บริษัทในเครือ IBM Italy ถูกละเมิดความปลอดภัยพร้อมสัญญาณเชื่อมโยงกับรัฐ
การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ Sistemi Informativi บริษัทในเครือของ IBM Italy ที่บริหารจัดการโครงสร้างพื้นฐานด้านไอทีให้แก่ทั้งหน่วยงานภาครัฐและเอกชน ได้จุดประกายความกังวลอย่างร้ายแรงเกี่ยวกับความปลอดภัยของโครงสร้างพื้นฐานสำคัญของประเทศ นักวิจัยด้านความปลอดภัยและเจ้าหน้าที่ได้ตั้งข้อสังเกตถึงความเชื่อมโยงที่อาจเกิดขึ้นกับปฏิบัติการไซเบอร์ที่ได้รับการสนับสนุนจากรัฐจีน ทำให้เหตุการณ์นี้กลายเป็นจุดสำคัญในการสนทนาที่ดำเนินอยู่เกี่ยวกับภัยคุกคามจากรัฐชาติต่อระบบไอทีของโลกตะวันตก
Sistemi Informativi อาจไม่ใช่ชื่อที่คุ้นหูในวงกว้าง แต่บทบาทของบริษัทในโครงสร้างพื้นฐานของอิตาลีนั้นมีความสำคัญอย่างมาก บริษัทให้บริการด้านไอทีแก่องค์กรต่าง ๆ ที่ต้องพึ่งพาระบบที่เชื่อถือได้และปลอดภัย ซึ่งหมายความว่าการละเมิดความปลอดภัยในลักษณะนี้อาจส่งผลกระทบเป็นลูกโซ่ไกลเกินกว่าองค์กรเดียว เมื่อผู้ให้บริการที่บริหารจัดการโครงสร้างพื้นฐานให้แก่ลูกค้าหลายรายถูกบุกรุก ทุกสถาบันที่พึ่งพาผู้ให้บริการรายนั้นก็กลายเป็นจุดเสี่ยงที่อาจถูกเปิดเผย
สิ่งที่เราทราบเกี่ยวกับการละเมิดครั้งนี้
รายละเอียดยังคงมีจำกัดในขณะที่การสอบสวนยังดำเนินต่อไป แต่ข้อกังวลหลักนั้นชัดเจน: ผู้โจมตีได้รับสิทธิ์เข้าถึงระบบที่บริหารจัดการโดยบริษัทที่ฝังรากลึกอยู่ในระบบนิเวศไอทีของอิตาลีโดยไม่ได้รับอนุญาต การกล่าวอ้างถึงความเชื่อมโยงกับปฏิบัติการไซเบอร์ของจีนทำให้เหตุการณ์นี้เป็นส่วนหนึ่งของรูปแบบที่กว้างขึ้นของการบุกรุกที่ได้รับการสนับสนุนจากรัฐซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานสำคัญทั่วยุโรปและอเมริกาเหนือ
นี่ไม่ใช่ปรากฏการณ์ที่เกิดขึ้นโดดเดี่ยว หน่วยงานข่าวกรองในสหรัฐอเมริกา สหราชอาณาจักร และสหภาพยุโรปได้เตือนซ้ำแล้วซ้ำเล่าว่าตัวแสดงระดับรัฐชาติ โดยเฉพาะอย่างยิ่งที่มีความเชื่อมโยงกับจีน ได้ทำการสำรวจและเจาะเข้าสู่ผู้ให้บริการโครงสร้างพื้นฐาน บริษัทโทรคมนาคม และผู้ให้บริการไอทีของรัฐบาลอย่างเป็นระบบ การเจาะเข้าสู่ผู้ให้บริการอย่าง Sistemi Informativi สามารถมอบสิทธิ์การเข้าถึงที่ยั่งยืนไปยังเป้าหมายปลายทางหลายแห่งโดยไม่จำเป็นต้องเจาะเข้าสู่เป้าหมายเหล่านั้นโดยตรง
การใช้ผู้ให้บริการไอทีบุคคลที่สามที่น่าเชื่อถือเป็นช่องทางเข้า ซึ่งมักเรียกว่าการโจมตีห่วงโซ่อุปทาน ได้กลายเป็นหนึ่งในยุทธวิธีที่มีประสิทธิภาพที่สุดสำหรับตัวแสดงที่มีความซับซ้อน เมื่อผู้โจมตีบุกรุกผู้จัดการโครงสร้างพื้นฐาน พวกเขาจะได้รับสืบทอดความสัมพันธ์ที่ไว้วางใจที่ผู้จัดการรายนั้นมีกับลูกค้าของตน
เหตุใดการละเมิดโครงสร้างพื้นฐานสำคัญจึงแตกต่างออกไป
การละเมิดข้อมูลส่วนใหญ่เกี่ยวข้องกับการขโมยข้อมูลประจำตัว การรั่วไหลของบันทึกลูกค้า หรือมัลแวร์เรียกค่าไถ่ การบุกรุกที่ได้รับการสนับสนุนจากรัฐในบริษัทจัดการโครงสร้างพื้นฐานมักมีวัตถุประสงค์ที่แตกต่างกัน: การรวบรวมข่าวกรอง การเข้าถึงที่ยั่งยืน และความสามารถในการรบกวนระบบในช่วงเวลาที่เป็นประโยชน์เชิงยุทธศาสตร์
ความแตกต่างนี้มีความสำคัญอย่างมากต่อวิธีที่องค์กรและบุคคลควรคิดเกี่ยวกับความเสี่ยง การละเมิดที่ร้านค้าปลีกอาจเปิดเผยหมายเลขบัตรเครดิตของคุณ แต่การละเมิดที่บริษัทที่จัดการโครงสร้างพื้นฐานไอทีของรัฐบาลและสถาบันอาจส่งผลต่อบริการสาธารณะ การสื่อสารของรัฐบาลที่ละเอียดอ่อน หรือความต่อเนื่องในการดำเนินงานของระบบสำคัญ
สำหรับอิตาลีโดยเฉพาะ เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่รัฐบาลยุโรปกำลังตรวจสอบแนวทางปฏิบัติด้านความปลอดภัยของผู้ให้บริการที่ฝังรากอยู่ในโครงสร้างพื้นฐานของชาติมากขึ้น คำสั่ง NIS2 ของสหภาพยุโรปซึ่งมีผลบังคับใช้ในปี 2566 ได้รับการออกแบบมาเพื่อกำหนดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดขึ้นสำหรับบริษัทในประเภทนี้โดยเฉพาะ การละเมิดของ Sistemi Informativi ทำหน้าที่เป็นกรณีทดสอบในโลกแห่งความเป็นจริงว่ามาตรฐานเหล่านั้นได้รับการปฏิบัติตามหรือไม่
สิ่งที่หมายความสำหรับคุณ
สำหรับคนส่วนใหญ่ การละเมิดที่บริษัทในเครือด้านโครงสร้างพื้นฐานไอทีในอิตาลีอาจดูห่างไกล แต่มีบทเรียนเชิงปฏิบัติที่นำไปใช้กับวิธีที่บุคคลและองค์กรปกป้องข้อมูลและการสื่อสารของตนเองโดยตรง
ประการแรก ปัญหาห่วงโซ่อุปทานเป็นสากล เมื่อใดก็ตามที่คุณไว้วางใจผู้ให้บริการบุคคลที่สามด้วยข้อมูลหรือระบบของคุณ คุณยังไว้วางใจแนวทางปฏิบัติด้านความปลอดภัยของผู้ให้บริการรายนั้นด้วย ไม่ว่าคุณจะเป็นธุรกิจขนาดเล็กที่ใช้แพลตฟอร์มบัญชีบนคลาวด์หรือหน่วยงานรัฐบาลที่ใช้ผู้จัดการไอทีจากภายนอก จุดอ่อนที่สุดในห่วงโซ่นั้นจะกำหนดการรับมือที่แท้จริงของคุณ
ประการที่สอง ความปลอดภัยระดับเครือข่ายมีความสำคัญ องค์กรที่เข้าถึงระบบที่ละเอียดอ่อน โดยเฉพาะอย่างยิ่งผ่านการเชื่อมต่อระยะไกล จำเป็นต้องใช้เส้นทางที่เข้ารหัสและผ่านการยืนยันตัวตน VPN และสถาปัตยกรรมเครือข่ายแบบ zero-trust มีอยู่เพื่อจำกัดรัศมีความเสียหายเมื่อมีการขโมยข้อมูลประจำตัวหรือผู้ให้บริการถูกบุกรุก หากการเข้าถึงระยะไกลขององค์กรของคุณพึ่งพาเพียงชื่อผู้ใช้และรหัสผ่าน การละเมิดที่ผู้ให้บริการที่น่าเชื่อถืออาจเป็นทั้งหมดที่ผู้โจมตีต้องการ
ประการที่สาม การประเมินความเสี่ยงของผู้ให้บริการไม่ใช่ทางเลือก ธุรกิจและสถาบันควรตรวจสอบสถานะความปลอดภัยของบุคคลที่สามทุกรายที่สัมผัสระบบของตนเป็นประจำ ซึ่งรวมถึงการทบทวนขั้นตอนการตอบสนองต่อเหตุการณ์ การสอบถามเกี่ยวกับแนวทางปฏิบัติการทดสอบการเจาะระบบ และการรับรองว่ามีภาระผูกพันตามสัญญาเกี่ยวกับการแจ้งเตือนการละเมิด
ข้อสรุปที่นำไปปฏิบัติได้
- ตรวจสอบความสัมพันธ์กับผู้ให้บริการของคุณ ระบุผู้ให้บริการบุคคลที่สามทุกรายที่มีสิทธิ์เข้าถึงระบบหรือข้อมูลของคุณ และประเมินว่ามาตรฐานความปลอดภัยของพวกเขาตรงกับระดับความเสี่ยงที่คุณยอมรับได้หรือไม่
- บังคับใช้การสื่อสารที่เข้ารหัส การเข้าถึงระยะไกลทั้งหมดไปยังระบบที่ละเอียดอ่อนควรผ่านการเชื่อมต่อที่เข้ารหัสและผ่านการยืนยันตัวตน การพึ่งพาช่องทางที่ไม่ได้เข้ารหัสหรือมีความปลอดภัยต่ำทำให้คุณเปิดรับความเสี่ยงหากข้อมูลประจำตัวของผู้ให้บริการถูกขโมย
- นำการยืนยันตัวตนหลายปัจจัยไปใช้ทุกที่ ข้อมูลประจำตัวที่ถูกขโมยมีประโยชน์น้อยลงมากสำหรับผู้โจมตีเมื่อต้องใช้ปัจจัยที่สอง ซึ่งใช้กับระบบของคุณเองและควรเป็นข้อกำหนดที่คุณกำหนดให้ผู้ให้บริการ
- ปฏิบัติตาม NIS2 และกรอบการทำงานที่คล้ายกัน แม้ว่าองค์กรของคุณจะไม่ได้รับการบังคับทางกฎหมายให้ปฏิบัติตาม NIS2 หรือมาตรฐานที่เทียบเท่า การใช้มาตรฐานเหล่านั้นเป็นเกณฑ์พื้นฐานเป็นวิธีที่ใช้งานได้จริงในการเปรียบเทียบสถานะความปลอดภัยของคุณ
- สมมติว่ามีการละเมิดและวางแผนตามนั้น การเข้าใจว่าแม้แต่ผู้ให้บริการโครงสร้างพื้นฐานไอทีที่มีทรัพยากรดีก็อาจถูกบุกรุกได้ หมายความว่าองค์กรควรวางแผนสำหรับสถานการณ์ที่ผู้ให้บริการที่น่าเชื่อถือถูกหันมาต่อต้านพวกเขา แบ่งส่วนการเข้าถึง บันทึกกิจกรรม และมีแผนตอบสนองต่อเหตุการณ์พร้อมอยู่เสมอ
การละเมิดของ Sistemi Informativi เป็นเครื่องเตือนใจว่าองค์กรที่จัดการระบบประปาดิจิทัลของเราเป็นเป้าหมายที่มีมูลค่าสูง การปกป้องตัวเองหมายถึงการขยายการคิดด้านความปลอดภัยของคุณให้เกินขอบเขตของตัวเองไปถึงทุกคนที่คุณไว้วางใจด้วยการเข้าถึงระบบของคุณ
