Нарушения на данни

Пробив в италианско дъщерно дружество на IBM, свързан с китайски кибероперации

4 май 2026 г.5 мин четене

By Лина Петров — 8 години ревюиране на потребителски технологии

Пробив в италианско дъщерно дружество на IBM, свързан с китайски кибероперации

Дъщерно дружество на IBM в Италия претърпя пробив с връзки към държавно спонсорирани субекти

Кибератака срещу Sistemi Informativi, дъщерно дружество на IBM Italy, което управлява IT инфраструктура за публични и частни институции, породи сериозни опасения относно сигурността на критичната национална инфраструктура. Изследователи по сигурността и официални лица са посочили потенциални връзки с китайски държавно спонсорирани кибероперации, което прави този инцидент значим момент в продължаващия разговор за заплахите от страна на национални държави срещу западните IT системи.

Sistemi Informativi не е широко известно име, но ролята му в италианската инфраструктура е съществена. Компанията управлява IT услуги за организации, които разчитат на надеждни и защитени системи, което означава, че пробив от този вид може да има ефект на доминото далеч отвъд една единствена организация. Когато доставчик, управляващ инфраструктура за множество клиенти, бъде компрометиран, всяка институция, разчитаща на него, се превръща в потенциална точка на уязвимост.

Какво знаем за пробива

Подробностите остават ограничени, тъй като разследванията продължават, но основната загриженост е ясна: нападател е получил неоторизиран достъп до системи, управлявани от компания, дълбоко вградена в IT екосистемата на Италия. Предполагаемата връзка с китайски кибероперации поставя този инцидент в по-широк модел на държавно спонсорирани прониквания, насочени срещу критична инфраструктура в Европа и Северна Америка.

Това не е изолирано явление. Разузнавателни агенции в Съединените щати, Обединеното кралство и Европейския съюз многократно са предупреждавали, че актьори от национални държави, по-специално свързани с Китай, системно проучват и проникват в доставчици на инфраструктура, телекомуникационни компании и IT доставчици на правителства. Пробивът при доставчик като Sistemi Informativi може да даде на нападателите постоянен достъп до множество последващи цели, без изобщо да се налага тези цели да бъдат атакувани директно.

Използването на доверени трети страни — доставчици на IT услуги — като вектор за проникване, познато като атака по веригата на доставки, се е превърнало в една от най-ефективните тактики, достъпни за усъвършенствани заплашващи субекти. Когато нападателят компрометира управител на инфраструктура, той наследява доверителните отношения, които този управител поддържа с клиентите си.

Защо пробивите в критичната инфраструктура са различни

Повечето пробиви на данни включват откраднати идентификационни данни, изтекли клиентски записи или рансъмуер. Държавно спонсорираните прониквания в компании за управление на инфраструктура обикновено имат различни цели: събиране на разузнавателна информация, постоянен достъп и способността да се нарушат системите в стратегически подходящ момент.

Това разграничение е изключително важно за начина, по който организации и отделни хора трябва да мислят за риска. Пробив при търговец на дребно може да разкрие номера на кредитната ви карта. Пробив при компания, управляваща правителствена и институционална IT инфраструктура, може да засегне обществени услуги, чувствителни правителствени комуникации или оперативната непрекъснатост на критични системи.

За Италия конкретно, този инцидент настъпва в момент, когато европейските правителства все по-внимателно проверяват практиките за сигурност на доставчиците, вградени в националната инфраструктура. Директивата NIS2 на Европейския съюз, влязла в сила през 2023 г., е предназначена да наложи по-строги изисквания за киберсигурност именно на тази категория компании. Пробивът при Sistemi Informativi служи като реален тест дали тези стандарти се спазват.

Какво означава това за вас

За повечето хора пробив в дъщерно дружество за IT инфраструктура в Италия може да изглежда далечен. Но тук има практически поуки, приложими пряко към начина, по който отделни хора и организации защитават собствените си данни и комуникации.

Първо, проблемът с веригата на доставки е универсален. Всеки път, когато поверявате данните или системите си на трета страна — доставчик на услуги, вие също се доверявате на практиките му за сигурност. Независимо дали сте малък бизнес, използващ облачна счетоводна платформа, или правителствена агенция, използваща аутсорсван IT мениджър, най-слабото звено в тази верига определя реалната ви уязвимост.

Второ, сигурността на мрежово ниво е от значение. Организациите, достъпващи чувствителни системи, особено чрез отдалечени връзки, се нуждаят от криптирани, автентифицирани пътища. VPN мрежите и архитектурите за нулево доверие съществуват именно за да ограничат щетите, когато идентификационни данни бъдат откраднати или доставчик бъде компрометиран. Ако отдалеченият достъп на вашата организация разчита единствено на комбинации от потребителско име и парола, пробив при доверен доставчик може да е всичко, от което един нападател се нуждае.

Трето, оценките на риска при доставчиците не са по избор. Бизнеси и институции трябва редовно да одитират позицията по сигурността на всяка трета страна, която има достъп до техните системи. Това включва преглед на процедурите за реагиране при инциденти, запитвания относно практиките за тестване на проникване и гарантиране, че са налице договорни задължения по отношение на уведомяването при пробив.

Практически изводи

Одитирайте отношенията си с доставчиците. Идентифицирайте всеки доставчик на трета страна с достъп до вашите системи или данни и преценете дали стандартите им за сигурност съответстват на вашата собствена толерантност към риска.
Налагайте криптирани комуникации. Целият отдалечен достъп до чувствителни системи трябва да преминава през автентифицирани, криптирани връзки. Разчитането на некриптирани или слабо защитени канали ви излага на риск, ако идентификационните данни на доставчик бъдат откраднати.
Прилагайте многофакторно удостоверяване навсякъде. Откраднатите идентификационни данни са значително по-малко полезни за нападателите, когато се изисква втори фактор. Това се отнася за вашите собствени системи и трябва да бъде изискване, което налагате на доставчиците.
Следвайте NIS2 и подобни рамки. Дори ако вашата организация не е законово задължена да спазва NIS2 или еквивалентни стандарти, третирането им като базова линия е практичен начин да оцените позицията си по сигурността.
Приемайте пробива за даденост и планирайте съответно. Разбирането, че дори добре обезпечени доставчици на IT инфраструктура могат да бъдат компрометирани, означава, че организациите трябва да планират за сценария, при който доверен доставчик е бил обърнат срещу тях. Сегментирайте достъпа, регистрирайте активността и имайте готов план за реагиране при инциденти.

Пробивът при Sistemi Informativi е напомняне, че организациите, управляващи инфраструктурата на нашия цифров свят, са ценни цели. Да се защитите означава да разширите мисленето си за сигурност отвъд собствения си периметър — към всеки, на когото поверявате достъп до вашите системи.

// FAQ

Какво е Sistemi Informativi и защо пробивът е важен?

Sistemi Informativi е дъщерно дружество на IBM Italy, което управлява IT инфраструктура за публични и частни институции. Тъй като обслужва множество клиенти, един пробив създава потенциални точки на уязвимост за всяка организация, разчитаща на неговите услуги.

Кой е заподозрян за извършването на кибератаката?

Изследователи по сигурността и официални лица са посочили потенциални връзки с китайски държавно спонсорирани кибероперации. Това поставя инцидента в по-широк модел на прониквания от страна на национални държави, насочени срещу критична инфраструктура в Европа и Северна Америка.

Какво е атака по веригата на доставки и как се прилага тук?

Атаката по веригата на доставки включва компрометиране на доверен доставчик — трета страна — с цел получаване на достъп до неговите клиенти, без да се атакуват тези клиенти директно. В този случай нападатели, компрометирали Sistemi Informativi, биха могли да наследят доверителните му отношения с последващи организации.

По какво се различават държавно спонсорираните пробиви в инфраструктурата от типичните пробиви на данни?

За разлика от типичните пробиви, насочени към идентификационни данни или клиентски записи, държавно спонсорираните прониквания в инфраструктурни компании обикновено се фокусират върху събиране на разузнавателна информация, постоянен достъп и способността да се нарушат системите в стратегически подходящ момент.

Предупреждавали ли са разузнавателни агенции за този вид заплаха преди?

Да, разузнавателни агенции в Съединените щати, Обединеното кралство и Европейския съюз многократно са предупреждавали, че актьори от национални държави, свързани с Китай, системно са насочвали усилията си срещу доставчици на инфраструктура, телекомуникационни компании и IT доставчици на правителства.