Porušení údajů

Narušení bezpečnosti italské pobočky IBM spojeno s čínskými kybernetickými operacemi

4. května 20265 min čtení

By Lina Petrov — 8 years reviewing consumer technology

Narušení bezpečnosti italské pobočky IBM spojeno s čínskými kybernetickými operacemi

Italská pobočka IBM zasažena únikem dat se státem sponzorovanými vazbami

Kybernetický útok namířený proti společnosti Sistemi Informativi, pobočce IBM Italy spravující IT infrastrukturu pro veřejné i soukromé instituce, vyvolal vážné obavy o bezpečnost kritické národní infrastruktury. Bezpečnostní výzkumníci a úředníci upozornili na možné spojitosti s čínskými státem sponzorovanými kybernetickými operacemi, což z tohoto incidentu činí významný moment v probíhající diskusi o hrozbách ze strany národních států vůči západním IT systémům.

Sistemi Informativi není jménem, které by veřejnost dobře znala, ale její role v italské infrastruktuře je zásadní. Společnost zajišťuje IT služby pro organizace závislé na spolehlivých a bezpečných systémech, což znamená, že narušení tohoto druhu může mít vlnový efekt daleko přesahující jedinou organizaci. Když je kompromitován dodavatel spravující infrastrukturu pro více klientů, stává se každá instituce na něm závislá potenciálním místem expozice.

Co víme o narušení bezpečnosti

Podrobnosti zůstávají omezené, protože vyšetřování stále probíhá, ale základní obava je jasná: útočník získal neoprávněný přístup k systémům spravovaným společností hluboko zakořeněnou v italském IT ekosystému. Údajná vazba na čínské kybernetické operace zasazuje tento incident do širšího vzorce státem sponzorovaných průniků zaměřených na kritickou infrastrukturu napříč Evropou a Severní Amerikou.

Nejde o izolovaný jev. Zpravodajské agentury Spojených států, Spojeného království a Evropské unie opakovaně varovaly, že státní aktéři, zejména ti spojení s Čínou, systematicky zkoumají a pronikají do poskytovatelů infrastruktury, telekomunikačních společností a vládních IT dodavatelů. Průnik k dodavateli, jako je Sistemi Informativi, může útočníkům poskytnout trvalý přístup k mnoha navazujícím cílům, aniž by kdy museli tyto cíle přímo napadat.

Využívání důvěryhodných externích IT poskytovatelů jako vstupního vektoru, často označované jako útok na dodavatelský řetězec, se stalo jednou z nejúčinnějších taktik dostupných sofistikovaným hrozbám. Když útočník kompromituje správce infrastruktury, zdědí důvěryhodné vztahy, které tento správce udržuje se svými klienty.

Proč jsou narušení kritické infrastruktury jiná

Většina úniků dat zahrnuje odcizené přihlašovací údaje, úniky zákaznických záznamů nebo ransomwarové nástroje. Státem sponzorované průniky do společností spravujících infrastrukturu mívají odlišné cíle: shromažďování zpravodajských informací, trvalý přístup a schopnost narušit systémy ve strategicky vhodný okamžik.

Toto rozlišení je nesmírně důležité pro to, jak by organizace a jednotlivci měli přemýšlet o riziku. Narušení u maloobchodníka může odhalit číslo vaší platební karty. Narušení u společnosti spravující vládní a institucionální IT infrastrukturu by mohlo ovlivnit veřejné služby, citlivou vládní komunikaci nebo provozní kontinuitu kritických systémů.

Pro Itálii konkrétně přichází tento incident v době, kdy evropské vlády stále důkladněji zkoumají bezpečnostní postupy dodavatelů zakotvených v národní infrastruktuře. Směrnice EU NIS2, která vstoupila v platnost v roce 2023, je navržena tak, aby zaváděla přísnější požadavky na kybernetickou bezpečnost právě pro tuto kategorii společností. Narušení u Sistemi Informativi slouží jako příklad z reálného světa testující, zda jsou tyto standardy dodržovány.

Co to znamená pro vás

Pro většinu lidí může narušení u IT infrastrukturní pobočky v Itálii působit vzdáleně. Existují zde však praktické lekce, které se přímo vztahují na způsob, jakým jednotlivci a organizace chrání svá data a komunikaci.

Za prvé, problém dodavatelského řetězce je univerzální. Kdykoli svěříte externímu poskytovateli služeb svá data nebo systémy, důvěřujete také jeho bezpečnostním postupům. Ať už jste malá firma využívající cloudovou účetní platformu nebo vládní agentura využívající externího IT správce, nejslabší článek tohoto řetězce určuje vaši skutečnou míru expozice.

Za druhé, bezpečnost na úrovni sítě je důležitá. Organizace přistupující k citlivým systémům, zejména prostřednictvím vzdálených připojení, potřebují šifrované a ověřené cesty. VPN a architektura sítí s nulovou důvěrou existují přesně proto, aby omezily dosah škod v případě odcizení přihlašovacích údajů nebo kompromitace dodavatele. Pokud vzdálený přístup vaší organizace spoléhá výhradně na kombinace uživatelského jména a hesla, narušení u důvěryhodného dodavatele může být vše, co útočník potřebuje.

Za třetí, hodnocení rizik dodavatelů není volitelné. Podniky a instituce by měly pravidelně auditovat bezpečnostní postoj každé třetí strany, která se dotýká jejich systémů. To zahrnuje přezkoumání postupů reakce na incidenty, dotazy na praktiky penetračního testování a zajištění smluvních závazků týkajících se oznamování narušení.

Praktické závěry

Auditujte své dodavatelské vztahy. Identifikujte každého externího poskytovatele s přístupem k vašim systémům nebo datům a vyhodnoťte, zda jejich bezpečnostní standardy odpovídají vaší vlastní toleranci k riziku.
Prosazujte šifrovanou komunikaci. Veškerý vzdálený přístup k citlivým systémům by měl procházet ověřenými, šifrovanými připojeními. Spoléhání na nešifrované nebo nedostatečně zabezpečené kanály vás vystavuje riziku v případě odcizení přihlašovacích údajů dodavatele.
Zavádějte vícefaktorové ověřování všude. Odcizené přihlašovací údaje jsou pro útočníky mnohem méně užitečné, když je vyžadován druhý faktor. To platí pro vaše vlastní systémy a mělo by to být požadavkem, který kladete na dodavatele.
Řiďte se NIS2 a podobnými rámci. I když vaše organizace není právně povinna dodržovat NIS2 nebo rovnocenné standardy, jejich považování za základní referenci je praktickým způsobem, jak srovnat váš bezpečnostní postoj.
Předpokládejte narušení a plánujte podle toho. Vědomí, že i dobře vybavení správci IT infrastruktury mohou být kompromitováni, znamená, že organizace by měly plánovat scénář, kdy byl důvěryhodný dodavatel obrácen proti nim. Segmentujte přístup, zaznamenávejte aktivitu a mějte připravený plán reakce na incidenty.

Narušení u Sistemi Informativi je připomínkou, že organizace spravující zázemí naší digitální infrastruktury jsou vysoce hodnotnými cíli. Chránit sebe sama znamená rozšířit bezpečnostní myšlení za vlastní perimetr na všechny, kterým důvěřujete přístupem ke svým systémům.

// FAQ

Co je Sistemi Informativi a proč narušení bezpečnosti záleží?

Sistemi Informativi je pobočka IBM Italy, která spravuje IT infrastrukturu pro veřejné a soukromé instituce. Protože obsluhuje více klientů, vytváří narušení potenciální místa expozice napříč každou organizací závislou na jejích službách.

Kdo je podezřelý z kybernetického útoku?

Bezpečnostní výzkumníci a úředníci upozornili na možné spojitosti s čínskými státem sponzorovanými kybernetickými operacemi. To zasazuje incident do širšího vzorce průniků ze strany národních států zaměřených na kritickou infrastrukturu v Evropě a Severní Americe.

Co je útok na dodavatelský řetězec a jak se zde uplatňuje?

Útok na dodavatelský řetězec zahrnuje kompromitaci důvěryhodného externího dodavatele za účelem získání přístupu k jeho klientům, aniž by byli tito klienti přímo napadeni. V tomto případě mohli útočníci, kteří kompromitovali Sistemi Informativi, zdědit její důvěryhodné vztahy s navazujícími organizacemi.

Jak se státem sponzorovaná narušení infrastruktury liší od typických úniků dat?

Na rozdíl od typických narušení zaměřených na přihlašovací údaje nebo zákaznické záznamy se státem sponzorované průniky do infrastrukturních společností tendují zaměřovat na shromažďování zpravodajských informací, trvalý přístup a schopnost narušit systémy ve strategicky vhodný okamžik.

Varovaly zpravodajské agentury před tímto typem hrozby dříve?

Ano, zpravodajské agentury Spojených států, Spojeného království a Evropské unie opakovaně varovaly, že státní aktéři spojení s Čínou systematicky cílí na poskytovatele infrastruktury, telekomunikační společnosti a vládní IT dodavatele.