IBM 前網安高層指控隱瞞入侵:企業要睇清 log 同披露條款
案件未有裁決,但供應商風險值得即刻重查
件事先講清楚
TechCrunch 2026 年 6 月 5 日報道,美國一宗 2020 年提交、最近解封嘅訴訟入面,IBM 前 threat intelligence 副總裁 William Barlow 指控 IBM 喺 2013 至 2016 年已經判斷核心網絡俾同中國政府有關嘅 APT10 入侵,但冇向政府機關或相關客戶披露。佢仲指 Trusteer 同 Truven 兩間 IBM 收購返嚟嘅子公司,都曾經出事而冇好好披露。IBM 回應話案件六年前已提交,美國司法部冇介入,公司相信做法符合法律。換句話講,呢件事而家仍然係指控,唔係法院裁定 IBM 有隱瞞。
圖片:IBM
點解值得睇
APT10 唔係普通 ransomware gang。FBI 2018 年資料指,呢個 group 針對過多間商業、國防科技公司同 managed service providers,仲牽涉至少 12 個國家嘅 MSP 客戶資料。IBM 本身又賣 Security Services、X-Force 同 Managed Security Services,Trusteer 亦係做 fraud detection 同身份風險。當保安供應商自己俾人指冇講清楚 incident,客戶要關心嘅就唔只係品牌形象,而係自己可唔可以攞到足夠證據。
Log 係成件事最刺眼
訴訟文件稱,2017 年 Five Eyes 情報部門曾提醒 IBM,之後內部調查指 APT10 可能喺 2013 至 2016 年間入侵 IBM 網絡超過 56,000 次;但公司因為冇保留足夠 access log,冇辦法再查清楚邊個喺幾時入過網絡。呢點比數字本身仲要命。冇 log,incident response 就只剩估,breach notification 都會變成律師同管理層喺資訊不足下決定披露邊啲。
對企業 IT 有咩提醒
公司 IT 睇呢單,唔應該只係問「IBM 有冇錯」。更實際係問自己嘅供應商清單入面,邊啲 vendor 掂到核心身份、交易、客戶資料、SOC log 或 managed endpoint。合約入面要寫清楚 incident notification 時限、可審計權、subprocessor 名單、log retention、forensic evidence 保留,同埋客戶可唔可以攞到足夠資料做自己嘅 regulator reporting。呢啲條款平時好悶,到出事先知佢係救命線。
法規已經唔同咗
Barlow 指控嘅主要時間係 2013 至 2018 年,放喺今日睇,披露環境已經硬咗好多。SEC 2023 年規則要求上市公司喺判定重大 cyber incident 後,一般四個工作天內披露重點;NIST 同 CISA 亦一直將 logging、monitoring、retention 當成基本功。規則唔會令每間公司自動誠實,但會令「我哋唔知、冇記錄、唔使講」呢種講法愈來愈難企得住。
我點睇
暫時冇公開資料顯示香港客戶或本地資料受影響,唔好自己腦補。真係要做嘅係將呢件事當供應商風險測試題:如果你用緊大型雲端、保安工具或 managed services,問返佢三樣嘢就夠:一,重大 incident 會幾快通知;二,log 留幾耐同點保護;三,客戶可唔可以攞到足夠 evidence 對監管機構交代。大 vendor 可以好強,但信任唔應該靠品牌,應該靠可驗證嘅程序同紀錄。
參考來源
- TechCrunch — Former cyber executive turned whistleblower accuses IBM of covering up several data breaches — original report
- APT 10 GROUP — FBI — 官方背景,確認 APT10 起訴資料同 managed service provider 相關脈絡。
- SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies — 用嚟補充美國上市公司 cyber incident 披露規則背景。
- IBM Security Services — IBM 官方保安服務頁,確認佢提供 security consulting、managed 同 cloud security services。
- Trusteer Solutions | Fraud Detection - IBM — IBM 官方 Trusteer 產品頁,補充被指涉及嘅產品線背景。
- NIST SP 800-92: Guide to Computer Security Log Management — log management 同 retention 背景 reference。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
