Un fost vicepreședinte al departamentului de threat intelligence de la IBM a ales să rupă tăcerea și să acuze una dintre cele mai mari corporații tech din lume că a ascuns în mod deliberat mai multe breșe de securitate cibernetică majore. Dezvăluirile, raportate de TechCrunch, ridică semne de întrebare serioase despre ce știu cu adevărat clienții corporativi și guvernamentali ai IBM despre securitatea datelor lor.

Conform TechCrunch, William Barlow, fostul VP Threat Intelligence - transformat acum în whistleblower - susține că IBM și AT&T, care operează rețeaua Core Network în numele IBM și este co-acuzată în proces, ar fi cunoscut existența unor atacuri cibernetice semnificative, dar ar fi ales să nu le dezvăluie public sau clienților afectați. Acuzațiile vizează o practică sistematică de mușamalizare, nu incidente izolate. TechCrunch raportează detalii concrete: aproximativ 400 de conturi compromise, circa 200 de sisteme afectate, activitate în 18 țări și implicarea hackerilor chinezi din grupul APT 10. Important de menționat că plângerea a fost depusă inițial sub sigiliu în 2020 și abia acum a fost desecretizată, deci nu este o acuzație nouă. IBM a răspuns prin purtătorul de cuvânt al companiei: "This complaint was filed six years ago, and the U.S. Department of Justice declined to intervene. IBM is confident that our actions followed the letter of the law."

De ce contează asta dincolo de un simplu scandal corporativ? IBM nu este o companie tech oarecare - este un furnizor de infrastructură critică pentru sute de guverne, bănci, spitale și organizații multinaționale din toată lumea, inclusiv din Europa. Contractele IBM cu sectorul public european înseamnă că potențiale breșe nedeclarate ar putea afecta date sensibile ale cetățenilor obișnuiți, nu doar boarduri de directori. Există un precedent îngrijorător în industrie: în 2017, Equifax a ascuns o breșă masivă timp de luni întregi înainte ca aceasta să devină publică, expunând datele a 147 de milioane de oameni. Dacă acuzațiile împotriva IBM se confirmă, modelul ar fi similar - o corporație care prioritizează reputația și prețul acțiunilor față de transparența față de clienți și autorități de reglementare. În Europa, Regulamentul General privind Protecția Datelor (GDPR) impune notificarea breșelor în termen de 72 de ore de la descoperire. Dacă IBM a ascuns atacuri cibernetice care afectau date europene, compania ar putea fi expusă unor amenzi colosale și unor investigații din partea autorităților naționale de supraveghere.

Cazul IBM intră acum pe un teritoriu extrem de complicat din punct de vedere legal și reputațional. Whistleblower-ii din industria tech sunt protejați prin lege în SUA și în UE, iar dezvăluirile de acest tip declanșează de obicei investigații independente din partea autorităților de reglementare. Rămâne de văzut dacă autoritățile americane - în special SEC sau Departamentul de Justiție - vor deschide o anchetă formală. La fel de incertă este reacția Comisiei Europene, care în ultima perioadă a arătat că nu are rețineri în a sancționa giganții tech americani. S-ar putea ca acest caz să devină un test important pentru modul în care companiile cu prezență globală sunt trase la răspundere pentru transparența în materie de securitate cibernetică - o temă care nu mai poate fi tratată ca un detaliu tehnic de departamentul IT.