Visselblåsare anklagar IBM och AT&T för att ha dolt statsstödda dataintrång
Tidigare IBM-chef anklagar IBM och AT&T för att ha mörkat statsstödda dataintrång.
En bransch som ruckas i grunden
Det är sällan man ser en vecka där så många tunga säkerhetsnyheter sammanfaller. Men den gångna veckan har bjudit på precis det: visselblåsare, varsel, universitetsläckor och ett fundamentalt skifte i hur JavaScript-paket hanteras. Låt oss ta det från början.
Anklagelserna mot IBM och AT&T
Den tyngsta nyheten kommer från USA, där en fd chef inom IBMs cybersäkerhetsavdelning enligt SecurityWeek har lämnat in en stämningsansökan mot IBM och AT&T. Anklagelserna är allvarliga: att bolagen ska ha mörkat upprepade dataintrång kopplade till utländska statsaktörer, och i stället gett falska försäkringar om sin säkerhetsnivå – allt för att säkra lukrativa statliga kontrakt.
Om det stämmer är det en mycket allvarlig sak. Statliga kontrakt inom säkerhetskänslig infrastruktur bygger på ett grundläggande förtroendekapital. Att en fd insynsperson, med tänkbar tillgång till intern dokumentation, väljer att gå juridisk väg signalerar att det inte handlar om en lättvindig anklagelse. Stämningsansökan kan potentiellt bli ett prejudikat för hur teknikbolag med statliga säkerhetsuppdrag hålls ansvariga.
Det är också värt att notera kontexten: USA har under flera år skärpt kraven på att leverantörer till staten ska rapportera säkerhetsincidenter. Om IBM och AT&T aktivt kringgick dessa krav – och ljög om det för att vinna upphandlingar – rör det sig om ett grundläggande brott mot det förtroende som hela modellen med outsourcad statlig IT-säkerhet vilar på.
Google drar ned inom cybersäkerhet
Samtidigt rapporterar SecurityWeek att Google Cloud inlett en varselsrunda som bland annat drabbar medarbetare på Mandiant och analysgruppen Google Threat Intelligence Group. Google har inte bekräftat exakt hur många som berörs.
Timingen är anmärkningsvärd. Mandiant är en av de mest respekterade aktörerna inom hotanalys och incidenthantering globalt – ett bolag som Google förvärvade för drygt 5,4 miljarder dollar så sent som 2022. Att skära i just den verksamheten nu, i ett läge där hotbilden mot statlig och kritisk infrastruktur uppenbarligen är hög, skickar ett underligt budskap. Antingen har Google hittat effektiviseringar via automatisering och AI-verktyg, eller så prioriterar man om resurser på ett sätt som branschens experter lär granska noga.
Oxford och kedjan av dataintrång
Mitt i allt detta meddelar Universitetet i Oxford att karriärplattformen CareerConnect drabbats av ett intrång. Angriparna kom åt namn, e-postadresser och krypterade lösenord tillhörande alumner, forskare och arbetsgivare. Det är en påminnelse om att dataintrång inte är förbehållet storföretagen – akademiska institutioner med stora nätverk av externa användare är lika utsatta.
NPM 12 stänger en länge öppen bakdörr
På den mer konstruktiva sidan av nyhetsflödet: GitHub meddelar att NPM version 12, planerad till juli, kommer att blockera automatisk skriptkörning från paketberoenden som standard. Det är en länge efterfrågad förändring.
Bakgrunden är en serie angrepp mot det så kallade mjukvaruleveranskedjeekosystemet – däribland den självreplikerande masken Shai-Hulud och attacker kopplade till gruppen TeamPCP. Dessa har utnyttjat att NPM automatiskt kör installationsskript (preinstall, install, postinstall) när en utvecklare hämtar ett paket. Det har gjort det möjligt att sprida skadlig kod till tusentals utvecklarmaskiner utan att någon behöver klicka på något misstänkt.
Med NPM 12 krävs att skript uttryckligen godkänns i projektets konfigurationsfil för att köras. Det låter som en liten teknisk detalj, men i praktiken är det ett paradigmskifte i hur JavaScript-ekosystemet hanterar tillit. Det kommer att orsaka viss friktion i arbetsflöden – särskilt för projekt med många beroenden – men det är rätt väg att gå.
En vecka som säger något om branschen
Det som förenar veckans nyheter är en grundläggande spänning: cybersäkerhet är mer affärskritisk än någonsin, men bolagen som ska leverera den skär ned, mörklägger och tar genvägar. Samtidigt byggs tekniska skyddsmekanismer som NPM 12 underifrån – av open source-communityn, steg för steg.
Det är en påminnelse om att säkerhet sällan avgörs av en enskild aktör. Det är ett ekosystem.
Vår analys
Stämningsansökan mot IBM och AT&T är den nyhet som bör följas närmast. Om anklagelserna håller i rättslig prövning kan det förändra spelreglerna för hur statliga IT-säkerhetskontrakt utformas och granskas i USA – med troliga återverkningar även i Europa och Sverige, där liknande upphandlingsmodeller används.
Googles varsel inom Mandiant och hotanalysverksamheten är också värd att hålla ögonen på. En möjlig tolkning är att Google accelererar mot en modell där AI-verktyg ersätter delar av det manuella analysarbetet. Det vore logiskt – men också riskabelt om det sker i för hög takt, utan att de mänskliga analytikerna ges tid att bygga upp ny kompetens kring AI-assisterade arbetsflöden.
NPM 12 är däremot en positiv nyhet som förtjänar mer uppmärksamhet än den ofta får. Skyddet av mjukvaruleveranskedjor är en av de viktigaste säkerhetsfrågorna för alla organisationer som bygger på öppen källkod – det vill säga nästan alla.