Naruszenia danych

Naruszenie włoskiego oddziału IBM powiązane z chińskimi operacjami cybernetycznymi

4 maja 20265 min czytania

By Lina Petrov — 8 years reviewing consumer technology

Naruszenie włoskiego oddziału IBM powiązane z chińskimi operacjami cybernetycznymi

Włoski oddział IBM dotknięty naruszeniem z powiązaniami sponsorowanymi przez państwo

Cyberatak wymierzony w Sistemi Informativi, spółkę zależną IBM Italy zarządzającą infrastrukturą IT zarówno dla instytucji publicznych, jak i prywatnych, wzbudził poważne obawy dotyczące bezpieczeństwa krytycznej infrastruktury krajowej. Badacze ds. bezpieczeństwa oraz urzędnicy wskazali na potencjalne powiązania z chińskimi operacjami cybernetycznymi sponsorowanymi przez państwo, co sprawia, że incydent ten stanowi istotny moment w trwającej dyskusji o zagrożeniach ze strony państw narodowych dla zachodnich systemów IT.

Sistemi Informativi nie jest nazwą powszechnie rozpoznawalną, jednak jej rola w włoskiej infrastrukturze jest znacząca. Firma świadczy usługi IT dla organizacji zależnych od niezawodnych i bezpiecznych systemów, co oznacza, że naruszenie tego rodzaju może wywołać efekt domina daleko wykraczający poza jedną organizację. Gdy dostawca zarządzający infrastrukturą dla wielu klientów zostaje skompromitowany, każda instytucja korzystająca z jego usług staje się potencjalnym punktem ekspozycji.

Co wiemy o naruszeniu

Szczegóły pozostają ograniczone, ponieważ dochodzenia są nadal w toku, jednak podstawowa kwestia jest jasna: atakujący uzyskał nieautoryzowany dostęp do systemów zarządzanych przez firmę głęboko wbudowaną w włoski ekosystem IT. Domniemane powiązanie z chińskimi operacjami cybernetycznymi wpisuje ten incydent w szerszy wzorzec sponsorowanych przez państwo włamań wymierzonych w infrastrukturę krytyczną w Europie i Ameryce Północnej.

Nie jest to zjawisko odosobnione. Agencje wywiadowcze Stanów Zjednoczonych, Wielkiej Brytanii i Unii Europejskiej wielokrotnie ostrzegały, że podmioty państwowe, w szczególności te powiązane z Chinami, systematycznie penetrują i infiltrują dostawców infrastruktury, firmy telekomunikacyjne oraz dostawców IT dla administracji rządowej. Naruszenie dostawcy takiego jak Sistemi Informativi może zapewnić atakującym trwały dostęp do wielu celów niższego szczebla bez konieczności bezpośredniego atakowania tych celów.

Wykorzystanie zaufanych zewnętrznych dostawców IT jako wektora wejścia, często określane mianem ataku na łańcuch dostaw, stało się jedną z najskuteczniejszych taktyk dostępnych dla zaawansowanych podmiotów stanowiących zagrożenie. Gdy atakujący kompromituje zarządcę infrastruktury, przejmuje relacje zaufania, jakie ten zarządca utrzymuje ze swoimi klientami.

Dlaczego naruszenia krytycznej infrastruktury są wyjątkowe

Większość naruszeń danych wiąże się z kradzieżą danych uwierzytelniających, wyciekiem rekordów klientów lub ładunkami ransomware. Sponsorowane przez państwo włamania do firm zarządzających infrastrukturą mają zazwyczaj inne cele: zbieranie informacji wywiadowczych, uzyskanie trwałego dostępu oraz zdolność do zakłócania systemów w strategicznie dogodnym momencie.

To rozróżnienie ma ogromne znaczenie dla sposobu, w jaki organizacje i osoby prywatne powinny postrzegać ryzyko. Naruszenie u detalisty może ujawnić numer Twojej karty kredytowej. Naruszenie firmy zarządzającej rządową i instytucjonalną infrastrukturą IT może wpłynąć na usługi publiczne, wrażliwe komunikaty rządowe lub ciągłość operacyjną krytycznych systemów.

Dla Włoch w szczególności incydent ten następuje w czasie, gdy europejskie rządy coraz wnikliwiej przyglądają się praktykom bezpieczeństwa dostawców wbudowanych w infrastrukturę krajową. Dyrektywa NIS2 Unii Europejskiej, która weszła w życie w 2023 roku, ma na celu nałożenie bardziej rygorystycznych wymogów w zakresie cyberbezpieczeństwa właśnie na tę kategorię firm. Naruszenie Sistemi Informativi stanowi rzeczywisty test tego, czy standardy te są przestrzegane.

Co to oznacza dla Ciebie

Dla większości ludzi naruszenie w spółce zależnej infrastruktury IT we Włoszech może wydawać się odległe. Jednak płyną z tego praktyczne lekcje, które bezpośrednio dotyczą sposobu, w jaki osoby prywatne i organizacje chronią swoje dane i komunikację.

Po pierwsze, problem łańcucha dostaw jest powszechny. Za każdym razem, gdy powierzasz zewnętrznemu dostawcy usług swoje dane lub systemy, ufasz również praktykom bezpieczeństwa tego dostawcy. Bez względu na to, czy jesteś małą firmą korzystającą z chmurowej platformy księgowej, czy agencją rządową korzystającą z zewnętrznego zarządcy IT, najsłabsze ogniwo w tym łańcuchu determinuje Twoją rzeczywistą ekspozycję.

Po drugie, bezpieczeństwo na poziomie sieci ma znaczenie. Organizacje uzyskujące dostęp do wrażliwych systemów, zwłaszcza za pośrednictwem połączeń zdalnych, potrzebują szyfrowanych, uwierzytelnionych ścieżek. Sieci VPN i architektury zero-trust istnieją właśnie po to, aby ograniczyć zasięg szkód w przypadku kradzieży danych uwierzytelniających lub skompromitowania dostawcy. Jeśli zdalny dostęp Twojej organizacji opiera się wyłącznie na kombinacjach nazwy użytkownika i hasła, naruszenie u zaufanego dostawcy może być wszystkim, czego atakujący potrzebuje.

Po trzecie, oceny ryzyka dostawców nie są opcjonalne. Przedsiębiorstwa i instytucje powinny regularnie audytować stan bezpieczeństwa każdej strony trzeciej mającej kontakt z ich systemami. Obejmuje to przegląd procedur reagowania na incydenty, pytania o praktyki testów penetracyjnych oraz zapewnienie, że zobowiązania umowne dotyczące powiadamiania o naruszeniach są zawarte.

Praktyczne wnioski

Przeprowadź audyt relacji z dostawcami. Zidentyfikuj każdego zewnętrznego dostawcę mającego dostęp do Twoich systemów lub danych i oceń, czy jego standardy bezpieczeństwa odpowiadają Twojej tolerancji ryzyka.
Egzekwuj szyfrowaną komunikację. Cały zdalny dostęp do wrażliwych systemów powinien odbywać się przez uwierzytelnione, szyfrowane połączenia. Poleganie na nieszyfrowanych lub słabo zabezpieczonych kanałach naraża Cię na ryzyko w przypadku kradzieży danych uwierzytelniających dostawcy.
Wdrażaj uwierzytelnianie wieloskładnikowe wszędzie. Skradzione dane uwierzytelniające są znacznie mniej użyteczne dla atakujących, gdy wymagany jest drugi składnik. Dotyczy to Twoich własnych systemów i powinno być wymaganiem narzucanym dostawcom.
Stosuj NIS2 i podobne frameworki. Nawet jeśli Twoja organizacja nie jest prawnie zobowiązana do przestrzegania NIS2 lub równoważnych standardów, traktowanie ich jako punktu odniesienia jest praktycznym sposobem na ocenę swojego stanu bezpieczeństwa.
Zakładaj naruszenie i planuj odpowiednio. Zrozumienie, że nawet dobrze wyposażeni dostawcy infrastruktury IT mogą zostać skompromitowani, oznacza, że organizacje powinny planować scenariusz, w którym zaufany dostawca został obrócony przeciwko nim. Segmentuj dostęp, rejestruj aktywność i miej gotowy plan reagowania na incydenty.

Naruszenie Sistemi Informativi przypomina, że organizacje zarządzające infrastrukturą naszej infrastruktury cyfrowej są celami o wysokiej wartości. Ochrona siebie oznacza rozszerzenie myślenia o bezpieczeństwie poza własny perimetr na wszystkich, którym ufasz z dostępem do swoich systemów.

// FAQ

Czym jest Sistemi Informativi i dlaczego naruszenie ma znaczenie?

Sistemi Informativi to spółka zależna IBM Italy zarządzająca infrastrukturą IT dla instytucji publicznych i prywatnych. Ponieważ obsługuje wielu klientów, naruszenie tworzy potencjalne punkty ekspozycji w każdej organizacji korzystającej z jej usług.

Kto jest podejrzewany o przeprowadzenie cyberataku?

Badacze ds. bezpieczeństwa oraz urzędnicy wskazali na potencjalne powiązania z chińskimi operacjami cybernetycznymi sponsorowanymi przez państwo. Wpisuje to incydent w szerszy wzorzec włamań ze strony państw narodowych wymierzonych w infrastrukturę krytyczną w Europie i Ameryce Północnej.

Czym jest atak na łańcuch dostaw i jak ma zastosowanie w tym przypadku?

Atak na łańcuch dostaw polega na skompromitowaniu zaufanego zewnętrznego dostawcy w celu uzyskania dostępu do jego klientów bez bezpośredniego atakowania tych klientów. W tym przypadku atakujący, którzy skompromitowali Sistemi Informativi, mogli przejąć jej relacje zaufania z organizacjami niższego szczebla.

Czym różnią się sponsorowane przez państwo naruszenia infrastruktury od typowych naruszeń danych?

W przeciwieństwie do typowych naruszeń wymierzonych w dane uwierzytelniające lub rekordy klientów, sponsorowane przez państwo włamania do firm infrastrukturalnych skupiają się zazwyczaj na zbieraniu informacji wywiadowczych, uzyskaniu trwałego dostępu oraz zdolności do zakłócania systemów w strategicznie dogodnym momencie.

Czy agencje wywiadowcze wcześniej ostrzegały przed tego rodzaju zagrożeniem?

Tak, agencje wywiadowcze Stanów Zjednoczonych, Wielkiej Brytanii i Unii Europejskiej wielokrotnie ostrzegały, że podmioty państwowe powiązane z Chinami systematycznie atakują dostawców infrastruktury, firmy telekomunikacyjne oraz dostawców IT dla administracji rządowej.