Викривач з IBM Вільям Барлоу звинувачує в приховуванні витоків даних

Викривач з IBM Вільям Барлоу звинувачує в приховуванні витоків даних

Колишній керівник відділу кібербезпеки IBM став викривачем, звинувачуючи компанію в навмисному приховуванні кількох значних витоків даних від посадовців уряду США. Звинувачення, які з’явилися завдяки позову, поданому Вільямом Барлоу, малюють тривожну картину того, як одна з найбільших світових компаній із корпоративних технологій могла поводитися з інцидентами безпеки, що потенційно зачіпали як державні установи, так і приватних осіб. Звинувачення викривача щодо приховування витоку даних в IBM знову розпалили ширшу дискусію про корпоративну відповідальність у сфері розкриття інформації про кібербезпеку.

Що викривач стверджує проти IBM

Вільям Барлоу, колишній старший керівник із кібербезпеки в IBM, стверджує, що основна мережа IBM зазнавала зламів неодноразово, і що вище керівництво вживало навмисних заходів, аби приховати цю інформацію від регуляторів та відповідних посадовців США. Згідно з повідомленнями на основі позову, Барлоу заявляє, що приховування тривало протягом значного періоду, можливо, понад десять років.

Основне звинувачення полягає не просто в тому, що IBM зазнавала витоків – адже таке час від часу трапляється навіть у найбільш безпеко-орієнтованих організаціях, – а в тому, що керівництво ухвалило свідоме рішення приховати ці інциденти, а не повідомити про них через належні канали. У позові Барлоу стверджується, що він висловлював занепокоєння всередині компанії, але зіткнувся з опором, що врешті-решт спонукало його стати на шлях викривача.

Компанія AT&T також згадується в пов’язаних звинуваченнях, що свідчить про те, що проблема може не обмежуватися однією компанією, а відображати ширші тенденції у тому, як великі корпоративні технологічні та телекомунікаційні фірми ставляться до розкриття витоків, коли на кону стоять значні контракти чи репутація.

Які дані та які посадовці, імовірно, залишалися в невіданні

Конкретні дані про те, яка інформація була скомпрометована та яких посадовців обійшли, залишаються центральними питаннями в поточному судовому процесі. Наявні звинувачення вказують на те, що американські регулятори, які зазвичай отримують повідомлення про значні витоки відповідно до договірних або юридичних зобов’язань, нібито не були поінформовані вчасно або не були поінформовані взагалі.

Це має величезне значення, оскільки IBM обслуговує федеральні відомства, медичні заклади, фінансові організації та операторів критичної інфраструктури. Коли постачальник такого масштабу зазнає витоку і приховує цю інформацію, організації-клієнти не можуть оцінити власний ризик, повідомити постраждалих осіб або впровадити компенсаційні заходи. Державні установи особливо залежать від того, щоб постачальники розкривали інциденти, аби можна було перевірити та захистити канали передачі секретної або чутливої інформації.

Цей випадок не є поодиноким у загальній картині безпеки IBM. Раніший інцидент за участю італійської філії IBM, пов’язаної з китайськими кіберопераціями, продемонстрував, як атаки на інфраструктуру, пов’язану з IBM, можуть мати широкі наслідки для державних установ, які покладаються на цю інфраструктуру для критичних послуг.

Чому корпоративне приховування витоків наражає на ризик звичайних користувачів

Коли компанії приховують повідомлення про витоки, шкода безпосередньо зачіпає звичайних людей. Особи, чиї персональні дані зберігаються в системах, якими керує IBM – чи то через медичного провайдера, державну програму допомоги, чи фінансову установу, – можуть ніколи не дізнатися, що їхню інформацію було скомпрометовано. Без такого повідомлення вони не можуть вжити захисних заходів, як-от відстеження крадіжки особистих даних, зміна облікових даних або встановлення сповіщень про шахрайство.

Ширший ризик є системним. Підприємства, які керують даними мільйонів людей, несуть неявне зобов’язання щодо довіри. Коли це зобов’язання порушується через приховування, а не прозорість, це підриває всю систему законів про повідомлення про витоки, які існують для захисту споживачів. Такі закони, як Закон про переносимість і підзвітність медичного страхування (HIPAA) та різні закони штатів про повідомлення про витоки, з’явилися саме тому, що законодавці визнали: компанії, залишені на власний розсуд, можуть віддати перевагу репутації перед розкриттям інформації.

Масштабне розкриття облікових даних і даних є постійною загрозою в корпоративній екосистемі. Складні набори інструментів для атак, як-от описані в звітах про шкідливе ПЗ PCPJack, що використовує вразливості хмарних облікових даних, ілюструють, як зловмисники активно націлюються на розгалужену хмарну інфраструктуру, яку використовують такі корпоративні постачальники, як IBM. Коли про витоки в подібних середовищах не повідомляється, зловмисники отримують довше вікно можливостей для використання викрадених даних.

Стримувальний вплив на інших потенційних викривачів також є реальним. Якщо працівники великих корпорацій бачать, що висловлення занепокоєння щодо безпеки всередині компанії призводить до помсти, а не до виправлення ситуації, менше людей наважиться виступити. Це мовчання посилює ризики в усій галузі.

Як має виглядати справжня прозорість щодо витоків

Звинувачення проти IBM підкреслюють розрив між тим, як має виглядати прозорість щодо витоків, і тим, що часто відбувається на практиці. Справжня прозорість вимагає негайної внутрішньої ескалації, своєчасного повідомлення регуляторів і постраждалих клієнтів, чесного розкриття масштабу та характеру витоку, а також чіткої комунікації з особами, чиї дані могли бути скомпрометовані.

Регуляторні рамки в Сполучених Штатах на федеральному рівні є фрагментарними, що створює простір для неоднозначності, яким можуть скористатися великі організації. Комісія з цінних паперів і бірж останніми роками посилила правила розкриття інформації про витоки для публічних компаній, але правозастосування залишається нерівномірним. Справа Барлоу може надати поштовх для запровадження більш жорстких обов’язкових строків і суворіших покарань за навмисне приховування.

Для підприємств, які укладають контракти з великими технологічними постачальниками, цей випадок є нагадуванням про необхідність вбудовувати вимоги щодо повідомлення про витоки безпосередньо в контракти, з чіткими строками та фінансовими штрафами за нерозкриття. Програми управління ризиками постачальників, які покладаються виключно на самозвітування, за своєю суттю вразливі до саме такої поведінки, яку стверджує Барлоу.

Що це означає для вас

Якщо ви працюєте в організації, яка користується послугами IBM, це момент для перегляду ваших контрактів із постачальниками та прямих запитань про зобов’язання щодо реагування на інциденти й розкриття інформації. Для приватних осіб практична реальність така, що ваші персональні дані можуть проходити через корпоративних постачальників, з якими ви ніколи не взаємодієте безпосередньо, що ускладнює відстеження ваших ризиків.

Є конкретні кроки, які ви можете зробити. Регулярно перевіряйте кредитні звіти та фінансові рахунки на наявність ознак несанкціонованої активності. Використовуйте унікальні паролі для різних сервісів, щоб скомпрометування одних облікових даних не призвело до каскадного ефекту. Розгляньте сервіси моніторингу ідентичності, які сповіщають вас про появу вашої інформації у відомих базах витоків.

Звинувачення Барлоу слугують нагадуванням про те, що відповідальність за кібербезпеку не закінчується на корпоративному периметрі. Незалежно від того, чи ви споживач, працівник державного сектору або бізнес, який оцінює постачальників, розуміння того, як обробляються ваші дані та що відбувається, коли щось іде не так, більше не є факультативним. Вимагайте прозорості від компаній, які зберігають ваші дані, і підтримуйте правові та регуляторні рамки, які роблять цю прозорість обов’язковою до виконання.