Mantan Eksekutif IBM Bongkar Dugaan Penutupan Pelanggaran Data oleh Peretas China
CLB.my.id - Seorang mantan eksekutif keamanan siber IBM menggugat perusahaan tempatnya pernah bekerja. Tuduhannya serius: IBM diduga menutupi sejumlah pelanggaran data yang dilakukan oleh peretas asing, termasuk kelompok peretas yang terkait dengan pemerintah China.
Gugatan yang diajukan oleh William Barlow, mantan Wakil Presiden Inteligensi Ancaman IBM, sebenarnya sudah masuk pengadilan sejak 2020. Namun baru minggu ini dokumen gugatan tersebut dibuka untuk publik, mengungkap detail yang selama ini tersembunyi tentang keamanan salah satu vendor siber terbesar pemerintah AS.
APT 10 dan 56.000 Pelanggaran Potensial
Inti dari tuduhan Barlow berpusat pada serangan yang dilakukan oleh APT 10, kelompok peretas yang terkait dengan pemerintah China. Kelompok ini sebelumnya sudah didakwa oleh FBI pada 2018, dengan Direktur FBI saat itu Christopher Wray menyebut mereka menargetkan daftar “Who’s Who” dari ekonomi global.
Menurut gugatan tersebut, APT 10 berhasil membobol jaringan inti IBM antara 2013 dan 2016. Skala pelanggarannya luar biasa besar. Berdasarkan laporan internal IBM yang dikutip dalam gugatan, kelompok peretas tersebut berpotensi membobol jaringan IBM sebanyak 56.000 kali selama periode tersebut. Hampir 400 akun dikompromikan, dan sekitar 200 sistem dan server terdampak di setiap unit bisnis IBM di 18 negara.
Yang lebih mengkhawatirkan, IBM mengakui bahwa perusahaan tidak bisa melakukan investigasi lebih lanjut karena tidak menyimpan log siapa yang mengakses jaringan dan kapan. Ini adalah praktik keamanan dasar yang seharusnya dimiliki oleh perusahaan sebesar IBM, apalagi yang mengklaim diri sebagai ahli keamanan siber.
Peringatan dari Aliansi Five Eyes
Pelanggaran ini pertama kali terdeteksi bukan oleh tim keamanan IBM sendiri. Pada Maret 2017, aliansi intelijen Five Eyes yang terdiri dari Australia, Kanada, Selandia Baru, Inggris, dan Amerika Serikat memberikan peringatan kepada IBM tentang adanya pelanggaran. Peringatan ini yang kemudian memicu investigasi internal.
Hasil investigasi menemukan bahwa infrastruktur jaringan IBM dan AT&T digambarkan sebagai “usang” (archaic). Para peretas bisa masuk ke sistem dan “berkeliaran hampir di mana saja tanpa terdeteksi.” Empat server dikompromikan dalam kampanye peretasan APT 10, dengan data yang secara rutin dicuri.
Namun yang menjadi inti gugatan bukan hanya soal pelanggaran itu sendiri, melainkan apa yang terjadi setelahnya. Barlow menuduh IBM tidak pernah memberitahu lembaga pemerintah AS atau publik tentang pelanggaran tersebut. Padahal, IBM adalah salah satu vendor keamanan siber terbesar untuk pemerintah federal AS.
Anak Perusahaan Juga Kena
Serangan tidak hanya mengincar jaringan inti IBM. Barlow juga mengungkap pelanggaran di dua anak perusahaan IBM. Trusteer, startup keamanan siber yang diakuisisi IBM pada 2013, dibobol pada 2018. Sementara Truven, startup data kesehatan yang diakuisisi pada 2016, dibobol berkali-kali setelah akuisisi.
Dalam kedua kasus tersebut, Barlow menuduh IBM gagal melakukan investigasi yang layak dan tidak mengungkapkan pelanggaran kepada pihak yang berwenang. Ini menambah lapisan masalah yang lebih serius, mengingat data kesehatan yang dikelola Truven termasuk informasi sensitif pasien yang dilindungi undang-undang.
Respons IBM dan Proses Hukum
IBM sendiri memberikan respons yang singkat. Juru bicara IBM Miki Carver menolak menjawab pertanyaan spesifik tentang gugatan dan tuduhan yang diajukan. Ia hanya menyatakan bahwa gugatan ini diajukan enam tahun lalu dan Departemen Kehakiman AS menolak untuk ikut campur. “IBM yakin bahwa tindakan kami sesuai dengan hukum yang berlaku,” ujarnya.
Namun pengacara Barlow, Jason Brown, memberikan perspektif berbeda. “Anda tidak bisa menjual keamanan siber kepada pemerintah federal sementara diduga memiliki masalah keamanan di dalam perusahaan Anda sendiri,” ujarnya. Tim hukum Barlow menyatakan mereka “berharap untuk melakukan litigasi secara agresif.”
Kasus ini mengangkat pertanyaan besar tentang akuntabilitas perusahaan teknologi besar dalam mengungkap pelanggaran data. Meskipun beberapa undang-undang notifikasi pelanggaran data sudah disahkan dalam beberapa tahun terakhir, kasus IBM menunjukkan bahwa serangan siber terhadap perusahaan publik besar kadang tidak pernah diungkapkan, baik kepada publik maupun kepada otoritas pemerintah yang berwenang.
Bagi Indonesia yang juga mengandalkan vendor teknologi global untuk infrastruktur digital pemerintahan dan sektor keuangan, kasus ini menjadi pengingat penting bahwa nama besar bukan jaminan keamanan. Due diligence terhadap vendor siber, termasuk riwayat insiden dan transparansi pelaporan, semestinya menjadi prioritas dalam setiap pengadaan teknologi.***
