En nyligen offentliggjord stämningsansökan avslöjar att IBM och AT&T kan ha dolt omfattande dataintrång från myndigheterna. Det är William Barlow, tidigare vice president för hotintelligens på IBM, som lämnat in klagomålet.

Enligt stämningsansökan utsattes IBM:s kärnnätverk för upprepade intrång mellan 2013 och 2016, utförda av den kinesiska statsstödda gruppen APT 10. Gruppen ska ha tagit sig in i nätverket över 56 000 gånger under perioden. Minst två IBM-dotterbolag ska också ha drabbats, men bolagen valde att inte rapportera detta till myndigheterna.

AT&T inblandad via nätverksdrift

Eftersom AT&T driver nätverket på IBM:s vägnar dras även telekomjätten in i anklagelserna. Barlow hävdar att varken IBM eller AT&T vet exakt vilken data som läcktes, vem som kom åt den eller när det skedde. Orsaken är att bolagen inte sparade loggar över vem som hade åtkomst till nätverket vid vilken tidpunkt, något som är praxis inom informationssäkerhet.

År 2017 ska Five Eyes-alliansen, underrättelsesamarbetet mellan USA, Storbritannien, Australien, Kanada och Nya Zeeland, ha varnat IBM om intrången. Det utlöste en intern utredning, men myndigheterna underrättades aldrig.

IBM tillbakavisar anklagelserna

IBM:s talesperson Miki Carver kommenterade ärendet till TechCrunch: "Klagomålet lämnades in för sex år sedan och det amerikanska justitiedepartementet valde att inte ingripa. IBM är övertygat om att våra handlingar följde lagen."

Stämningsansökan väcktes ursprungligen under sekretess och har nu offentliggjorts.

Vad det betyder för företag

Fallet lyfter fram en viktig fråga: skyldigheten att rapportera säkerhetsincidenter. I EU regleras detta bland annat av NIS2-direktivet, som kräver att organisationer med samhällsviktig infrastruktur rapporterar allvarliga incidenter inom 24 timmar. Att dölja intrång riskerar inte bara juridiska konsekvenser utan undergräver också förtroendet hos kunder och partners.

För företag som anlitar externa IT-leverantörer påminner fallet om vikten av att ställa krav på säkerhetsloggning och transparens i avtal.

Källa: Security Magazine / Bloomberg