Утечки данных

Взлом итальянского подразделения IBM связан с китайскими кибероперациями

4 мая 2026 г.5 мин чтения

By Lina Petrov — 8 years reviewing consumer technology

Взлом итальянского подразделения IBM связан с китайскими кибероперациями

Итальянское подразделение IBM подверглось взлому с признаками государственного вмешательства

Кибератака на Sistemi Informativi, дочернюю компанию IBM Italy, управляющую IT-инфраструктурой как государственных, так и частных учреждений, вызвала серьёзную обеспокоенность состоянием безопасности критически важной национальной инфраструктуры. Исследователи в области безопасности и официальные лица указали на возможную связь с китайскими кибероперациями, спонсируемыми государством, что делает этот инцидент значимой вехой в продолжающейся дискуссии об угрозах со стороны национальных государств западным IT-системам.

Sistemi Informativi — не самое известное широкой публике название, однако её роль в итальянской инфраструктуре весьма существенна. Компания обеспечивает IT-услуги для организаций, зависящих от надёжных и защищённых систем, а значит, взлом такого рода способен породить волновой эффект далеко за пределами одной организации. Когда скомпрометирован поставщик, управляющий инфраструктурой сразу нескольких клиентов, каждое учреждение, пользующееся его услугами, превращается в потенциальную точку уязвимости.

Что известно о взломе

Подробности остаются ограниченными — расследование продолжается, — однако суть проблемы очевидна: злоумышленник получил несанкционированный доступ к системам компании, глубоко встроенной в итальянскую IT-экосистему. Предполагаемая связь с китайскими кибероперациями вписывает этот инцидент в более широкую картину государственных вторжений, направленных против объектов критической инфраструктуры в Европе и Северной Америке.

Это не единичное явление. Спецслужбы США, Великобритании и Европейского союза неоднократно предупреждали, что связанные с Китаем акторы систематически зондируют и проникают в инфраструктурные компании, телекоммуникационных провайдеров и государственных IT-подрядчиков. Взлом такого поставщика, как Sistemi Informativi, способен обеспечить злоумышленникам устойчивый доступ к множеству конечных целей — без необходимости атаковать каждую из них напрямую.

Использование доверенных сторонних IT-провайдеров в качестве точки входа — так называемая атака на цепочку поставок — стала одной из наиболее эффективных тактик, доступных изощрённым угрозам. Скомпрометировав инфраструктурного менеджера, атакующий наследует все доверительные отношения, которые тот поддерживает со своими клиентами.

Чем взломы критической инфраструктуры отличаются от обычных

Большинство утечек данных связаны с похищенными учётными данными, скомпрометированными клиентскими записями или программами-вымогателями. Государственные вторжения в компании по управлению инфраструктурой, как правило, преследуют иные цели: сбор разведывательной информации, установление устойчивого доступа и возможность нарушить работу систем в стратегически выгодный момент.

Это различие принципиально важно для понимания рисков — как организациями, так и частными лицами. Взлом розничной компании может раскрыть номер вашей кредитной карты. Взлом компании, управляющей государственными и институциональными IT-системами, способен затронуть общественные услуги, конфиденциальные правительственные коммуникации или бесперебойное функционирование критически важных систем.

Для Италии в частности этот инцидент происходит в момент, когда европейские правительства всё пристальнее изучают практики безопасности поставщиков, встроенных в национальную инфраструктуру. Директива ЕС NIS2, вступившая в силу в 2023 году, призвана ввести более жёсткие требования к кибербезопасности именно для таких компаний. Взлом Sistemi Informativi становится реальной проверкой того, выполняются ли эти стандарты.

Что это означает лично для вас

Для большинства людей взлом IT-инфраструктурного подразделения в Италии может казаться чем-то далёким. Однако здесь есть практические уроки, непосредственно применимые к тому, как частные лица и организации защищают собственные данные и коммуникации.

Во-первых, проблема цепочки поставок универсальна. Каждый раз, когда вы доверяете свои данные или системы стороннему поставщику услуг, вы одновременно доверяете и его практикам безопасности. Неважно, являетесь ли вы малым бизнесом, использующим облачную бухгалтерскую платформу, или государственным ведомством с аутсорсинговым IT-менеджером: слабейшее звено в этой цепочке определяет ваш реальный уровень уязвимости.

Во-вторых, важна безопасность на уровне сети. Организациям, получающим доступ к чувствительным системам — особенно через удалённые подключения, — необходимы зашифрованные, аутентифицированные каналы. VPN и архитектуры с нулевым доверием (zero-trust) существуют именно для того, чтобы ограничить масштаб ущерба при краже учётных данных или компрометации поставщика. Если удалённый доступ вашей организации строится исключительно на паре «имя пользователя — пароль», взлом доверенного поставщика может оказаться всем, что нужно злоумышленнику.

В-третьих, оценка рисков поставщиков — не опция, а необходимость. Компании и учреждения должны регулярно проверять уровень безопасности каждой третьей стороны, имеющей доступ к их системам. Это включает анализ процедур реагирования на инциденты, выяснение практик тестирования на проникновение и обеспечение наличия договорных обязательств по уведомлению об утечках.

Практические выводы

Проверьте свои отношения с поставщиками. Определите каждого стороннего провайдера, имеющего доступ к вашим системам или данным, и оцените, соответствуют ли его стандарты безопасности вашему собственному уровню допустимого риска.
Обеспечьте шифрование коммуникаций. Весь удалённый доступ к чувствительным системам должен осуществляться через аутентифицированные зашифрованные соединения. Использование незашифрованных или слабо защищённых каналов оставляет вас уязвимым в случае кражи учётных данных поставщика.
Внедрите многофакторную аутентификацию везде. Похищенные учётные данные куда менее полезны для злоумышленников, когда требуется второй фактор подтверждения. Это касается ваших собственных систем и должно быть обязательным требованием к поставщикам.
Следуйте NIS2 и аналогичным стандартам. Даже если ваша организация юридически не обязана соблюдать NIS2 или аналогичные нормы, использование их в качестве базового ориентира — практичный способ оценить свою защищённость.
Исходите из допущения о взломе и планируйте соответственно. Осознание того, что даже хорошо оснащённые IT-инфраструктурные провайдеры могут быть скомпрометированы, означает: организации должны быть готовы к сценарию, при котором доверенный поставщик обращён против них. Сегментируйте доступ, ведите журналы активности и держите наготове план реагирования на инциденты.

Взлом Sistemi Informativi напоминает: организации, управляющие «трубопроводами» нашей цифровой инфраструктуры, являются высокоценными мишенями. Защита себя означает расширение периметра безопасности за пределы собственной организации — на всех, кому вы доверяете доступ к своим системам.

// FAQ

Что такое Sistemi Informativi и почему этот взлом важен?

Sistemi Informativi — дочерняя компания IBM Italy, управляющая IT-инфраструктурой государственных и частных учреждений. Поскольку она обслуживает множество клиентов, взлом создаёт потенциальные точки уязвимости в каждой организации, зависящей от её услуг.

Кто подозревается в причастности к кибератаке?

Исследователи в области безопасности и официальные лица указали на возможную связь с китайскими кибероперациями, спонсируемыми государством. Это вписывает инцидент в более широкую картину государственных вторжений, направленных против объектов критической инфраструктуры в Европе и Северной Америке.

Что такое атака на цепочку поставок и как она применима в данном случае?

Атака на цепочку поставок предполагает компрометацию доверенного стороннего поставщика с целью получить доступ к его клиентам без прямой атаки на них. В данном случае злоумышленники, скомпрометировавшие Sistemi Informativi, могли унаследовать её доверительные отношения с зависимыми организациями.

Чем государственные взломы инфраструктуры отличаются от типичных утечек данных?

В отличие от типичных взломов, нацеленных на учётные данные или клиентские записи, государственные вторжения в инфраструктурные компании, как правило, ориентированы на сбор разведывательных данных, установление устойчивого доступа и возможность нарушить работу систем в стратегически выгодный момент.

Предупреждали ли спецслужбы об угрозах подобного рода прежде?

Да, спецслужбы США, Великобритании и Европейского союза неоднократно предупреждали, что связанные с Китаем государственные акторы систематически атакуют инфраструктурных провайдеров, телекоммуникационные компании и государственных IT-подрядчиков.