אחת מחברות הטכנולוגיה והסייבר הוותיקות והגדולות בעולם נמצאת במרכזה של טלטלה משפטית וציבורית. תביעה משפטית שהוגשה עוד ב-2020 על ידי חושף שחיתויות והותרה השבוע לפרסום, מאשימה את ענקית המחשוב IBM בכך שנפרצה לפחות שלוש פעמים במהלך העשור הקודם על ידי גורמי ממשל זרים - ובחרה להסתיר ולטייח את האירועים לחלוטין, מבלי לדווח לרשויות או ללקוחותיה הרגישים ביותר.
הצינור החשאי של בייג'ינג
את התביעה הגיש וויליאם בארלו, מי ששימש כסגן נשיא למודיעין איומים ב-IBM עד אוגוסט 2019. לפי כתב האישום, רשת הליבה של החברה נפרצה באופן שיטתי על ידי שחקנים מדינתיים זרים, ומידע רגיש נגנב ממנה דרך קבע.
במוקד הפרשה עומדת מתקפת סייבר רחבה של קבוצת התקיפה הסינית APT 10 - קבוצה המקושרת ישירות לממשל בבייג'ינג, שראש ה-FBI כריסטופר ריי הגדיר בעבר כמי שפגעה ב"מי ומי" של הכלכלה העולמית.
הפרטים שנחשפו מתוך חקירתה הפנימית של IBM משרטטים תמונה מבהילה. במרץ 2017, גורמי מודיעין של ברית "חמש העיניים" (ארה"ב, בריטניה, קנדה, אוסטרליה וניו זילנד) הם אלו שהזהירו את IBM על הפריצה, מה שאילץ את החברה לפתוח בחקירה פנימית.
החקירה העלתה כי ההאקרים הסינים חדרו לרשת של IBM פוטנציאלית יותר מ-56 אלף פעמים בין השנים 2013 ל-2016. המתקפה השפיעה על תתי-רשתות משותפות של IBM ושל ענקית התקשורת AT&T.
בכתב התביעה נחשף כי IBM הודתה באופן פנימי שאינה יכולה להעריך את מלוא היקף הנזק, פשוט מכיוון שלא שמרה יומני גישה של מי שנכנס לרשתות שלה ומתי - כשל אבטחה בסיסי ואלמנטרי לכל חברת טכנולוגיה.
הדוח הפנימי של החברה קבע כי התוקפים השיגו גישה לכמעט 400 חשבונות פגועים וקרוב ל-200 מערכות ושרתים, אשר פרוסים על פני כל היחידות העסקיות של IBM, ב-18 מדינות שונות ובמספר רב של מוצרים.
לא רק הליבה
לפי בארלו, הנהלת IBM לא הסתפקה בהסתרת הפריצה לרשת המרכזית, אלא יישמה את אותה מדיניות השתקה גם בחברות בת שרכשה: Trusteer, סטארטאפ סייבר שנרכש על ידי IBM בשנת 2013, ונפרץ לפי החשד בשנת 2018; וכן ב-Truven - סטארטאפ לניהול נתונים רפואיים שנרכש ב-2016, ונפרץ מספר פעמים לאחר הרכישה.
במסגרת שני המקרים הללו, בארלו האשים את IBM בכך שנמנעה בכוונה מלקיים חקירה מעמיקה וכמובן סירבה לחשוף את דבר הפריצות בפני הגורמים הרלוונטיים.
IBM: "פעלנו לפי החוק"
דוברת IBM, מיקי קארבר, סירבה להשיב לשאלות ספציפיות בנוגע לטענות המופיעות בכתב התביעה או להאשמות על טיוח המתקפות. עם זאת, מסרה קארבר בתגובה רשמית לתקשורת: "התלונה הוגשה לפני שש שנים, ומשרד המשפטים האמריקני בחר שלא להתערב בה. IBM בטוחה לחלוטין שפעולותינו תאמו את לשון החוק".
עורך דינו של בארלו, ג'ייסון בראון, מסר מנגד כי פירמת עורכי הדין שלו מצפה "לנהל את ההליך המשפטי הזה בצורה אגרסיבית".
הפרדוקס המסחרי של ענקיות הסייבר
הפרשה הזו מציפה אל פני השטח את אחד העיוותים הקשים ביותר בתעשיית הסייבר העולמית. "אתה לא יכול למכור שירותי הגנת סייבר לממשל הפדרלי, בזמן שאתה סובל מבעיות אבטחה חמורות כאלו בתוך החברה שלך ומסתיר אותן", סיכם זאת בעין חדה עורך הדין בראון.
האירוע הזה מדגיש מדוע חוקי חובת הדיווח על פריצות סייבר, שנחקקו באגרסיביות ברחבי העולם בשנים האחרונות, הם קריטיים.
כאשר חברה ציבורית שהיא ספקית אבטחה מרכזית של ממשלות מותקפת על ידי תשתית ארכאית ומיושנת, ומחליטה לשמור את המידע בתוך הבית כדי להגן על המניה ועל החוזים הממשלתיים שלה - היא מסכנת באופן ישיר את ביטחון המדינה של לקוחותיה.
המאבק המשפטי הנוכחי עשוי להוות תמרור אזהרה לחברות ענק אחרות שחושבות שניתן לקבור פריצות ענן ואובדן שליטה על נתונים מתחת לשטיח המשרדי.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו