Информатор из IBM Уильям Барлоу заявляет о сокрытии утечек данных

Информатор из IBM Уильям Барлоу заявляет о сокрытии утечек данных

Бывший руководитель по кибербезопасности IBM стал информатором, утверждая, что компания намеренно скрыла несколько серьёзных утечек данных от официальных лиц США. Претензии, появившиеся в иске, поданном Уильямом Барлоу, рисуют тревожную картину того, как одна из крупнейших в мире технологических компаний могла обрабатывать инциденты безопасности, которые могли затронуть как государственные учреждения, так и частных лиц. Обвинения информатора в сокрытии утечек данных в IBM возобновили более широкую дискуссию о корпоративной ответственности за раскрытие информации о кибербезопасности.

Что утверждает информатор в отношении IBM

Уильям Барлоу, бывший старший руководитель по кибербезопасности в IBM, утверждает, что основная сеть IBM неоднократно подвергалась взломам, и что высшее руководство предпринимало намеренные шаги, чтобы скрыть эту информацию от регуляторов и соответствующих должностных лиц США. Согласно публикациям, основанным на иске, Барлоу заявляет, что сокрытие продолжалось значительный период, возможно, более десяти лет.

Основное обвинение не только в том, что IBM подверглась утечкам, что иногда случается даже с самыми бдительными организациями, но и в том, что руководство приняло осознанное решение скрыть эти инциденты, а не раскрыть их по надлежащим каналам. В иске Барлоу утверждается, что он высказывал опасения внутри компании и столкнулся с сопротивлением, что в конечном итоге заставило его пойти по пути информатора.

Компания AT&T также упоминается в связанных обвинениях, что указывает на то, что проблема может не ограничиваться одной компанией, а отражать более широкие модели поведения крупных технологических и телекоммуникационных компаний при раскрытии утечек, когда на кону стоят значительные контракты или репутация.

Какие данные и какие должностные лица якобы остались в неведении

Конкретные сведения о том, какие данные были раскрыты и какие должностные лица были обойдены, остаются центральными вопросами в продолжающемся судебном разбирательстве. Из утверждений следует, что американские регуляторы, которые обычно уведомляются о значительных утечках в соответствии с контрактными или юридическими обязательствами, не были проинформированы своевременно или вовсе не были проинформированы.

Это чрезвычайно важно, поскольку IBM обслуживает федеральные агентства, медицинские учреждения, финансовые организации и операторов критической инфраструктуры. Когда поставщик такого масштаба подвергается утечке и скрывает эту информацию, зависящие от него организации не могут оценить собственные риски, уведомить пострадавших или внедрить компенсирующие меры контроля. Государственные учреждения особенно полагаются на раскрытие инцидентов поставщиками, чтобы можно было проверить и защитить потоки секретных или чувствительных данных.

Этот случай не единичный в общей картине безопасности IBM. Более ранний инцидент, связанный с итальянским подразделением IBM и китайскими кибероперациями, показал, как атаки на инфраструктуру, связанную с IBM, могут иметь широкие последствия для государственных учреждений, которые полагаются на эту инфраструктуру для оказания критически важных услуг.

Почему корпоративное сокрытие утечек подвергает риску обычных пользователей

Когда компании скрывают факты утечек, вред напрямую затрагивает обычных людей. Люди, чьи персональные данные находятся в системах, управляемых IBM, будь то через медицинское учреждение, государственную программу пособий или финансовую организацию, могут никогда не узнать, что их информация была раскрыта. Без такого уведомления они не могут предпринять защитные меры, такие как мониторинг на предмет кражи личных данных, смена учетных данных или установка предупреждений о мошенничестве.

Более широкий риск носит системный характер. Предприятия, которые управляют данными миллионов людей, несут неявное обязательство по доверию. Когда это обязательство нарушается путем сокрытия, а не прозрачности, это подрывает всю систему законов об уведомлении об утечках, предназначенных для защиты потребителей. Такие законы, как Закон о переносимости и подотчетности медицинского страхования и различные законы штатов об уведомлении об утечках, существуют именно потому, что законодатели осознавали, что компании, предоставленные сами себе, могут поставить репутацию выше раскрытия информации.

Масштабные раскрытия учетных данных и информации представляют собой постоянную угрозу для всей корпоративной экосистемы. Сложные схемы атак, такие как описанные в сообщениях о вредоносном ПО PCPJack, использующем уязвимости облачных учетных данных, показывают, как злоумышленники активно нацелены на обширную облачную инфраструктуру, которую эксплуатируют такие корпоративные поставщики, как IBM. Когда утечки в подобных средах не регистрируются, злоумышленники имеют более долгое окно возможностей для использования украденных данных.

Сдерживающий эффект для других потенциальных информаторов также реален. Если сотрудники крупных корпораций видят, что выражение обеспокоенности по вопросам безопасности внутри компании приводит к возмездию, а не к устранению проблем, меньше людей будут выступать с информацией. Это молчание усугубляет риски во всей отрасли.

Как должна выглядеть настоящая прозрачность в отношении утечек

Обвинения в отношении IBM подчеркивают разрыв между тем, как должна выглядеть прозрачность в отношении утечек, и тем, что часто происходит на практике. Подлинная прозрачность требует своевременной внутренней эскалации, оперативного уведомления регуляторов и затронутых клиентов, честного раскрытия масштабов и характера утечки, а также ясной коммуникации с людьми, чьи данные могли быть скомпрометированы.

Нормативно-правовая база в Соединенных Штатах на федеральном уровне представляет собой лоскутное одеяло, что создает пространство для неоднозначности, которым могут воспользоваться крупные организации. Комиссия по ценным бумагам и биржам в последние годы предприняла шаги по ужесточению правил раскрытия утечек для публичных компаний, но правоприменение остается неравномерным. Дело Барлоу может придать импульс для введения более строгих обязательных сроков и более суровых наказаний за умышленное сокрытие.

Для предприятий, заключающих контракты с крупными технологическими поставщиками, этот случай служит напоминанием о необходимости включать требования об уведомлении об утечках непосредственно в контракты, с четкими сроками и финансовыми санкциями за их нераскрытие. Программы управления рисками поставщиков, которые полагаются исключительно на самоотчетность, по своей сути уязвимы именно для такого поведения, о котором заявляет Барлоу.

Что это значит для вас

Если вы работаете в организации, использующей услуги IBM, сейчас самое время пересмотреть контракты с поставщиками и задать прямые вопросы о процедурах реагирования на инциденты и обязательствах по раскрытию информации. Для частных лиц практическая реальность такова, что ваши персональные данные могут проходить через корпоративных поставщиков, с которыми вы никогда не взаимодействуете напрямую, что затрудняет отслеживание ваших рисков.

Вы можете предпринять конкретные шаги. Регулярно проверяйте кредитные отчеты и финансовые счета на предмет признаков несанкционированной активности. Используйте уникальные пароли для разных сервисов, чтобы раскрытие одних учетных данных не вызвало цепной реакции. Рассмотрите услуги мониторинга личных данных, которые предупреждают вас о появлении вашей информации в известных базах данных утечек.

Обвинения Барлоу служат напоминанием о том, что ответственность за кибербезопасность не заканчивается на корпоративном периметре. Будь вы потребителем, сотрудником государственного сектора или компанией, оценивающей поставщиков, понимание того, как обрабатываются ваши данные и что происходит, когда что-то идет не так, больше не является необязательным. Требуйте прозрачности от компаний, которые хранят ваши данные, и поддерживайте правовые и нормативные рамки, которые делают эту прозрачность обязательной.