Violazioni dei dati

Violazione della Sussidiaria IBM Italia Collegata ad Operazioni Informatiche Cinesi

4 maggio 20265 min di lettura

Di Lina Petrov — 8 years reviewing consumer technology

Violazione della Sussidiaria IBM Italia Collegata ad Operazioni Informatiche Cinesi

La Sussidiaria IBM Italia Colpita da una Violazione con Legami Sponsorizzati dallo Stato

Un attacco informatico ai danni di Sistemi Informativi, una sussidiaria di IBM Italia che gestisce infrastrutture IT per enti pubblici e privati, ha sollevato gravi preoccupazioni riguardo alla sicurezza delle infrastrutture nazionali critiche. Ricercatori di sicurezza e funzionari hanno segnalato potenziali connessioni con operazioni informatiche sponsorizzate dallo Stato cinese, rendendo questo incidente un momento significativo nel dibattito in corso sulle minacce degli stati-nazione ai sistemi IT occidentali.

Sistemi Informativi non è un nome noto al grande pubblico, ma il suo ruolo nell'infrastruttura italiana è considerevole. L'azienda gestisce servizi IT per organizzazioni che dipendono da sistemi affidabili e sicuri, il che significa che una violazione di questo tipo può avere effetti a catena ben oltre una singola organizzazione. Quando un fornitore che gestisce infrastrutture per più clienti viene compromesso, ogni istituzione che si affida a quel fornitore diventa un potenziale punto di esposizione.

Cosa Sappiamo della Violazione

I dettagli rimangono limitati mentre le indagini proseguono, ma la preoccupazione centrale è chiara: un attaccante ha ottenuto accesso non autorizzato ai sistemi gestiti da un'azienda profondamente integrata nell'ecosistema IT italiano. Il presunto collegamento con operazioni informatiche cinesi inserisce questo incidente in un quadro più ampio di intrusioni sponsorizzate dallo Stato che prendono di mira infrastrutture critiche in Europa e in Nord America.

Non si tratta di un fenomeno isolato. Le agenzie di intelligence degli Stati Uniti, del Regno Unito e dell'Unione Europea hanno ripetutamente avvertito che attori statali, in particolare quelli collegati alla Cina, hanno sistematicamente sondato e penetrato fornitori di infrastrutture, aziende di telecomunicazioni e fornitori IT governativi. Violare un fornitore come Sistemi Informativi può garantire agli attaccanti un accesso persistente a molteplici obiettivi a valle, senza mai dover compromettere direttamente tali obiettivi.

L'utilizzo di fornitori IT terzi di fiducia come vettore d'ingresso, spesso denominato attacco alla catena di approvvigionamento, è diventato una delle tattiche più efficaci a disposizione degli attori delle minacce più sofisticati. Quando un attaccante compromette un gestore di infrastrutture, eredita le relazioni di fiducia che quel gestore intrattiene con i propri clienti.

Perché le Violazioni delle Infrastrutture Critiche Sono Diverse

La maggior parte delle violazioni di dati riguarda credenziali rubate, archivi di clienti trapelati o payload ransomware. Le intrusioni sponsorizzate dallo Stato nelle aziende di gestione delle infrastrutture tendono ad avere obiettivi diversi: raccolta di intelligence, accesso persistente e la capacità di disturbare i sistemi in un momento strategicamente opportuno.

Questa distinzione è di enorme importanza per il modo in cui le organizzazioni e i singoli individui dovrebbero valutare il rischio. Una violazione presso un rivenditore potrebbe esporre il numero della tua carta di credito. Una violazione presso un'azienda che gestisce infrastrutture IT governative e istituzionali potrebbe influenzare i servizi pubblici, le comunicazioni governative riservate o la continuità operativa dei sistemi critici.

Per l'Italia in particolare, questo incidente arriva in un momento in cui i governi europei stanno esaminando con crescente attenzione le pratiche di sicurezza dei fornitori integrati nelle infrastrutture nazionali. La Direttiva NIS2 dell'Unione Europea, entrata in vigore nel 2023, è stata concepita per imporre requisiti di cybersicurezza più stringenti esattamente a questa categoria di aziende. La violazione di Sistemi Informativi rappresenta un caso di prova reale per verificare se tali standard vengano rispettati.

Cosa Significa per Te

Per la maggior parte delle persone, una violazione presso una sussidiaria IT in Italia potrebbe sembrare lontana. Tuttavia, ci sono lezioni pratiche che si applicano direttamente al modo in cui individui e organizzazioni proteggono i propri dati e comunicazioni.

In primo luogo, il problema della catena di approvvigionamento è universale. Ogni volta che affidi i tuoi dati o sistemi a un fornitore di servizi terzo, stai anche affidando la tua sicurezza alle pratiche di sicurezza di quel fornitore. Che tu sia una piccola impresa che utilizza una piattaforma contabile in cloud o un'agenzia governativa che si avvale di un gestore IT esternalizzato, l'anello più debole di quella catena determina la tua effettiva esposizione.

In secondo luogo, la sicurezza a livello di rete è fondamentale. Le organizzazioni che accedono a sistemi sensibili, specialmente tramite connessioni remote, necessitano di percorsi cifrati e autenticati. Le VPN e le architetture di rete zero-trust esistono proprio per limitare il raggio d'azione quando una credenziale viene rubata o un fornitore viene compromesso. Se l'accesso remoto della tua organizzazione si basa esclusivamente su combinazioni di nome utente e password, una violazione presso un fornitore di fiducia potrebbe essere tutto ciò di cui un attaccante ha bisogno.

In terzo luogo, le valutazioni del rischio dei fornitori non sono facoltative. Aziende e istituzioni dovrebbero verificare regolarmente la postura di sicurezza di ogni terza parte che ha accesso ai propri sistemi. Ciò include la revisione delle procedure di risposta agli incidenti, la richiesta di informazioni sulle pratiche di penetration testing e la garanzia che siano in vigore obblighi contrattuali relativi alla notifica delle violazioni.

Punti Chiave da Mettere in Pratica

Verifica le relazioni con i tuoi fornitori. Identifica ogni fornitore terzo con accesso ai tuoi sistemi o dati e valuta se i loro standard di sicurezza corrispondono alla tua tolleranza al rischio.
Imponi comunicazioni cifrate. Tutti gli accessi remoti a sistemi sensibili dovrebbero transitare attraverso connessioni autenticate e cifrate. Affidarsi a canali non cifrati o scarsamente protetti ti espone al rischio se le credenziali di un fornitore vengono rubate.
Implementa l'autenticazione a più fattori ovunque. Le credenziali rubate sono molto meno utili agli attaccanti quando è richiesto un secondo fattore. Questo si applica ai tuoi sistemi e dovrebbe essere un requisito che imponi ai fornitori.
Segui NIS2 e framework analoghi. Anche se la tua organizzazione non è legalmente obbligata a conformarsi a NIS2 o a standard equivalenti, trattarli come riferimento di base è un modo pratico per valutare la tua postura di sicurezza.
Prevedi la violazione, pianifica di conseguenza. Comprendere che anche i fornitori di infrastrutture IT ben dotati di risorse possono essere compromessi significa che le organizzazioni dovrebbero pianificare lo scenario in cui un fornitore di fiducia sia stato utilizzato contro di loro. Segmenta gli accessi, registra le attività e tieni pronto un piano di risposta agli incidenti.

La violazione di Sistemi Informativi è un promemoria del fatto che le organizzazioni che gestiscono le tubature della nostra infrastruttura digitale sono obiettivi ad alto valore. Proteggersi significa estendere il proprio pensiero in materia di sicurezza oltre il proprio perimetro a chiunque si affidi per l'accesso ai propri sistemi.

// FAQ

Cos'è Sistemi Informativi e perché la violazione è importante?

Sistemi Informativi è una sussidiaria di IBM Italia che gestisce infrastrutture IT per enti pubblici e privati. Poiché serve più clienti, una violazione crea potenziali punti di esposizione per ogni organizzazione che si affida ai suoi servizi.

Chi è sospettato di essere dietro all'attacco informatico?

Ricercatori di sicurezza e funzionari hanno segnalato potenziali connessioni con operazioni informatiche sponsorizzate dallo Stato cinese. Questo inserisce l'incidente in un quadro più ampio di intrusioni da parte di stati-nazione che prendono di mira infrastrutture critiche in Europa e in Nord America.

Cos'è un attacco alla catena di approvvigionamento e come si applica in questo caso?

Un attacco alla catena di approvvigionamento consiste nel compromettere un fornitore terzo di fiducia per accedere ai suoi clienti senza dover violare direttamente questi ultimi. In questo caso, gli attaccanti che hanno compromesso Sistemi Informativi avrebbero potuto ereditare le sue relazioni di fiducia con le organizzazioni a valle.

In che cosa differiscono le violazioni di infrastrutture sponsorizzate dallo Stato dalle tipiche violazioni di dati?

A differenza delle violazioni tipiche, che prendono di mira credenziali o dati dei clienti, le intrusioni sponsorizzate dallo Stato nelle aziende di infrastrutture tendono a concentrarsi sulla raccolta di intelligence, sull'accesso persistente e sulla capacità di disturbare i sistemi in un momento strategicamente opportuno.

Le agenzie di intelligence hanno già messo in guardia su questo tipo di minaccia?

Sì, le agenzie di intelligence degli Stati Uniti, del Regno Unito e dell'Unione Europea hanno ripetutamente avvertito che attori statali collegati alla Cina hanno sistematicamente preso di mira fornitori di infrastrutture, aziende di telecomunicazioni e fornitori IT governativi.