Витоки даних

Злом дочірньої компанії IBM Italy пов'язаний із китськими кіберопераціями

4 травня 2026 р.5 хв читання

By Lina Petrov — 8 years reviewing consumer technology

Злом дочірньої компанії IBM Italy пов'язаний із китськими кіберопераціями

Дочірня компанія IBM Italy зазнала злому з ознаками державного спонсорства

Кібератака на Sistemi Informativi, дочірню компанію IBM Italy, що керує IT-інфраструктурою як державних, так і приватних установ, викликала серйозне занепокоєння щодо безпеки критично важливої національної інфраструктури. Дослідники у сфері безпеки та офіційні особи вказали на можливий зв'язок із китайськими кіберопераціями за підтримки держави, що робить цей інцидент значущою подією в триваючій дискусії про загрози з боку національних держав для західних IT-систем.

Sistemi Informativi не є широко відомою назвою, проте її роль в італійській інфраструктурі є суттєвою. Компанія надає IT-послуги організаціям, що залежать від надійних і захищених систем, а отже, злом такого масштабу може мати хвильові наслідки далеко за межами однієї організації. Коли постачальник, що керує інфраструктурою для кількох клієнтів, виявляється скомпрометованим, кожна установа, що покладається на цього постачальника, стає потенційною точкою вразливості.

Що відомо про злом

Деталі залишаються обмеженими, поки тривають розслідування, однак основне занепокоєння очевидне: зловмисник отримав несанкціонований доступ до систем, якими керує компанія, глибоко вбудована в IT-екосистему Італії. Імовірний зв'язок із китайськими кіберопераціями вписує цей інцидент у ширшу закономірність державно спонсорованих вторгнень, спрямованих на критичну інфраструктуру в Європі та Північній Америці.

Це не поодинокий випадок. Спецслужби Сполучених Штатів, Великої Британії та Європейського Союзу неодноразово застерігали, що суб'єкти, пов'язані з національними державами, — зокрема пов'язані з Китаєм — систематично зондують і проникають у провайдерів інфраструктури, телекомунікаційні компанії та IT-постачальників урядового сектору. Злом такого постачальника, як Sistemi Informativi, може надати зловмисникам постійний доступ до численних цільових структур нижчого рівня без необхідності безпосередньо зламувати кожну з них.

Використання довірених сторонніх IT-провайдерів як вектора проникнення — так звана атака на ланцюг постачання — стало одним із найефективніших тактичних прийомів для досвідчених зловмисників. Коли зловмисник компрометує менеджера інфраструктури, він успадковує довірчі відносини, які цей менеджер має зі своїми клієнтами.

Чим злом критичної інфраструктури відрізняється від інших

Більшість витоків даних пов'язана з викраденням облікових даних, витоком клієнтських записів або атаками програм-вимагачів. Державно спонсоровані вторгнення в компанії з управління інфраструктурою, як правило, переслідують інші цілі: збір розвідувальних даних, отримання постійного доступу та можливість порушити роботу систем у стратегічно зручний момент.

Ця відмінність надзвичайно важлива для того, як організації та окремі особи мають оцінювати ризики. Злом у роздрібній мережі може розкрити номер вашої кредитної картки. Злом компанії, що керує IT-інфраструктурою урядових та інституційних структур, може вплинути на державні послуги, конфіденційні урядові комунікації або операційну безперервність критично важливих систем.

Для Італії зокрема цей інцидент відбувається в момент, коли європейські уряди дедалі уважніше перевіряють практики безпеки постачальників, вбудованих у національну інфраструктуру. Директива ЄС NIS2, що набула чинності в 2023 році, покликана запровадити суворіші вимоги до кібербезпеки саме для цієї категорії компаній. Злом Sistemi Informativi слугує реальним тест-кейсом щодо дотримання цих стандартів.

Що це означає для вас

Для більшості людей злом IT-інфраструктурної дочірньої компанії в Італії може здатися далекою проблемою. Проте тут є практичні уроки, що безпосередньо стосуються того, як окремі особи та організації захищають свої дані та комунікації.

По-перше, проблема ланцюга постачання є універсальною. Щоразу, коли ви довіряєте стороннньому постачальнику послуг свої дані або системи, ви також довіряєте практикам безпеки цього постачальника. Незалежно від того, чи ви малий бізнес, що використовує хмарну бухгалтерську платформу, чи державна установа з аутсорсинговим IT-менеджером, — найслабша ланка цього ланцюга визначає вашу реальну вразливість.

По-друге, важлива безпека на рівні мережі. Організації, що мають доступ до чутливих систем — особливо через віддалені підключення — потребують зашифрованих, автентифікованих каналів. VPN і архітектури нульової довіри існують саме для того, щоб обмежити радіус ураження у випадку, коли облікові дані викрадено або постачальника скомпрометовано. Якщо віддалений доступ вашої організації спирається виключно на комбінації імені користувача та пароля, злом довіреного постачальника може виявитися всім, що потрібно зловмиснику.

По-третє, оцінювання ризиків постачальників не є опціональним. Підприємства та установи повинні регулярно перевіряти стан безпеки кожної третьої сторони, що має доступ до їхніх систем. Це включає перевірку процедур реагування на інциденти, запити щодо практик тестування на проникнення та забезпечення наявності договірних зобов'язань щодо сповіщення про злом.

Практичні висновки

Перевірте свої відносини з постачальниками. Визначте кожного стороннього провайдера з доступом до ваших систем або даних і оцініть, чи відповідають їхні стандарти безпеки вашій власній толерантності до ризику.
Забезпечте зашифровані комунікації. Весь віддалений доступ до чутливих систем повинен здійснюватися через автентифіковані зашифровані з'єднання. Використання незашифрованих або погано захищених каналів залишає вас вразливими у випадку викрадення облікових даних постачальника.
Впровадьте багатофакторну автентифікацію скрізь. Викрадені облікові дані значно менш корисні для зловмисників, коли потрібен другий фактор. Це стосується ваших власних систем і повинно бути вимогою, що ви висуваєте до постачальників.
Дотримуйтеся NIS2 та аналогічних фреймворків. Навіть якщо ваша організація юридично не зобов'язана відповідати NIS2 або еквівалентним стандартам, розгляд їх як базового орієнтиру є практичним способом оцінити стан вашої безпеки.
Виходьте з припущення про злом і плануйте відповідно. Розуміння того, що навіть добре забезпечені ресурсами провайдери IT-інфраструктури можуть бути скомпрометовані, означає, що організації повинні планувати сценарій, за якого довірений постачальник було обернуто проти них. Сегментуйте доступ, ведіть журнали активності та майте готовий план реагування на інциденти.

Злом Sistemi Informativi нагадує, що організації, які керують «трубопроводами» нашої цифрової інфраструктури, є цілями з високою цінністю. Захистити себе означає поширити своє мислення у сфері безпеки за межі власного периметра — на всіх, кому ви довіряєте доступ до своїх систем.

// FAQ

Що таке Sistemi Informativi і чому злом має значення?

Sistemi Informativi — це дочірня компанія IBM Italy, що керує IT-інфраструктурою для державних і приватних установ. Оскільки вона обслуговує кількох клієнтів, злом створює потенційні точки вразливості для кожної організації, що покладається на її послуги.

Хто підозрюється у проведенні кібератаки?

Дослідники у сфері безпеки та офіційні особи вказали на можливий зв'язок із китайськими кіберопераціями за підтримки держави. Це вписує інцидент у ширшу закономірність державно спонсорованих вторгнень, спрямованих на критичну інфраструктуру в Європі та Північній Америці.

Що таке атака на ланцюг постачання і як вона застосовується в цьому випадку?

Атака на ланцюг постачання передбачає компрометацію довіреного стороннього постачальника для отримання доступу до його клієнтів без безпосереднього злому цих клієнтів. У цьому випадку зловмисники, що скомпрометували Sistemi Informativi, могли успадкувати її довірчі відносини з організаціями нижчого рівня.

Чим державно спонсоровані вторгнення в інфраструктуру відрізняються від типових витоків даних?

На відміну від типових зломів, що спрямовані на облікові дані або клієнтські записи, державно спонсоровані вторгнення в інфраструктурні компанії, як правило, зосереджені на зборі розвідувальних даних, отриманні постійного доступу та можливості порушити роботу систем у стратегічно зручний момент.

Чи попереджали спецслужби про такий тип загроз раніше?

Так, спецслужби Сполучених Штатів, Великої Британії та Європейського Союзу неодноразово застерігали, що суб'єкти, пов'язані з національними державами та Китаєм зокрема, систематично атакують провайдерів інфраструктури, телекомунікаційні компанії та IT-постачальників урядового сектору.