják az adatvédelmi incidensek közzétételét, a kár közvetlenül a hétköznapi embereket éri. Azok a személyek, akiknek a személyes adatai IBM által kezelt rendszerekben találhatók – akár egészségügyi szolgáltatón, kormányzati segélyprogramon vagy pénzügyi intézményen keresztül –, talán soha nem értesülnek arról, hogy az információik nyilvánosságra kerültek. Értesítés nélkül nem tehetnek védő lépéseket, például nem figyelhetik a személyazonosság-lopást, nem változtathatják meg hitelesítő adataikat, és nem helyezhetnek el csalási riasztásokat.

A tágabb értelemben vett kockázat rendszerszintű. Azok a vállalatok, amelyek milliók adatait kezelik, hallgatólagos bizalmi kötelezettséggel bírnak. Amikor ezt a kötelezettséget az átláthatóság helyett eltitkolással sértik meg, aláássák az adatvédelmi incidensek bejelentésére vonatkozó törvények egész keretrendszerét, amely a fogyasztók védelmét szolgálja. Az olyan törvények, mint az Egészségbiztosítási Hordozhatósági és Elszámoltathatósági Törvény (HIPAA) és a különböző állami szintű adatvédelmi incidens bejelentési előírások éppen azért léteznek, mert a jogalkotók felismerték, hogy a magukra hagyott vállalatok a hírnevet részesíthetik előnyben a közzététellel szemben.

A nagyméretű hitelesítőadat- és adatszivárgás tartós fenyegetést jelent az egész vállalati ökoszisztémában. A kifinomult támadási keretrendszerek, mint amilyeneket a PCPJack malware-ről szóló beszámolók ismertetnek, amely felhőalapú hitelesítő adatok sebezhetőségeit használja ki, jól szemléltetik, hogy a támadók aktívan célozzák azt a kiterjedt felhőinfrastruktúrát, amelyet az olyan vállalati beszállítók üzemeltetnek, mint az IBM. Ha az ilyen környezetekben bekövetkező incidensekről nem tesznek jelentést, a támadók hosszabb lehetőséget kapnak az ellopott adatok kihasználására.

A más potenciális visszaélést bejelentőkre gyakorolt bénító hatás szintén valós. Ha a nagyvállalatok alkalmazottai azt látják, hogy a biztonsági aggályok belső felvetése megtorláshoz vezet a kárelhárítás helyett, kevesebben fognak előrelépni. Ez a hallgatás az egész iparágra kiterjedően növeli a kockázatot.

Hogyan kellene kinéznie az érdemi incidens-átláthatóságnak

Az IBM-et érintő állítások rávilágítanak arra a szakadékra, amely az incidensek átláthatóságának kellene lennie, és a gyakorlatban gyakran megtörténik. A valódi átláthatóság megköveteli a gyors belső eszkalációt, a szabályozók és érintett ügyfelek időben történő értesítését, az incidens hatókörének és jellegének őszinte közzétételét, valamint az egyértelmű kommunikációt azokkal a személyekkel, akiknek az adatai érintettek lehetnek.

Az Egyesült Államok szabályozási keretrendszere szövetségi szinten mozaikszerű, ami olyan kétértelműségi teret teremt, amelyet a nagy szervezetek kihasználhatnak. Az Értékpapír- és Tőzsdefelügyelet (SEC) az utóbbi években lépéseket tett a nyilvános vállalatok incidens-közzétételi szabályainak szigorítására, de a végrehajtás továbbra is egyenetlen. A Barlow-ügy lendületet adhat a szigorúbb kötelező határidőknek és a szándékos eltitkolás súlyosabb büntetéseinek.

A nagy technológiai beszállítókkal szerződő vállalatok számára ez az eset emlékeztetőül szolgál arra, hogy az adatvédelmi incidensek bejelentésére vonatkozó követelményeket közvetlenül a szerződésekbe kell foglalni, egyértelmű határidőkkel és pénzügyi büntetésekkel a be nem jelentés esetére. Azok a beszállítói kockázatkezelési programok, amelyek kizárólag az önbevallásra támaszkodnak, eredendően sebezhetőek az olyan típusú magatartással szemben, amilyet Barlow állít.

Mit jelent ez Önnek

Ha olyan szervezetnél dolgozik, amely IBM-szolgáltatásokat vesz igénybe, ez a pillanat alkalmas arra, hogy felülvizsgálja a beszállítói szerződéseket, és közvetlen kérdéseket tegyen fel az incidensreagálással és a közzétételi kötelezettségekkel kapcsolatban. Az egyének számára a gyakorlati valóság az, hogy személyes adatai olyan vállalati beszállítókon keresztül áramolhatnak, akikkel soha nem lépnek közvetlen kapcsolatba, ami megnehezíti a kitettségük nyomon követését.

Vannak konkrét lépések, amelyeket megtehet. Rendszeresen ellenőrizze a hiteljelentéseket és a pénzügyi számlákat jogosulatlan tevékenységek jelei után kutatva. Használjon egyedi jelszavakat a különböző szolgáltatásokban, hogy egyetlen hitelesítőadat-szivárgás ne vezessen további kompromittálódáshoz. Fontolja meg olyan személyazonosság-figyelő szolgáltatások igénybevételét, amelyek riasztják, ha adatai megjelennek az ismert adatvédelmi incidens adatbázisokban.

A Barlow-állítások emlékeztetnek arra, hogy a kiberbiztonsági elszámoltathatóság nem áll meg a vállalati határoknál. Akár fogyasztó, akár közszférában dolgozó munkavállaló, akár beszállítókat értékelő vállalkozás, annak megértése, hogyan kezelik adatait, és mi történik, ha valami rosszul sül el, többé már nem választható. Követeljen átláthatóságot azoktól a cégektől, amelyek az adatait birtokolják, és támogassa azokat a jogi és szabályozási kereteket, amelyek ezt az átláthatóságot kikényszeríthetővé teszik.