Πρώην ανώτατο στέλεχος κυβερνοασφάλειας κατηγορεί την IBM ότι υπέστη επανειλημμένες επιθέσεις από κρατικούς χάκερ και τις απέκρυψε από αρχές και πελάτες. Η υπόθεση θέτει στο στόχαστρο την αξιοπιστία των μεγάλων προμηθευτών κυβερνοασφάλειας του αμερικανικού Δημοσίου.
Στο επίκεντρο σφοδρής νομικής και θεσμικής αντιπαράθεσης βρίσκεται η IBM, μετά τις καταγγελίες πρώην ανώτατου στελέχους κυβερνοασφάλειας ότι ο τεχνολογικός κολοσσός υπέστη πολλαπλές σοβαρές παραβιάσεις συστημάτων την προηγούμενη δεκαετία και τις απέκρυψε συστηματικά.
Οι καταγγελίες για APT10 και χιλιάδες παραβιάσεις
Ο William Barlow, αντιπρόεδρος Threat Intelligence της IBM έως τον Αύγουστο του 2019, υποστηρίζει σε αγωγή του ότι μεταξύ 2013 και 2016 κινεζική κρατικά υποστηριζόμενη ομάδα χάκερ, γνωστή ως APT10, παραβίασε τον «πυρήνα» του εταιρικού δικτύου της IBM. Σύμφωνα με την αγωγή, εσωτερική έρευνα της εταιρείας φέρεται να κατέληξε ότι σημειώθηκαν περισσότερες από 56.000 πιθανές παραβιάσεις σε αυτό το διάστημα, με πρόσβαση σε περίπου 400 λογαριασμούς και σχεδόν 200 συστήματα και διακομιστές, σε όλες τις επιχειρηματικές μονάδες της IBM και σε δεκάδες χώρες.
Η υπόθεση έρχεται στο φως μετά από προειδοποίηση, τον Μάρτιο 2017, από τις υπηρεσίες πληροφοριών της συμμαχίας Five Eyes (ΗΠΑ, Ηνωμένο Βασίλειο, Καναδάς, Αυστραλία, Νέα Ζηλανδία), που φέρονται να ενημέρωσαν την IBM για την εκστρατεία APT10. Ο Barlow υποστηρίζει ότι η εσωτερική έρευνα αποκάλυψε και παραβίαση συστημάτων που διαχειριζόταν η IBM σε συνεργασία με την AT&T, σε υποδομή που χαρακτηρίζεται ως «παρωχημένη», επιτρέποντας στους εισβολείς να κινούνται σχεδόν ανεμπόδιστα.
Κατηγορίες για απόκρυψη, ρυθμιστικοί κίνδυνοι και επιπτώσεις
Κεντρικό σημείο της αγωγής είναι ο ισχυρισμός ότι η IBM δεν ενημέρωσε ποτέ τις αρμόδιες αρχές ή την ομοσπονδιακή κυβέρνηση των ΗΠΑ – έναν από τους βασικούς της πελάτες σε έργα κυβερνοασφάλειας. Ο Barlow κάνει λόγο για «συστηματική απόκρυψη» παραβιάσεων, τόσο στο κεντρικό δίκτυο όσο και σε θυγατρικές όπως η Trusteer (κυβερνοασφάλεια, εξαγορά 2013) και η Truven (υγεία δεδομένων, εξαγορά 2016), οι οποίες φέρονται να υπέστησαν επιθέσεις μετά την ενσωμάτωσή τους στον όμιλο.
Η IBM, μέσω εκπροσώπου της, απαντά ότι η αγωγή κατατέθηκε πριν από έξι χρόνια και ότι το αμερικανικό Υπουργείο Δικαιοσύνης δεν επέλεξε να παρέμβει, τονίζοντας πως η εταιρεία είναι «βέβαιη ότι ενήργησε σύμφωνα με το γράμμα του νόμου». Ωστόσο, η υπόθεση αναδεικνύει ένα ευρύτερο, κρίσιμο ζήτημα: την αξιοπιστία των δηλώσεων παραβίασης δεδομένων από μεγάλους προμηθευτές τεχνολογίας, σε μια περίοδο που πολλαπλά νομικά πλαίσια υποχρεωτικής γνωστοποίησης παραβιάσεων έχουν τεθεί σε ισχύ διεθνώς.
Για κυβερνήσεις, επιχειρήσεις και χρηματοπιστωτικούς οργανισμούς –συμπεριλαμβανομένων ελληνικών– το διακύβευμα είναι διπλό: αφενός η ουσιαστική ασφάλεια των κρίσιμων συστημάτων, αφετέρου η διαφάνεια και η έγκαιρη πληροφόρηση όταν κάτι πάει στραβά.
Σχόλιο 
: Η υπόθεση Barlow λειτουργεί ως προειδοποιητικό καμπανάκι: ακόμη και οι μεγαλύτεροι πάροχοι κυβερνοασφάλειας μπορεί να αποτελούν «μαύρα κουτιά» όσον αφορά τις δικές τους αδυναμίες. Για κράτη και επιχειρήσεις που στηρίζουν κρίσιμες λειτουργίες σε τέτοιους ομίλους, η διαπραγμάτευση συμβάσεων πρέπει πλέον να περιλαμβάνει αυστηρές ρήτρες διαφάνειας, εξωτερικούς ελέγχους και σαφείς υποχρεώσεις γνωστοποίησης παραβιάσεων, διαφορετικά ο επιχειρησιακός και γεωπολιτικός κίνδυνος παραμένει υποτιμημένος.
#IBM #Κυβερνοασφάλεια #DataBreach #APT10 #ΗΠΑ
