Cine este William Barlow?

William Barlow este un fost director executiv senior de securitate cibernetică la IBM care a depus un proces de avertizor de integritate, susținând că firma a ascuns mai multe breșe de date semnificative de oficialii guvernului american.

Ce susține procesul lui William Barlow cu privire la IBM?

Acesta susține că rețeaua centrală a IBM a fost compromisă în mod repetat, posibil pe parcursul a peste un deceniu, și că managementul superior a luat o decizie calculată de a ascunde acele incidente de autoritățile de reglementare și de oficiali.

Ce oficiali sau autorități de reglementare americane ar fi fost ținuți în necunoștință?

Acuzațiile indică faptul că autoritățile de reglementare americane care ar primi în mod normal notificări privind breșele în temeiul obligațiilor contractuale sau legale se pare că nu au fost informate la timp sau nu au fost informate deloc.

De ce este presupusa mușamalizare o preocupare serioasă pentru clienții IBM?

Pentru că IBM deservește agenții federale, instituții medicale, organizații financiare și operatori de infrastructură critică, iar ascunderea informațiilor despre breșe le împiedică să își evalueze propria expunere, să notifice persoanele afectate sau să implementeze controale compensatorii.

Menționează articolul și alte incidente similare care implică IBM?

Da, se menționează că AT&T a fost numită în acuzații conexe și se face referire la un incident anterior în care filiala IBM din Italia a fost compromisă și legată de operațiuni cibernetice chineze, sugerând un tipar mai larg.

Avertizorul de integritate IBM William Barlow acuză mușamalizarea unor breșe de securitate

Un fost director executiv de securitate cibernetică de la IBM a devenit avertizor de integritate, susținând că firma a ascuns în mod deliberat mai multe breșe semnificative de date de oficialii guvernului american. Acuzațiile, apărute printr-un proces intentat de William Barlow, conturează o imagine tulburătoare a modului în care una dintre cele mai mari companii de tehnologie pentru întreprinderi din lume ar fi gestionat incidente de securitate ce ar fi putut afecta atât instituții publice, cât și persoane private. Acuzațiile avertizorului de integritate privind mușamalizarea breșelor de date la IBM au redeschis o conversație mai amplă despre responsabilitatea corporativă în divulgarea incidentelor de securitate cibernetică.

Ce susține avertizorul de integritate împotriva IBM

William Barlow, un fost director executiv senior de securitate cibernetică la IBM, susține că rețeaua centrală a IBM a fost compromisă în mai multe rânduri și că managementul superior a luat măsuri deliberate pentru a ascunde aceste informații autorităților de reglementare și oficialilor americani relevanți. Conform relatărilor bazate pe proces, Barlow afirmă că mușamalizarea s-a întins pe o perioadă semnificativă, mergând posibil până la peste un deceniu.

Acuzația centrală nu este doar că IBM a suferit breșe de securitate – ceea ce se întâmplă ocazional chiar și în organizațiile cele mai atente la securitate – ci că conducerea a luat o decizie calculată de a ascunde aceste incidente în loc să le dezvăluie prin canalele corespunzătoare. Procesul lui Barlow susține că acesta a ridicat preocupări pe plan intern și s-a lovit de rezistență, ceea ce l-a determinat în cele din urmă să urmeze calea avertizorului de integritate.

AT&T a fost, de asemenea, numită în acuzații conexe, sugerând că problema s-ar putea să nu fie izolată la o singură companie, ci ar putea reflecta tipare mai largi privind modul în care marile firme de tehnologie și telecomunicații gestionează divulgarea breșelor atunci când sunt în joc contracte semnificative sau reputația.

Ce date și ce oficiali ar fi fost ținuți în necunoștință

Detaliile privind ce date au fost expuse și ce oficiali au fost ocoliți rămân întrebări centrale în cadrul procedurilor judiciare în curs. Ceea ce indică acuzațiile este că autoritățile de reglementare americane, care în mod normal ar fi primit notificări privind breșele semnificative în temeiul obligațiilor contractuale sau legale, se pare că nu au fost informate la timp sau nu au fost informate deloc.

Acest lucru contează enorm, deoarece IBM deservește agenții federale, instituții medicale, organizații financiare și operatori de infrastructură critică. Atunci când un furnizor de o asemenea anvergură suferă o breșă și ascunde acele informații, organizațiile din aval nu își pot evalua propria expunere, nu pot notifica persoanele afectate și nu pot implementa controale compensatorii. Agențiile guvernamentale, în special, depind de furnizori pentru a dezvălui incidentele, astfel încât fluxurile de date clasificate sau sensibile să poată fi revizuite și protejate.

Acest caz nu este izolat în tabloul mai larg al securității IBM. Un incident anterior care a implicat breșa filialei IBM Italia legată de operațiuni cibernetice chineze a demonstrat cum atacurile împotriva infrastructurii conectate la IBM pot avea consecințe ample pentru instituțiile publice care se bazează pe acea infrastructură pentru servicii critice.

De ce mușamalizările corporative ale breșelor pun utilizatorii individuali în pericol

Atunci când companiile suprimă divulgarea breșelor, prejudiciul se îndreaptă direct către oamenii obișnuiți. Persoanele ale căror date personale se află în sisteme administrate de IBM, fie printr-un furnizor de servicii medicale, un program de beneficii guvernamentale sau o instituție financiară, s-ar putea să nu afle niciodată că informațiile lor au fost expuse. Fără acea notificare, ele nu pot lua măsuri de protecție, cum ar fi monitorizarea furtului de identitate, schimbarea credențialelor sau plasarea de alerte de fraudă.

Riscul mai amplu este sistemic. Întreprinderile care gestionează date în numele a milioane de oameni poartă o obligație implicită de încredere. Atunci când această obligație este încălcată prin ascundere, mai degrabă decât prin transparență, se subminează întregul cadru al legilor privind notificarea breșelor care există pentru a proteja consumatorii. Legi precum Health Insurance Portability and Accountability Act și diverse statute statale privind notificarea breșelor există tocmai pentru că legislatorii au recunoscut că firmele lăsate să acționeze singure ar putea prioritiza reputația în dauna divulgării.

Expunerea pe scară largă a credențialelor și a datelor este o amenințare persistentă în întregul ecosistem al întreprinderilor. Cadre de atac sofisticate, precum cele descrise în relatările despre malware-ul PCPJack care exploatează vulnerabilități ale credențialelor cloud, ilustrează modul în care atacatorii vizează activ tipul de infrastructură cloud extinsă pe care o operează furnizori precum IBM. Atunci când breșele în astfel de medii nu sunt raportate, atacatorii păstrează o fereastră mai lungă de oportunitate pentru a exploata datele furate.

Efectul de intimidare asupra altor potențiali avertizori de integritate este, de asemenea, real. Dacă angajații din marile corporații văd că ridicarea preocupărilor de securitate pe plan intern duce la represalii în loc de remediere, mai puține persoane vor ieși în față. Această tăcere sporește riscul în întreaga industrie.

Cum ar trebui să arate o transparență reală în privința breșelor

Acuzațiile la adresa IBM subliniază decalajul dintre cum ar trebui să arate transparența în privința breșelor și ce se întâmplă adesea în practică. Transparența autentică necesită o escaladare internă promptă, notificarea la timp a autorităților de reglementare și a clienților afectați, divulgarea onestă a amplorii și naturii breșei și o comunicare clară către persoanele ale căror date ar fi putut fi compromise.

Cadrele de reglementare din Statele Unite sunt fragmentate la nivel federal, ceea ce creează un spațiu de ambiguitate pe care marile organizații îl pot exploata. Comisia pentru Bursă și Valori Mobiliare (SEC) a făcut pași în ultimii ani pentru a înăspri regulile de divulgare a breșelor pentru companiile publice, însă aplicarea rămâne inegală. Cazul Barlow ar putea oferi un impuls pentru termene obligatorii mai stricte și penalități mai severe pentru ascunderea intenționată.

Pentru întreprinderile care contractează cu mari furnizori de tehnologie, acest caz este un memento de a include cerințele de notificare a breșelor direct în contracte, cu termene clare și penalități financiare pentru nedivulgare. Programele de gestionare a riscului furnizorilor care se bazează exclusiv pe autodeclarare sunt în mod inerent vulnerabile la exact tipul de comportament pe care îl susține Barlow.

Ce înseamnă acest lucru pentru dumneavoastră

Dacă lucrați pentru o organizație care utilizează servicii IBM, acesta este un moment pentru a revizui contractele cu furnizorii și a pune întrebări directe despre răspunsul la incidente și obligațiile de divulgare. Pentru persoane fizice, realitatea practică este că datele dumneavoastră personale pot trece prin furnizori de întreprindere cu care nu interacționați niciodată direct, ceea ce face dificil de urmărit expunerea.

Există pași concreți pe care îi puteți face. Monitorizați periodic rapoartele de credit și conturile financiare pentru semne de activitate neautorizată. Folosiți parole unice pentru fiecare serviciu, astfel încât o singură expunere a credențialelor să nu se extindă. Luați în considerare servicii de monitorizare a identității care vă alertează atunci când informațiile dumneavoastră apar în bazele de date cunoscute ale breșelor.

Acuzațiile Barlow sunt un memento că responsabilitatea în securitatea cibernetică nu se oprește la perimetrul corporativ. Fie că sunteți un consumator, un angajat din sectorul public sau o companie care evaluează furnizori, înțelegerea modului în care sunt gestionate datele dumneavoastră și a ce se întâmplă atunci când lucrurile merg prost nu mai este opțională. Cereți transparență din partea companiilor care dețin datele dumneavoastră și sprijiniți cadrele legale și de reglementare care fac acea transparență aplicabilă.