Conform plângerii lui Barlow, rețeaua principală a IBM era „spartă în mod obișnuit de actori statali străini și alții”, iar datele erau frecvent furate, fără ca agențiile guvernamentale să fie „vreodată notificate”. Deși presupusele breșe datează de mai bine de un deceniu, această dezvăluire arată că atacurile cibernetice, chiar și cele care afectează mari companii publice precum IBM, uneori nu sunt niciodată dezvăluite, nici publicului, nici autorităților competente. IBM este unul dintre principalii furnizori de securitate cibernetică pentru guvernul federal al Statelor Unite, ceea ce face ca presupusa acoperire să fie cu atât mai semnificativă.
În ultimii ani, au fost adoptate mai multe legi privind notificarea breșelor de date pentru a contracara această problemă, dar cazul de față demonstrează că ele nu sunt suficiente. Purtătoarea de cuvânt a IBM, Miki Carver, a refuzat să răspundă la întrebări specifice despre proces sau acuzațiile subiacente. În schimb, ea a declarat pentru TechCrunch: „Această plângere a fost depusă acum șase ani, iar Departamentul de Justiție al SUA a refuzat să intervină. IBM este încrezătoare că acțiunile noastre au respectat litera legii.”
În mod special, Barlow susține că IBM a fost una dintre victimele unei campanii de hacking conduse de APT10, un grup legat de guvernul chinez, pe care fostul director al FBI, Christopher Wray, l-a descris ca vizând „cine este cine” din economia globală, atunci când membrii săi au fost acuzați în 2018. Hackerii au pătruns atât în rețeaua IBM, cât și în datele pe care aceasta le păstra în parteneriat cu AT&T.
Conform plângerii, în martie 2017, oficiali de intelligence din Australia, Canada, Noua Zeelandă, Statele Unite și Marea Britanie – așa-numita alianță Five Eyes – au avertizat IBM despre breșă, ceea ce a dus la o anchetă internă. Investigația a concluzionat că APT10 ar fi spart rețeaua IBM de peste 56.000 de ori între 2013 și 2016. Crucial, compania a spus că nu poate investiga mai departe pentru că nu păstrase jurnalele de acces – o practică elementară de securitate. Apoi, IBM ar fi eșuat să notifice autoritățile sau guvernul american, unul dintre clienții săi principali.
„Infrastructura rețelelor principale IBM și AT&T este arhaică, hackerii au reușit să obțină acces la sistem de numeroase ori și pot cutreiera aproape oriunde nedetectați”, se arată în plângere. Investigația internă a IBM a concluzionat că patru servere au fost compromise în campania APT10. „Atacatorii au compromis și/sau au accesat aproape 400 de conturi compromise și aproape 200 de sisteme și servere în fiecare unitate de afaceri IBM, în 18 țări și prin multiple produse IBM”, spune un raport intern citat în plângere.
Jason Brown, avocatul care îl reprezintă pe Barlow, a declarat pentru TechCrunch că firma sa „abia așteaptă să litige agresiv acest caz”. „Nu poți vinde securitate cibernetică guvernului federal în timp ce ai, se presupune, astfel de probleme de securitate în propria ta companie”, a spus Brown.
Potrivit lui Barlow, alte breșe de care a avut cunoștință au afectat Trusteer, un startup de securitate cibernetică achiziționat de IBM în 2013, care, spune el, a fost spart în 2018; și Truven, un startup de date medicale achiziționat în 2016, care ar fi fost spart de mai multe ori după achiziție. În ambele cazuri, Barlow acuză IBM că nu a reușit să investigheze și să dezvăluie aceste breșe.
Ce înseamnă toate acestea? În primul rând, ele evidențiază o problemă sistemică: chiar și cele mai mari companii de tehnologie pot fi victime ale unor atacuri cibernetice sofisticate, iar presiunea de a păstra încrederea clienților poate duce la ascunderea incidentelor. Ironia situației este că IBM însăși comercializează soluții de securitate către guverne și corporații. Dacă acuzațiile sunt adevărate, încrederea în industria de securitate cibernetică ar putea fi serios zdruncinată.
În plus, acest caz ar putea avea implicații legale majore. Legile privind notificarea breșelor de date, cum ar fi GDPR în Europa sau legi similare în SUA, cer companiilor să raporteze incidentele. Dacă IBM a încălcat aceste legi, s-ar putea confrunta cu amenzi uriașe și pierderea contractelor guvernamentale. Procesul lui Barlow, deși a fost intentat acum șase ani, abia acum iese la lumină, ceea ce sugerează că lupta pentru transparență în securitatea cibernetică este departe de a se fi încheiat.
De ce este important:
Acest caz scoate la iveală o problemă profundă: marile companii de tehnologie, chiar și cele care vând securitate cibernetică, pot fi tentate să ascundă breșe pentru a-și proteja reputația și contractele. Dacă acuzațiile se dovedesc reale, încrederea în capacitatea IBM de a asigura securitatea datelor altora este grav compromisă. În plus, dezvăluirea ar putea accelera adoptarea unor legi mai stricte privind transparența incidentelor cibernetice și ar putea determina alte companii să-și revizuiască politicile de raportare. Pentru cetățeni, este un memento că nimeni nu este complet imun la atacuri cibernetice, iar transparența este singura cale de a menține încrederea în era digitală.
