Eski IBM Yöneticisinden Şok İtiraf: Şirket Veri İhlallerini Gizliyor!

Teknoloji dünyası, siber güvenlik devi IBM'e yönelik sarsıcı suçlamalarla çalkalanıyor. IBM'in eski bir üst düzey siber güvenlik yöneticisi, şirketin geçtiğimiz on yıl içinde yabancı hükümetler tarafından üç kez hacklendiğini ve bu ciddi güvenlik ihlallerinin kasıtlı olarak örtbas edildiğini iddia etti. Ağustos 2019'a kadar IBM'de Tehdit İstihbaratı Başkan Yardımcılığı görevini yürüten William Barlow tarafından açılan ve bu hafta kamuoyuna açıklanan dava dilekçesi, teknoloji devinin güvenilirliğine büyük bir darbe vuruyor.

Dava dilekçesinde yer alan iddialara göre IBM, Çinli hackerların 2013 ile 2016 yılları arasında şirketin çekirdek ağına sızdığını tespit etti; ancak bu durumu hiçbir zaman kamuoyuna veya ilgili makamlara açıklamadı. Barlow, sadece ana ağın değil, IBM'e bağlı en az iki iştirakin de siber saldırılara maruz kaldığını ve bu ihlallerin de benzer şekilde gizlendiğini öne sürdü. Şirketin çekirdek ağının yabancı devlet aktörleri ve diğer gruplar tarafından rutin olarak hacklendiği, verilerin sık sık çalındığı ancak hiçbir devlet kurumuna bildirim yapılmadığı iddia ediliyor.

Söz konusu iddiaların boyutu, IBM'in ABD federal hükümetine kritik siber güvenlik hizmetleri sağlayan ana tedarikçilerden biri olması nedeniyle stratejik bir önem taşıyor. IBM'in, hükümetin en önemli güvenlik ortaklarından biri olduğu düşünüldüğünde, olası bir gizleme operasyonu ulusal güvenlik açısından ciddi soru işaretleri doğuruyor. Bloomberg tarafından ilk kez raporlanan bu dava süreci, dev teknoloji şirketlerinin bile uğradıkları saldırıları kamuoyundan veya yetkili mercilerden saklayabildiğini gösteren endişe verici bir örnek teşkil ediyor.

Suçlamaların merkezinde, Çin hükümetiyle bağlantılı olduğu bilinen ve küresel ekonominin "kimin kim olduğunu" hedef alan APT 10 adlı hacker grubu yer alıyor. Barlow, IBM'in APT 10'un yürüttüğü bir siber saldırı kampanyasının kurbanlarından biri olduğunu belirtiyor. Bu saldırı sırasında hackerların hem IBM'in kendi ağına hem de AT&T ile ortaklaşa yönetilen veri sistemlerine sızdığı ifade ediliyor. FBI Direktörü Christopher Wray'in de daha önce hedef aldığı grup olan APT 10, dünya genelindeki kritik altyapılara yönelik saldırılarıyla biliniyor.

Dava içeriğine göre, Mart 2017'de "Five Eyes" (Beş Göz) ittifakı üyesi olan Avustralya, Kanada, Yeni Zelanda, ABD ve Birleşik Krallık'tan istihbarat yetkilileri, IBM'i siber ihlal konusunda uyardı. Bu uyarı üzerine şirket içinde bir soruşturma başlatıldı ancak sonuçlar korkutucu çıktı. İddiaya göre soruşturma, APT 10 grubunun 2013 ile 2016 yılları arasında IBM ağını 56.000'den fazla kez ihlal etmiş olabileceğini ortaya koydu. Daha da vahimi, IBM'in ağa kimin, ne zaman eriştiğine dair temel bir güvenlik uygulaması olan erişim kayıtlarını (logları) tutmadığı için soruşturmayı derinleştiremediği belirtiliyor.

Dilekçede, IBM ve AT&T'nin çekirdek ağ altyapısının "eskimiş" (archaic) olduğu ve bu durumun hackerlara sistemde tespit edilmeden dolaşma imkanı tanıdığı iddia ediliyor. Şirketin iç raporlarına dayandırılan bilgilere göre, APT 10 kampanyası kapsamında dört sunucu tamamen ele geçirilmiş durumda. Ayrıca, 18 farklı ülke ve çok sayıda IBM ürününe yayılan saldırı sonucunda, yaklaşık 400 hesabın ve 200'e yakın sistem ile sunucunun saldırganların erişimine açık hale geldiği öne sürülüyor.

Barlow'un suçlamaları sadece ana ağla sınırlı değil. Eski yönetici, IBM'in 2013 yılında satın aldığı siber güvenlik girişimi Trusteer'ın 2018 yılında, 2016'da satın alınan sağlık verisi girişimi Truven'ın ise satın alma sonrasında defalarca siber saldırıya uğradığını ve bu olayların da usulüne uygun şekilde araştırılmadığını veya açıklanmadığını savunuyor. Barlow'un avukatı Jason Brown, konuyu "agresif bir şekilde mahkemeye taşıyacaklarını" belirterek, "Kendi şirketinde bu tür güvenlik sorunları yaşarken federal hükümete siber güvenlik satamazsınız," şeklinde sert bir açıklama yaptı.

IBM cephesinden gelen yanıtlar ise suçlamaları doğrudan yanıtlamaktan kaçınıyor. Şirket sözcüsü Miki Carver, davanın altındaki spesifik iddialara yanıt vermeyi reddederken, davanın altı yıl önce açıldığını ve ABD Adalet Bakanlığı'nın müdahale etme talebini geri çevirdiğini belirtti. IBM, tüm faaliyetlerinin yasaların gerektirdiği şekilde yürütüldüğünden emin olduklarını savunarak suçlamaları reddediyor. Ancak bu savunma, siber güvenlik sektörünün en kritik unsuru olan şeffaflık ve güven konusunda büyük bir tartışmanın fitilini ateşlemiş durumda.