شركة IBM إيطاليا التابعة تتعرض لاختراق ذو صلات برعاية حكومية
أثار هجوم إلكتروني استهدف شركة Sistemi Informativi، الشركة التابعة لـ IBM إيطاليا التي تدير البنية التحتية لتكنولوجيا المعلومات لمؤسسات عامة وخاصة، مخاوف جدية بشأن أمن البنية التحتية الوطنية الحيوية. وقد أشار باحثون أمنيون ومسؤولون إلى وجود صلات محتملة بعمليات إلكترونية صينية ترعاها الدولة، مما يجعل هذه الحادثة لحظة بالغة الأهمية في النقاش المستمر حول التهديدات التي تشكلها الدول القومية على أنظمة تكنولوجيا المعلومات الغربية.
لا تحتل شركة Sistemi Informativi مكانة واسعة الشهرة، غير أن دورها في البنية التحتية الإيطالية جوهري. إذ تتولى الشركة تقديم خدمات تكنولوجيا المعلومات لمنظمات تعتمد على أنظمة موثوقة وآمنة، مما يعني أن اختراقاً من هذا النوع قد تكون له تداعيات متشعبة تتجاوز نطاق منظمة واحدة بكثير. فحين يُخترق مزود يدير البنية التحتية لعدة عملاء، تغدو كل مؤسسة تعتمد على ذلك المزود نقطةً محتملة للتعرض.
ما نعرفه عن الاختراق
لا تزال التفاصيل شحيحة في ظل استمرار التحقيقات، لكن محور القلق واضح: تمكّن مهاجم من الوصول غير المصرح به إلى أنظمة تديرها شركة متجذرة بعمق في النسيج التقني لإيطاليا. والصلة المزعومة بعمليات إلكترونية صينية تضع هذه الحادثة في سياق نمط أوسع من الاختراقات التي ترعاها الدول وتستهدف البنية التحتية الحيوية عبر أوروبا وأمريكا الشمالية.
وهذه ليست ظاهرة معزولة. فقد حذّرت أجهزة الاستخبارات في الولايات المتحدة والمملكة المتحدة والاتحاد الأوروبي مراراً من أن جهات فاعلة تابعة لدول قومية، ولا سيما تلك المرتبطة بالصين، باتت تتسلل بصورة منهجية إلى مزودي البنية التحتية وشركات الاتصالات ومزودي تكنولوجيا المعلومات الحكومية وتخترقها. إذ يمكّن اختراق مزود كـ Sistemi Informativi المهاجمين من الحصول على وصول دائم إلى أهداف متعددة في المراحل اللاحقة دون الحاجة إلى اختراق تلك الأهداف مباشرةً.
وقد غدا توظيف مزودي تكنولوجيا المعلومات الموثوقين من جهات خارجية كنقطة دخول — وهو ما يُعرف غالباً بهجوم سلسلة التوريد — أحد أشد الأساليب فاعلية المتاحة للجهات المهاجمة المتطورة. فحين يخترق أحد المهاجمين مديراً للبنية التحتية، يرث بذلك علاقات الثقة التي يحملها ذلك المدير مع عملائه.
لماذا تختلف اختراقات البنية التحتية الحيوية عن سواها
تنطوي معظم اختراقات البيانات على بيانات اعتماد مسروقة أو سجلات عملاء مسربة أو حمولات برامج الفدية. أما الاختراقات التي ترعاها الدول وتستهدف شركات إدارة البنية التحتية، فتميل إلى أهداف مغايرة: جمع المعلومات الاستخباراتية، والحصول على وصول دائم، والقدرة على تعطيل الأنظمة في لحظة ملائمة استراتيجياً.
هذا التمييز بالغ الأهمية في تشكيل فهم المنظمات والأفراد للمخاطر. فاختراق متجر تجزئة قد يكشف رقم بطاقتك الائتمانية. أما اختراق شركة تدير البنية التحتية الحكومية والمؤسسية لتكنولوجيا المعلومات، فقد يؤثر في الخدمات العامة أو الاتصالات الحكومية الحساسة أو استمرارية تشغيل الأنظمة الحيوية.
وبالنسبة لإيطاليا تحديداً، تأتي هذه الحادثة في وقت تزداد فيه الحكومات الأوروبية تدقيقاً في الممارسات الأمنية لمزودي الخدمات المندمجين في البنية التحتية الوطنية. فتوجيه NIS2 الصادر عن الاتحاد الأوروبي، الذي دخل حيز التنفيذ عام 2023، مصمَّم لفرض اشتراطات أكثر صرامة في مجال الأمن الإلكتروني على هذه الفئة بالذات من الشركات. ويمثل اختراق Sistemi Informativi اختباراً حيّاً لمدى استيفاء تلك المعايير.
ما الذي يعنيه هذا بالنسبة لك
قد يبدو الاختراق الذي طال شركة تابعة لتكنولوجيا المعلومات في إيطاليا بعيداً عن واقع معظم الناس. بيد أن ثمة دروساً عملية يمكن تطبيقها مباشرةً على أسلوب حماية الأفراد والمنظمات لبياناتهم واتصالاتهم.
أولاً، مشكلة سلسلة التوريد عالمية الانتشار. ففي كل مرة تأتمن فيها مزود خدمة خارجياً على بياناتك أو أنظمتك، فأنت تأتمن في الوقت ذاته على ممارساته الأمنية. سواء أكنت شركة صغيرة تستخدم منصة محاسبة سحابية أم جهة حكومية توظف مديراً خارجياً لتكنولوجيا المعلومات، فإن الحلقة الأضعف في تلك السلسلة هي التي تحدد مدى تعرضك الفعلي.
ثانياً، الأمن على مستوى الشبكة أمر جوهري. تحتاج المنظمات التي تصل إلى أنظمة حساسة، ولا سيما عبر الاتصالات عن بُعد، إلى مسارات مشفرة وموثقة هوياتها. وجدت الشبكات الافتراضية الخاصة (VPNs) وبنيات شبكات الثقة الصفرية تحديداً للحد من نطاق الضرر حين تُسرق بيانات اعتماد ما أو يُخترق مزود. فإن اعتمد الوصول عن بُعد في منظمتك على مجرد تركيبات من اسم المستخدم وكلمة المرور، فقد يكفي اختراق مزود موثوق وحده لفتح الباب أمام المهاجم.
ثالثاً، تقييمات مخاطر المزودين ليست اختيارية. ينبغي للشركات والمؤسسات أن تراجع بصفة منتظمة الوضع الأمني لكل جهة خارجية يمتد تأثيرها إلى أنظمتها. ويشمل ذلك مراجعة إجراءات الاستجابة للحوادث، والاستفسار عن ممارسات اختبار الاختراق، والتأكد من وجود التزامات تعاقدية تتعلق بالإخطار عند وقوع الاختراقات.
خطوات عملية قابلة للتطبيق
- راجع علاقاتك مع المزودين. حدد كل مزود خارجي يتمتع بالوصول إلى أنظمتك أو بياناتك، وقيّم ما إذا كانت معاييره الأمنية تتوافق مع مستوى تحملك للمخاطر.
- فرض الاتصالات المشفرة. يجب أن يمر كل وصول عن بُعد إلى الأنظمة الحساسة عبر اتصالات موثقة الهوية ومشفرة. فالاعتماد على قنوات غير مشفرة أو ضعيفة الحماية يجعلك عرضةً للخطر إن سُرقت بيانات اعتماد أحد المزودين.
- طبّق المصادقة متعددة العوامل في كل مكان. بيانات الاعتماد المسروقة تفقد قيمتها إلى حد بعيد حين يُشترط عامل ثانٍ للتحقق. ينطبق هذا على أنظمتك الخاصة، وينبغي أن يكون شرطاً تفرضه على مزوديك أيضاً.
- اتبع إطار NIS2 وما يماثله. حتى إن لم يكن امتثال منظمتك لـ NIS2 أو معايير مكافئة مطلباً قانونياً، فإن التعامل معها كخط أساس يُعدّ طريقة عملية لقياس وضعك الأمني.
- افترض حدوث الاختراق وخطّط وفقاً لذلك. إدراك أن مزودي البنية التحتية لتكنولوجيا المعلومات، حتى الموارد الجيدة منهم، قابلون للاختراق، يعني أن على المنظمات التخطيط لسيناريو يكون فيه مزود موثوق قد وُجِّه ضدها. قسّم الوصول، سجّل النشاط، واحتفظ بخطة جاهزة للاستجابة للحوادث.
يُذكّرنا اختراق Sistemi Informativi بأن المنظمات التي تدير أنابيب بنيتنا التحتية الرقمية تمثل أهدافاً بالغة القيمة. وحماية نفسك تعني توسيع تفكيرك الأمني ليتجاوز محيطك الخاص ويشمل كل من تمنحه الثقة بالوصول إلى أنظمتك.
