Breșuri de Date

Breșa de securitate la subsidiara IBM Italia, legată de operațiuni cibernetice chineze

4 mai 20265 min de citit

By Lina Petrov — 8 years reviewing consumer technology

Breșa de securitate la subsidiara IBM Italia, legată de operațiuni cibernetice chineze

Subsidiara IBM Italia, lovită de o breșă cu legături la actori statali

Un atac cibernetic vizând Sistemi Informativi, o subsidiară a IBM Italia care gestionează infrastructura IT pentru instituții publice și private, a ridicat îngrijorări serioase cu privire la securitatea infrastructurii naționale critice. Cercetătorii în securitate și oficialii au semnalat potențiale conexiuni cu operațiuni cibernetice sponsorizate de statul chinez, făcând din acest incident un moment semnificativ în dezbaterea continuă despre amenințările statelor naționale la adresa sistemelor IT occidentale.

Sistemi Informativi nu este un nume cunoscut publicului larg, însă rolul său în infrastructura italiană este substanțial. Compania gestionează servicii IT pentru organizații care depind de sisteme fiabile și securizate, ceea ce înseamnă că o breșă de acest tip poate genera efecte în cascadă cu mult dincolo de o singură organizație. Atunci când un furnizor care administrează infrastructura pentru mai mulți clienți este compromis, fiecare instituție care se bazează pe acel furnizor devine un potențial punct de expunere.

Ce știm despre breșă

Detaliile rămân limitate pe măsură ce investigațiile continuă, însă preocuparea principală este clară: un atacator a obținut acces neautorizat la sistemele gestionate de o companie profund integrată în ecosistemul IT al Italiei. Presupusa legătură cu operațiunile cibernetice chineze plasează acest incident într-un tipar mai larg de intruziuni sponsorizate de state, vizând infrastructura critică din Europa și America de Nord.

Acesta nu este un fenomen izolat. Agențiile de informații din Statele Unite, Regatul Unit și Uniunea Europeană au avertizat în mod repetat că actorii statali, în special cei legați de China, au sondat și penetrat sistematic furnizorii de infrastructură, companiile de telecomunicații și furnizorii IT guvernamentali. Compromiterea unui furnizor precum Sistemi Informativi poate oferi atacatorilor acces persistent la multiple ținte secundare, fără a fi nevoie să le compromită direct.

Utilizarea furnizorilor IT terți de încredere ca vector de intrare — denumită adesea atac asupra lanțului de aprovizionare — a devenit una dintre cele mai eficiente tactici disponibile actorilor de amenințare sofisticați. Atunci când un atacator compromite un administrator de infrastructură, acesta moștenește relațiile de încredere pe care acel administrator le deține cu clienții săi.

De ce breșele de infrastructură critică sunt diferite

Majoritatea breșelor de date implică credențiale furate, înregistrări ale clienților divulgate sau payload-uri de tip ransomware. Intruziunile sponsorizate de state în companiile de management al infrastructurii tind să aibă obiective diferite: culegere de informații, acces persistent și capacitatea de a perturba sistemele într-un moment strategic util.

Această distincție contează enorm pentru modul în care organizațiile și persoanele fizice ar trebui să gândească riscul. O breșă la un retailer ar putea expune numărul cardului tău de credit. O breșă la o companie care gestionează infrastructura IT guvernamentală și instituțională ar putea afecta serviciile publice, comunicațiile guvernamentale sensibile sau continuitatea operațională a sistemelor critice.

Pentru Italia în mod specific, acest incident survine într-un moment în care guvernele europene scrutinizează din ce în ce mai atent practicile de securitate ale furnizorilor integrați în infrastructura națională. Directiva NIS2 a Uniunii Europene, intrată în vigoare în 2023, este concepută pentru a impune cerințe mai stricte de securitate cibernetică exact acestei categorii de companii. Breșa de la Sistemi Informativi constituie un caz de test din lumea reală pentru a verifica dacă acele standarde sunt respectate.

Ce înseamnă aceasta pentru tine

Pentru majoritatea oamenilor, o breșă la o subsidiară de infrastructură IT din Italia poate părea îndepărtată. Însă există lecții practice aplicabile direct modului în care persoanele fizice și organizațiile își protejează propriile date și comunicații.

În primul rând, problema lanțului de aprovizionare este universală. Ori de câte ori ai încredere într-un furnizor de servicii terț cu datele sau sistemele tale, ai încredere și în practicile de securitate ale acelui furnizor. Fie că ești o afacere mică folosind o platformă de contabilitate în cloud sau o agenție guvernamentală utilizând un manager IT externalizat, cea mai slabă verigă din acel lanț îți determină expunerea reală.

În al doilea rând, securitatea la nivel de rețea contează. Organizațiile care accesează sisteme sensibile, în special prin conexiuni la distanță, au nevoie de căi de acces criptate și autentificate. VPN-urile și arhitecturile de rețea zero-trust există tocmai pentru a limita raza de impact atunci când o credențială este furată sau un furnizor este compromis. Dacă accesul de la distanță al organizației tale se bazează exclusiv pe combinații de nume de utilizator și parolă, o breșă la un furnizor de încredere ar putea fi tot ce are nevoie un atacator.

În al treilea rând, evaluările de risc ale furnizorilor nu sunt opționale. Companiile și instituțiile ar trebui să auditeze periodic postura de securitate a fiecărei terțe părți care interacționează cu sistemele lor. Aceasta include revizuirea procedurilor de răspuns la incidente, întrebări despre practicile de testare prin penetrare și asigurarea că obligațiile contractuale privind notificarea breșelor sunt în vigoare.

Concluzii acționabile

Auditează relațiile cu furnizorii tăi. Identifică fiecare furnizor terț cu acces la sistemele sau datele tale și evaluează dacă standardele lor de securitate corespund propriei tale toleranțe la risc.
Impune comunicații criptate. Tot accesul de la distanță la sistemele sensibile ar trebui să treacă prin conexiuni autentificate și criptate. Bazarea pe canale necriptate sau slab securizate te expune dacă credențialele unui furnizor sunt furate.
Implementează autentificarea cu mai mulți factori peste tot. Credențialele furate sunt mult mai puțin utile atacatorilor atunci când este necesar un al doilea factor. Acest lucru se aplică propriilor tale sisteme și ar trebui să fie o cerință pe care o impui furnizorilor.
Urmează NIS2 și cadre similare. Chiar dacă organizația ta nu este obligată legal să respecte NIS2 sau standarde echivalente, tratarea lor ca referință de bază este un mod practic de a evalua postura ta de securitate.
Presupune o breșă și planifică în consecință. Înțelegerea faptului că și furnizorii de infrastructură IT bine dotați cu resurse pot fi compromisi înseamnă că organizațiile ar trebui să planifice scenariul în care un furnizor de încredere a fost transformat împotriva lor. Segmentează accesul, înregistrează activitatea și pregătește un plan de răspuns la incidente.

Breșa de la Sistemi Informativi este un memento că organizațiile care gestionează infrastructura de bază a sistemului nostru digital sunt ținte de mare valoare. A te proteja înseamnă să îți extinzi gândirea de securitate dincolo de propriul perimetru, la toți cei cărora le acorzi acces la sistemele tale.

// FAQ

Ce este Sistemi Informativi și de ce contează breșa?

Sistemi Informativi este o subsidiară a IBM Italia care gestionează infrastructura IT pentru instituții publice și private. Deoarece deservește mai mulți clienți, o breșă creează potențiale puncte de expunere pentru fiecare organizație care se bazează pe serviciile sale.

Cine este suspectat că se află în spatele atacului cibernetic?

Cercetătorii în securitate și oficialii au semnalat potențiale conexiuni cu operațiuni cibernetice sponsorizate de statul chinez. Aceasta plasează incidentul într-un tipar mai larg de intruziuni ale statelor naționale vizând infrastructura critică din Europa și America de Nord.

Ce este un atac asupra lanțului de aprovizionare și cum se aplică în acest caz?

Un atac asupra lanțului de aprovizionare implică compromiterea unui furnizor terț de încredere pentru a obține acces la clienții săi, fără a-i compromite direct. În acest caz, atacatorii care au compromis Sistemi Informativi ar putea moșteni relațiile de încredere ale acesteia cu organizațiile secundare.

Cum diferă breșele de infrastructură sponsorizate de state față de breșele de date tipice?

Spre deosebire de breșele tipice care vizează credențiale sau înregistrări ale clienților, intruziunile sponsorizate de state în companiile de infrastructură tind să se concentreze pe culegerea de informații, accesul persistent și capacitatea de a perturba sistemele într-un moment strategic util.

Au avertizat agențiile de informații anterior cu privire la acest tip de amenințare?

Da, agențiile de informații din Statele Unite, Regatul Unit și Uniunea Europeană au avertizat în mod repetat că actorii statali legați de China au vizat sistematic furnizorii de infrastructură, companiile de telecomunicații și furnizorii IT guvernamentali.