Mi a Sistemi Informativi, és miért fontos a szivárgás?

A Sistemi Informativi az IBM Italy leányvállalata, amely köz- és magánintézmények IT-infrastruktúráját kezeli. Mivel több ügyfelet is kiszolgál, egy szivárgás potenciális kitettségi pontokat hoz létre minden olyan szervezetnél, amely szolgáltatásaira támaszkodik.

Kit gyanúsítanak a kibertámadás elkövetésével?

Biztonsági kutatók és hatóságok lehetséges összefüggéseket jeleztek kínai államilag támogatott kiberhadműveletekkel. Ez az incidenst egy tágabb mintázatba illeszti, amelyet a kritikus infrastruktúrát célzó nemzetállami behatolások alkotnak Európában és Észak-Amerikában.

Mi az ellátási lánc elleni támadás, és hogyan alkalmazható itt?

Az ellátási lánc elleni támadás egy megbízható harmadik fél szállító kompromittálását jelenti, hogy hozzáférjenek annak ügyfeleihez anélkül, hogy közvetlenül betörnének azokba. Ebben az esetben a Sistemi Informativi-t kompromittáló támadók örökölhetik annak megbízható kapcsolatait a downstream szervezetekkel.

Miben különböznek az államilag támogatott infrastruktúra-szivárgások a tipikus adatszivárgásoktól?

A tipikus szivárgásokkal ellentétben, amelyek hitelesítő adatokat vagy ügyféladatokat céloznak meg, az infrastruktúra-vállalatok elleni államilag támogatott behatolások jellemzően hírszerzési adatgyűjtésre, tartós hozzáférésre és a rendszerek stratégiailag hasznos pillanatban való megzavarásának képességére összpontosítanak.

Figyelmeztettek-e hírszerző szervek korábban az ilyen jellegű fenyegetésekre?

Igen, az Egyesült Államok, az Egyesült Királyság és az Európai Unió hírszerző szervei ismételten figyelmeztettek arra, hogy a Kínához kötődő nemzetállami szereplők szisztematikusan célozzák meg az infrastruktúra-szolgáltatókat, a távközlési vállalatokat és a kormányzati IT-szállítókat.

Az IBM Italy leányvállalatának adatszivárgása kínai kiberhadműveletekhez kapcsolódik

Az IBM Italy leányvállalatát államilag támogatott kapcsolatokkal rendelkező adatszivárgás érte

A Sistemi Informativi ellen elkövetett kibertámadás – amely az IBM Italy leányvállalata, és köz- és magánintézmények IT-infrastruktúráját kezeli – komoly aggodalmakat vetett fel a kritikus nemzeti infrastruktúra biztonságával kapcsolatban. Biztonsági kutatók és hatóságok lehetséges összefüggéseket jeleztek kínai államilag támogatott kiberhadműveletekkel, ezzel az incidens jelentős mérföldkővé vált a nemzetállami fenyegetések nyugati IT-rendszerekre gyakorolt hatásával foglalkozó folyamatos diskurzusban.

A Sistemi Informativi nem közismert név, azonban szerepe az olasz infrastruktúrában jelentős. A vállalat IT-szolgáltatásokat nyújt olyan szervezetek számára, amelyek megbízható és biztonságos rendszerekre támaszkodnak, ami azt jelenti, hogy az ilyen jellegű adatszivárgásnak potenciálisan messze ható következményei lehetnek egyetlen szervezeten túl is. Ha egy több ügyfél infrastruktúráját kezelő szolgáltatót kompromittálnak, az arra támaszkodó minden intézmény potenciális kitettségi ponttá válik.

Amit a szivárgásról tudunk

A részletek egyelőre korlátozottak, mivel a vizsgálatok folyamatban vannak, de az alapvető aggodalom egyértelmű: egy támadó jogosulatlan hozzáférést szerzett egy olyan vállalat által kezelt rendszerekhez, amely mélyen beágyazódott Olaszország IT-ökoszisztémájába. A feltételezett kínai kiberhadműveletekhez való kötődés ezt az incidenst egy tágabb mintázatba illeszti, amelyet az államilag támogatott behatolások alkotnak, és amelyek az egész Európában és Észak-Amerikában lévő kritikus infrastruktúrákat célozzák meg.

Ez nem elszigetelt jelenség. Az Egyesült Államok, az Egyesült Királyság és az Európai Unió hírszerző szervei ismételten figyelmeztettek arra, hogy a nemzetállami szereplők – különösen a Kínához köthetők – szisztematikusan vizsgálják és hatolnak be infrastruktúra-szolgáltatókhoz, távközlési vállalatokhoz és kormányzati IT-szállítókhoz. Egy olyan szállító feltörése, mint a Sistemi Informativi, tartós hozzáférést adhat a támadóknak több downstream célponthoz anélkül, hogy közvetlenül be kellene törniük azokba.

A megbízható harmadik fél IT-szolgáltatók belépési vektorként való felhasználása – amelyet gyakran ellátási lánc elleni támadásnak neveznek – a kifinomult fenyegetőszereplők számára rendelkezésre álló egyik leghatékonyabb taktikává vált. Ha egy támadó kompromittál egy infrastruktúra-kezelőt, örökli azokat a bizalmi kapcsolatokat, amelyeket az adott kezelő az ügyfeleivel ápol.

Miért különböznek a kritikus infrastruktúra elleni szivárgások?

A legtöbb adatszivárgás ellopott hitelesítő adatokat, kiszivárgott ügyféladatokat vagy zsarolóvírus-terheket érint. Az államilag támogatott behatolások az infrastruktúra-kezelő vállalatokba jellemzően eltérő célokat követnek: hírszerzési adatgyűjtést, tartós hozzáférést és a rendszerek stratégiailag hasznos pillanatban való megzavarásának képességét.

Ez a megkülönböztetés rendkívül fontos abból a szempontból, ahogyan a szervezetek és az egyének a kockázatot értékelik. Egy kiskereskedelmi vállalatnál bekövetkező szivárgás feltárhatja a bankkártyaszámát. Egy kormányzati és intézményi IT-infrastruktúrát kezelő vállalatnál bekövetkező szivárgás közszolgáltatásokat, érzékeny kormányzati kommunikációt vagy kritikus rendszerek működési folytonosságát érinthetné.

Olaszország esetében különösen ez az incidens olyan időszakban következett be, amikor az európai kormányok egyre inkább vizsgálják a nemzeti infrastruktúrába beágyazódott szállítók biztonsági gyakorlatait. Az Európai Unió NIS2 irányelve, amely 2023-ban lépett hatályba, pontosan az ilyen kategóriájú vállalatokra kíván szigorúbb kiberbiztonsági követelményeket előírni. A Sistemi Informativi-szivárgás valós tesztesetként szolgál arra vonatkozóan, hogy ezeket a szabványokat betartják-e.

Mit jelent ez az Ön számára?

A legtöbb ember számára egy olaszországi IT-infrastruktúra leányvállalatánál bekövetkező szivárgás távolinak tűnhet. Azonban van néhány gyakorlati tanulság, amely közvetlenül alkalmazható arra, ahogyan az egyének és szervezetek saját adataikat és kommunikációjukat védik.

Először is, az ellátási lánc problémája általános. Bármikor, amikor egy harmadik fél szolgáltatónak bizalmát ajándékozza adataival vagy rendszereivel, egyúttal annak a szolgáltatónak a biztonsági gyakorlataiban is megbízik. Legyen szó egy kis vállalkozásról, amely felhőalapú könyvelési platformot használ, vagy egy kormányzati szervről, amely kiszervezett IT-kezelőt alkalmaz, a lánc leggyengébb tagja határozza meg a tényleges kitettséget.

Másodszor, a hálózati szintű biztonság fontos. Az érzékeny rendszerekhez hozzáférő szervezeteknek – különösen távolról – titkosított, hitelesített útvonalakra van szükségük. A VPN-ek és a zero-trust hálózati architektúrák pontosan azért léteznek, hogy korlátozzák a robbanás sugarát, amikor egy hitelesítő adatot ellopnak vagy egy szállítót kompromittálnak. Ha szervezete távelérése kizárólag felhasználónév és jelszó kombinációkra támaszkodik, egy megbízható szállítónál bekövetkező szivárgás lehet minden, amire egy támadónak szüksége van.

Harmadszor, a szállítói kockázatértékelések nem opcionálisak. A vállalkozásoknak és intézményeknek rendszeresen auditálniuk kell minden olyan harmadik fél biztonsági helyzetét, amely hozzáférhet rendszereikhez. Ez magában foglalja az incidensre adott válaszlépési eljárások felülvizsgálatát, a penetrációs tesztelési gyakorlatokra vonatkozó kérdéseket, valamint annak biztosítását, hogy a szivárgás bejelentésére vonatkozó szerződéses kötelezettségek teljesüljenek.

Gyakorlati következtetések

Auditálja szállítói kapcsolatait. Azonosítson minden harmadik fél szolgáltatót, akinek hozzáférése van rendszereihez vagy adataihoz, és értékelje, hogy biztonsági szabványaik megfelelnek-e saját kockázattűrési határainak.
Kényszerítse ki a titkosított kommunikációt. Az érzékeny rendszerekhez való összes távolsági hozzáférésnek hitelesített, titkosított kapcsolatokon kell átmennie. A titkosítatlan vagy gyengén biztosított csatornákra való támaszkodás kiteszi Önt a kockázatnak, ha egy szállító hitelesítő adatait ellopják.
Vezessen be többtényezős hitelesítést mindenhol. Az ellopott hitelesítő adatok sokkal kevésbé hasznosak a támadók számára, ha második tényező szükséges. Ez vonatkozik saját rendszereire, és olyan követelményként kell előírnia a szállítók számára is.
Kövesse a NIS2 és hasonló keretrendszereket. Még ha szervezetét jogilag nem kötelezik a NIS2 vagy azzal egyenértékű szabványok betartására, alapvonalként való kezelésük praktikus módja biztonsági helyzetének mérésére.
Feltételezzen szivárgást, és tervezzen ennek megfelelően. Annak megértése, hogy még a jól finanszírozott IT-infrastruktúra-szolgáltatók is kompromittálhatók, azt jelenti, hogy a szervezeteknek tervezniük kell arra az esetre, ha egy megbízható szállítót ellenük fordítottak. Szegmentálja a hozzáféréseket, naplózza a tevékenységeket, és legyen készen egy incidenskezelési terv.

A Sistemi Informativi-szivárgás emlékeztetőül szolgál arra, hogy a digitális infrastruktúránk csővezetékét kezelő szervezetek nagy értékű célpontok. Az önvédelem azt jelenti, hogy biztonsági gondolkodását kiterjeszti saját határain túlra mindenki felé, akinek hozzáférést biztosít rendszereihez.

Az IBM Italy leányvállalatát államilag támogatott kapcsolatokkal rendelkező adatszivárgás érte

Amit a szivárgásról tudunk

Miért különböznek a kritikus infrastruktúra elleni szivárgások?

Mit jelent ez az Ön számára?

Gyakorlati következtetések

// GYIK

// Kapcsolódó