Hva er Sistemi Informativi og hvorfor er innbruddet viktig?

Sistemi Informativi er et datterselskap av IBM Italia som forvalter IT-infrastruktur for offentlige og private institusjoner. Fordi selskapet betjener flere klienter, skaper et innbrudd potensielle eksponeringspunkter på tvers av alle organisasjoner som er avhengige av tjenestene deres.

Hvem mistenkes for å stå bak cyberangrepet?

Sikkerhetsforskere og tjenestemenn har pekt på mulige forbindelser til kinesiske statsstøttede cyberoperasjoner. Dette plasserer hendelsen innenfor et bredere mønster av nasjonalstatsinntrengninger rettet mot kritisk infrastruktur i Europa og Nord-Amerika.

Hva er et forsyningskjedeangrep og hvordan er det relevant her?

Et forsyningskjedeangrep innebærer å kompromittere en betrodd tredjeparts leverandør for å få tilgang til dens klienter uten å bryte seg direkte inn hos disse klientene. I dette tilfellet kunne angripere som kompromitterte Sistemi Informativi arve selskapets tillitsforhold til nedstrøms organisasjoner.

Hvordan skiller statsstøttede infrastrukturinnbrudd seg fra typiske datainnbrudd?

I motsetning til typiske innbrudd som retter seg mot legitimasjonsopplysninger eller kunderegistre, har statsstøttede inntrengninger i infrastrukturselskaper en tendens til å fokusere på etterretningsinnhenting, vedvarende tilgang og evnen til å forstyrre systemer på et strategisk gunstig tidspunkt.

Har etterretningsbyråer advart om denne typen trusler tidligere?

Ja, etterretningsbyråer i USA, Storbritannia og EU har gjentatte ganger advart om at nasjonalstatsaktører med tilknytning til Kina systematisk har angrepet infrastrukturleverandører, teleselskaper og statlige IT-leverandører.

IBM Italys datterselskap rammet av datainnbrudd knyttet til kinesiske cyberoperasjoner

IBM Italys datterselskap rammet av datainnbrudd med statsstøttede forbindelser

Et cyberangrep rettet mot Sistemi Informativi, et datterselskap av IBM Italia som forvalter IT-infrastruktur for både offentlige og private institusjoner, har skapt alvorlig bekymring for sikkerheten til kritisk nasjonal infrastruktur. Sikkerhetsforskere og tjenestemenn har pekt på mulige forbindelser til kinesiske statsstøttede cyberoperasjoner, noe som gjør denne hendelsen til et betydningsfullt øyeblikk i den pågående debatten om nasjonalstatsaktørers trusler mot vestlige IT-systemer.

Sistemi Informativi er ikke et kjent navn for folk flest, men selskapets rolle i italiensk infrastruktur er betydelig. Selskapet leverer IT-tjenester til organisasjoner som er avhengige av pålitelige og sikre systemer, noe som betyr at et innbrudd av denne typen kan få ringvirkninger langt utover én enkelt organisasjon. Når en leverandør som forvalter infrastruktur for flere klienter blir kompromittert, blir enhver institusjon som er avhengig av den leverandøren et potensielt eksponeringspunkt.

Hva vi vet om innbruddet

Detaljene er fortsatt begrenset ettersom undersøkelsene pågår, men kjernebekymringen er klar: en angriper fikk uautorisert tilgang til systemer som forvaltes av et selskap som er dypt forankret i Italias IT-økosystem. Den påståtte koblingen til kinesiske cyberoperasjoner plasserer denne hendelsen i et bredere mønster av statsstøttede inntrengninger rettet mot kritisk infrastruktur i Europa og Nord-Amerika.

Dette er ikke et isolert fenomen. Etterretningsbyråer i USA, Storbritannia og EU har gjentatte ganger advart om at nasjonalstatsaktører, særlig de med tilknytning til Kina, systematisk har sondert og trengt inn hos infrastrukturleverandører, teleselskaper og statlige IT-leverandører. Et innbrudd hos en leverandør som Sistemi Informativi kan gi angriperne vedvarende tilgang til flere nedstrøms mål uten noen gang å måtte bryte seg direkte inn hos disse målene.

Bruken av betrodde tredjeparts IT-leverandører som inngangspunkt – ofte kalt et forsyningskjedeangrep – har blitt en av de mest effektive taktikkene tilgjengelig for sofistikerte trusselaktører. Når en angriper kompromitterer en infrastrukturforvalter, arver de tillitsforholdene den forvalteren har med sine klienter.

Hvorfor innbrudd i kritisk infrastruktur er annerledes

De fleste datainnbrudd innebærer stjålne legitimasjonsopplysninger, lekkede kunderegistre eller løsepengevirus. Statsstøttede inntrengninger i infrastrukturforvaltningsselskaper har en tendens til å ha andre mål: etterretningsinnhenting, vedvarende tilgang og evnen til å forstyrre systemer på et strategisk gunstig tidspunkt.

Dette skillet er enormt viktig for hvordan organisasjoner og enkeltpersoner bør tenke på risiko. Et innbrudd hos en forhandler kan eksponere kredittkortnummeret ditt. Et innbrudd hos et selskap som forvalter statlig og institusjonell IT-infrastruktur kan påvirke offentlige tjenester, sensitiv statlig kommunikasjon eller den operasjonelle kontinuiteten til kritiske systemer.

For Italia spesifikt inntreffer denne hendelsen i en tid der europeiske regjeringer i stadig større grad gransker sikkerhetspraksisen til leverandører som er innvevd i nasjonal infrastruktur. EUs NIS2-direktiv, som trådte i kraft i 2023, er utformet for å pålegge strengere cybersikkerhetskrav på nettopp denne kategorien selskaper. Sistemi Informativi-innbruddet fungerer som en virkelighetsnær testcase for om disse standardene overholdes.

Hva dette betyr for deg

For de fleste kan et innbrudd hos et IT-infrastruktur-datterselskap i Italia virke fjernt. Men det finnes praktiske lærdommer her som gjelder direkte for hvordan enkeltpersoner og organisasjoner beskytter sine egne data og kommunikasjon.

For det første er forsyningskjedeproblemet universelt. Hver gang du stoler på en tredjeparts tjenesteleverandør med dine data eller systemer, stoler du også på den leverandørens sikkerhetspraksis. Enten du er en liten bedrift som bruker en skybasert regnskapsplattform eller et statlig organ som bruker en outsourcet IT-forvalter, er det det svakeste leddet i den kjeden som bestemmer din faktiske eksponering.

For det andre er sikkerhet på nettverksnivå viktig. Organisasjoner som aksesserer sensitive systemer, særlig over fjernforbindelser, trenger krypterte og autentiserte tilgangspunkter. VPN-er og nulltillits-nettverksarkitekturer finnes nettopp for å begrense skadevirkningene når en legitimasjon blir stjålet eller en leverandør blir kompromittert. Hvis organisasjonens fjerntilgang utelukkende baserer seg på kombinasjoner av brukernavn og passord, kan et innbrudd hos en betrodd leverandør være alt en angriper trenger.

For det tredje er risikovurdering av leverandører ikke valgfritt. Bedrifter og institusjoner bør regelmessig revidere sikkerhetssituasjonen til enhver tredjepart som berører deres systemer. Dette inkluderer gjennomgang av prosedyrer for hendelseshåndtering, spørsmål om praksis for penetrasjonstesting og sikring av at kontraktsmessige forpliktelser knyttet til varsling om datainnbrudd er på plass.

Konkrete tiltak

Revider leverandørforholdene dine. Identifiser alle tredjepartsleverandører med tilgang til dine systemer eller data, og vurder om sikkerhetsstandardene deres samsvarer med din egen risikovilje.
Krev kryptert kommunikasjon. All fjerntilgang til sensitive systemer bør rutes gjennom autentiserte, krypterte forbindelser. Å basere seg på ukrypterte eller dårlig sikrede kanaler gjør deg sårbar dersom en leverandørs legitimasjonsopplysninger blir stjålet.
Innfør flerfaktorautentisering overalt. Stjålne legitimasjonsopplysninger er langt mindre nyttige for angripere når en annen faktor er påkrevd. Dette gjelder dine egne systemer og bør være et krav du stiller til leverandører.
Følg NIS2 og tilsvarende rammeverk. Selv om organisasjonen din ikke er juridisk forpliktet til å overholde NIS2 eller tilsvarende standarder, er det en praktisk måte å måle sikkerhetssituasjonen din på å behandle dem som et utgangspunkt.
Anta at innbrudd vil skje, og planlegg deretter. Å forstå at selv ressurssterke IT-infrastrukturleverandører kan bli kompromittert, betyr at organisasjoner bør planlegge for scenarioet der en betrodd leverandør har blitt vendt mot dem. Segmenter tilgang, loggfør aktivitet og ha en beredskapsplan for hendelseshåndtering klar.

Sistemi Informativi-innbruddet er en påminnelse om at organisasjonene som forvalter rørleggingen i vår digitale infrastruktur er høyverdi-mål. Å beskytte deg selv betyr å utvide sikkerhetstankegangen din utover din egen perimeter til alle du stoler på med tilgang til systemene dine.

IBM Italys datterselskap rammet av datainnbrudd med statsstøttede forbindelser

Hva vi vet om innbruddet

Hvorfor innbrudd i kritisk infrastruktur er annerledes

Hva dette betyr for deg

Konkrete tiltak

// FAQ

// Relatert