อดีตผู้บริหาร IBM วิลเลียม บาร์โลว์ เปิดโปงการปกปิดข้อมูลรั่วไหล
อดีตผู้บริหารด้านความปลอดภัยไซเบอร์ของ IBM ก้าวออกมาเป็นผู้เปิดโปง โดยกล่าวหาว่าบริษัทจงใจปกปิดการรั่วไหลของข้อมูลสำคัญหลายครั้งจากเจ้าหน้าที่รัฐบาลสหรัฐฯ ข้อกล่าวหาซึ่งปรากฏผ่านคดีความที่ยื่นโดยวิลเลียม บาร์โลว์ วาดภาพที่น่ากังวลเกี่ยวกับวิธีที่หนึ่งในบริษัทเทคโนโลยีองค์กรขนาดใหญ่ที่สุดของโลกอาจจัดการกับเหตุการณ์ความปลอดภัยที่อาจส่งผลกระทบต่อทั้งสถาบันสาธารณะและบุคคลทั่วไป ข้อกล่าวหาการปกปิดการรั่วไหลของข้อมูลของ IBM โดยผู้เปิดโปงได้จุดประเด็นการถกเถียงในวงกว้างเกี่ยวกับความรับผิดชอบขององค์กรในการเปิดเผยข้อมูลด้านความปลอดภัยไซเบอร์
สิ่งที่ผู้เปิดโปงกล่าวหา IBM
วิลเลียม บาร์โลว์ อดีตผู้บริหารระดับสูงด้านความปลอดภัยไซเบอร์ของ IBM กล่าวหาว่าเครือข่ายหลักของ IBM ถูกละเมิดหลายครั้ง และผู้บริหารระดับสูงจงใจดำเนินการเพื่อปิดบังข้อมูลดังกล่าวจากหน่วยงานกำกับดูแลและเจ้าหน้าที่สหรัฐฯ ที่เกี่ยวข้อง ตามรายงานข่าวจากคดีความ บาร์โลว์อ้างว่าการปกปิดเกิดขึ้นเป็นระยะเวลานาน ซึ่งอาจย้อนกลับไปได้มากกว่าทศวรรษ
ข้อกล่าวหาหลักไม่ใช่เพียงแค่ว่า IBM ประสบปัญหาการรั่วไหลของข้อมูล ซึ่งแม้แต่องค์กรที่ให้ความสำคัญกับความปลอดภัยมากที่สุดก็เกิดขึ้นได้เป็นครั้งคราว แต่เป็นเรื่องที่ผู้นำตัดสินใจอย่างรอบคอบเพื่อซ่อนเหตุการณ์เหล่านั้น แทนที่จะเปิดเผยผ่านช่องทางที่เหมาะสม คดีความของบาร์โลว์กล่าวหาว่าเขาแสดงความกังวลภายในองค์กร แต่ต้องเผชิญกับการต่อต้าน จนในที่สุดนำเขาไปสู่เส้นทางของผู้เปิดโปง
เอทีแอนด์ทีก็ถูกระบุชื่อในข้อกล่าวหาที่เกี่ยวข้องเช่นกัน ซึ่งชี้ให้เห็นว่าปัญหาอาจไม่ได้จำกัดอยู่เฉพาะบริษัทเดียว แต่อาจสะท้อนรูปแบบที่กว้างขึ้นในการจัดการการเปิดเผยการรั่วไหลของข้อมูลของบริษัทเทคโนโลยีและโทรคมนาคมขนาดใหญ่ เมื่อสัญญาหรือชื่อเสียงที่สำคัญตกอยู่ในความเสี่ยง
ข้อมูลใดและเจ้าหน้าที่คนใดบ้างที่ถูกกล่าวหาว่าถูกปิดบัง
รายละเอียดเฉพาะเจาะจงเกี่ยวกับข้อมูลที่ถูกเปิดเผยและเจ้าหน้าที่คนใดบ้างที่ถูกละเลยยังคงเป็นคำถามสำคัญในกระบวนการทางกฎหมายที่ดำเนินอยู่ สิ่งที่ข้อกล่าวหาระบุคือหน่วยงานกำกับดูแลของสหรัฐฯ ซึ่งปกติจะได้รับการแจ้งเตือนเกี่ยวกับการรั่วไหลที่มีนัยสำคัญภายใต้ข้อผูกพันตามสัญญาหรือกฎหมาย รายงานว่าไม่ได้รับแจ้งอย่างทันท่วงที หรือไม่ได้รับแจ้งเลย
เรื่องนี้มีความสำคัญอย่างยิ่ง เนื่องจาก IBM ให้บริการแก่หน่วยงานรัฐบาลกลาง สถาบันด้านสุขภาพ องค์กรทางการเงิน และผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญ เมื่อผู้ให้บริการในระดับนั้นประสบปัญหาการรั่วไหลของข้อมูลและปิดบังข้อมูลดังกล่าว องค์กรปลายน้ำก็ไม่สามารถประเมินความเสี่ยงของตนเอง แจ้งผู้ที่ได้รับผลกระทบ หรือใช้มาตรการควบคุมชดเชยได้ โดยเฉพาะอย่างยิ่งหน่วยงานรัฐบาลพึ่งพาการเปิดเผยเหตุการณ์จากผู้ให้บริการ เพื่อให้สามารถตรวจสอบและปกป้องช่องทางข้อมูลที่อ่อนไหวหรือเป็นความลับได้
กรณีนี้ไม่ได้เกิดขึ้นอย่างโดดเดี่ยวในภาพรวมด้านความปลอดภัยของ IBM เหตุการณ์ก่อนหน้านี้ที่เกี่ยวข้องกับ บริษัทลูกของ IBM ในอิตาลีเชื่อมโยงกับปฏิบัติการไซเบอร์ของจีน แสดงให้เห็นว่าการโจมตีโครงสร้างพื้นฐานที่เชื่อมต่อกับ IBM สามารถส่งผลกระทบในวงกว้างต่อสถาบันสาธารณะที่พึ่งพาโครงสร้างพื้นฐานนั้นสำหรับบริการที่สำคัญได้อย่างไร
เหตุใดการปกปิดการรั่วไหลของข้อมูลโดยองค์กรจึงทำให้ผู้ใช้รายบุคคลตกอยู่ในความเสี่ยง
เมื่อบริษัทปิดบังการเปิดเผยการรั่วไหลของข้อมูล ความเสียหายจะส่งตรงถึงประชาชนทั่วไป บุคคลที่มีข้อมูลส่วนตัวอยู่ในระบบที่บริหารจัดการโดย IBM ไม่ว่าจะผ่านผู้ให้บริการด้านสุขภาพ โครงการสวัสดิการของรัฐ หรือสถาบันการเงิน อาจไม่มีทางรู้เลยว่าข้อมูลของพวกเขาถูกเปิดเผย หากไม่ได้รับการแจ้งเตือนนั้น พวกเขาก็ไม่สามารถดำเนินการขั้นตอนปกป้อง เช่น การตรวจสอบการโจรกรรมข้อมูลประจำตัว การเปลี่ยนข้อมูลรับรอง หรือการแจ้งเตือนการทุจริต
ความเสี่ยงในวงกว้างเป็นความเสี่ยงเชิงระบบ องค์กรที่จัดการข้อมูลในนามของผู้คนนับล้านมีพันธะความไว้วางใจโดยนัย เมื่อพันธะนั้นถูกละเมิดผ่านการปกปิดแทนที่จะเป็นความโปร่งใส มันจะบ่อนทำลายกรอบกฎหมายการแจ้งเตือนการรั่วไหลของข้อมูลทั้งหมดที่มีอยู่เพื่อปกป้องผู้บริโภค กฎหมายอย่างเช่น พระราชบัญญัติความสามารถในการโอนย้ายและความรับผิดชอบของประกันสุขภาพ และกฎหมายการแจ้งเตือนการรั่วไหลในระดับรัฐต่างๆ มีขึ้นเพราะสมาชิกสภานิติบัญญัติตระหนักว่า หากปล่อยให้บริษัทตัดสินใจเอง บริษัทอาจให้ความสำคัญกับชื่อเสียงมากกว่าการเปิดเผย
การเปิดเผยข้อมูลรับรองและข้อมูลขนาดใหญ่เป็นภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่องทั่วทั้งระบบนิเวศองค์กร กรอบการโจมตีที่ซับซ้อน เช่นที่อธิบายไว้ในรายงานข่าวเกี่ยวกับ มัลแวร์ PCPJack ที่ใช้ประโยชน์จากช่องโหว่ข้อมูลรับรองคลาวด์ แสดงให้เห็นว่าผู้โจมตีมุ่งเป้าไปที่โครงสร้างพื้นฐานคลาวด์ขนาดใหญ่แบบที่ผู้ให้บริการองค์กรอย่าง IBM ดำเนินการอยู่ เมื่อการรั่วไหลในสภาพแวดล้อมเช่นนี้ไม่ถูกรายงาน ผู้โจมตีจะมีช่วงเวลาที่ยาวนานขึ้นในการใช้ประโยชน์จากข้อมูลที่ถูกขโมย
ผลกระทบในเชิงยับยั้งต่อผู้ที่อาจเป็นผู้เปิดโปงคนอื่นๆ ก็มีอยู่จริงเช่นกัน หากพนักงานในบริษัทขนาดใหญ่เห็นว่าการแสดงความกังวลด้านความปลอดภัยภายในนำไปสู่การตอบโต้ มากกว่าการแก้ไข คนก็จะกล้าออกมาเปิดเผยข้อมูลน้อยลง ความเงียบนั้นจะทวีความเสี่ยงไปทั่วทั้งอุตสาหกรรม
ความโปร่งใสในการรั่วไหลของข้อมูลที่มีความหมายควรเป็นอย่างไร
ข้อกล่าวหาต่อ IBM ตอกย้ำช่องว่างระหว่างสิ่งที่ความโปร่งใสในการรั่วไหลของข้อมูลควรจะเป็น กับสิ่งที่มักเกิดขึ้นในทางปฏิบัติ ความโปร่งใสอย่างแท้จริงต้องการการยกระดับเรื่องภายในอย่างทันท่วงที การแจ้งเตือนหน่วยงานกำกับดูแลและลูกค้าที่ได้รับผลกระทบอย่างทันเวลา การเปิดเผยขอบเขตและลักษณะของการรั่วไหลอย่างตรงไปตรงมา และการสื่อสารที่ชัดเจนไปยังบุคคลที่ข้อมูลอาจถูกบุกรุก
กรอบการกำกับดูแลในสหรัฐอเมริกามีลักษณะเป็นปะติดปะต่อในระดับรัฐบาลกลาง ซึ่งสร้างช่องว่างความคลุมเครือที่องค์กรขนาดใหญ่สามารถใช้ประโยชน์ได้ คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ได้ดำเนินการในช่วงไม่กี่ปีที่ผ่านมาเพื่อเข้มงวดกฎการเปิดเผยการรั่วไหลของบริษัทมหาชน แต่การบังคับใช้ยังคงไม่สม่ำเสมอ กรณีของบาร์โลว์อาจสร้างแรงผลักดันให้มีกำหนดเวลาบังคับที่เข้มงวดขึ้น และบทลงโทษที่รุนแรงขึ้นสำหรับการจงใจปกปิด
สำหรับองค์กรที่ทำสัญญากับผู้ให้บริการเทคโนโลยีรายใหญ่ กรณีนี้เป็นเครื่องเตือนใจให้สร้างข้อกำหนดการแจ้งเตือนการรั่วไหลของข้อมูลโดยตรงลงในสัญญา พร้อมกำหนดเวลาที่ชัดเจนและบทลงโทษทางการเงินสำหรับการไม่เปิดเผย โปรแกรมการจัดการความเสี่ยงจากผู้ให้บริการที่อาศัยเพียงการรายงานตนเองของผู้ให้บริการนั้นมีความเปราะบางโดยธรรมชาติต่อพฤติกรรมแบบที่บาร์โลว์กล่าวหา
สิ่งนี้มีความหมายต่อคุณอย่างไร
หากคุณทำงานให้กับองค์กรที่ใช้บริการของ IBM นี่คือช่วงเวลาที่จะทบทวนสัญญากับผู้ให้บริการของคุณ และถามคำถามโดยตรงเกี่ยวกับการตอบสนองต่อเหตุการณ์และภาระผูกพันในการเปิดเผยข้อมูล สำหรับบุคคลทั่วไป ความจริงในทางปฏิบัติคือข้อมูลส่วนตัวของคุณอาจผ่านผู้ให้บริการองค์กรที่คุณไม่เคยโต้ตอบด้วยโดยตรง ทำให้การติดตามความเสี่ยงของคุณทำได้ยาก
มีขั้นตอนที่เป็นรูปธรรมที่คุณสามารถทำได้ ตรวจสอบรายงานเครดิตและบัญชีทางการเงินเป็นประจำเพื่อหาสัญญาณของกิจกรรมที่ไม่ได้รับอนุญาต ใช้รหัสผ่านที่ไม่ซ้ำกันในแต่ละบริการ เพื่อไม่ให้การเปิดเผยข้อมูลรับรองเพียงครั้งเดียวลุกลาม พิจารณาใช้บริการตรวจสอบข้อมูลประจำตัวที่แจ้งเตือนคุณเมื่อข้อมูลของคุณปรากฏในฐานข้อมูลการรั่วไหลที่รู้จัก
ข้อกล่าวหาของบาร์โลว์เป็นเครื่องเตือนใจว่าความรับผิดชอบด้านความปลอดภัยไซเบอร์ไม่ได้หยุดอยู่แค่ขอบเขตขององค์กร ไม่ว่าคุณจะเป็นผู้บริโภค พนักงานภาครัฐ หรือธุรกิจที่กำลังประเมินผู้ให้บริการ การทำความเข้าใจว่าข้อมูลของคุณถูกจัดการอย่างไร และจะเกิดอะไรขึ้นเมื่อสิ่งต่างๆ ผิดพลาด ไม่ใช่ทางเลือกอีกต่อไป เรียกร้องความโปร่งใสจากบริษัทที่เก็บรักษาข้อมูลของคุณ และสนับสนุนกรอบกฎหมายและข้อบังคับที่ทำให้ความโปร่งใสบังคับใช้ได้จริง
