Vi Phạm Dữ Liệu Tại Công Ty Con IBM Italy Liên Quan Đến Hoạt Động Mạng Của Trung Quốc

Công Ty Con IBM Italy Bị Tấn Công Với Dấu Hiệu Liên Quan Đến Nhà Nước

Một cuộc tấn công mạng nhắm vào Sistemi Informativi, công ty con của IBM Italy chuyên quản lý cơ sở hạ tầng CNTT cho cả các tổ chức công và tư, đã gây ra những lo ngại nghiêm trọng về an ninh của cơ sở hạ tầng trọng yếu quốc gia. Các nhà nghiên cứu bảo mật và giới chức có liên quan đã gắn cờ các mối liên hệ tiềm ẩn với các hoạt động mạng do nhà nước Trung Quốc bảo trợ, khiến sự cố này trở thành một thời điểm quan trọng trong cuộc thảo luận đang diễn ra về các mối đe dọa từ nhà nước-quốc gia đối với các hệ thống CNTT phương Tây.

Sistemi Informativi không phải là cái tên quen thuộc với công chúng, nhưng vai trò của công ty trong cơ sở hạ tầng Italy là rất đáng kể. Công ty cung cấp dịch vụ CNTT cho các tổ chức phụ thuộc vào các hệ thống đáng tin cậy và bảo mật, có nghĩa là một vụ vi phạm như thế này có thể gây ra hiệu ứng dây chuyền vượt xa phạm vi một tổ chức duy nhất. Khi một nhà cung cấp quản lý cơ sở hạ tầng cho nhiều khách hàng bị xâm phạm, mọi tổ chức phụ thuộc vào nhà cung cấp đó đều trở thành điểm lộ diện tiềm năng.

Những Gì Chúng Ta Biết Về Vụ Vi Phạm

Chi tiết vẫn còn hạn chế trong khi điều tra tiếp tục, nhưng mối lo ngại cốt lõi đã rõ ràng: kẻ tấn công đã giành được quyền truy cập trái phép vào các hệ thống do một công ty được nhúng sâu vào hệ sinh thái CNTT của Italy quản lý. Mối liên hệ được cho là với các hoạt động mạng của Trung Quốc đặt sự cố này vào một khuôn mẫu rộng hơn của các vụ xâm nhập do nhà nước bảo trợ nhắm vào cơ sở hạ tầng trọng yếu trên khắp châu Âu và Bắc Mỹ.

Đây không phải là hiện tượng đơn lẻ. Các cơ quan tình báo tại Hoa Kỳ, Vương quốc Anh và Liên minh châu Âu đã nhiều lần cảnh báo rằng các tác nhân nhà nước-quốc gia, đặc biệt là những tác nhân có liên hệ với Trung Quốc, đã và đang thăm dò và xâm nhập một cách có hệ thống vào các nhà cung cấp cơ sở hạ tầng, công ty viễn thông và nhà cung cấp CNTT chính phủ. Việc xâm phạm một nhà cung cấp như Sistemi Informativi có thể cho phép kẻ tấn công duy trì quyền truy cập liên tục vào nhiều mục tiêu hạ nguồn mà không cần phải xâm phạm trực tiếp các mục tiêu đó.

Việc sử dụng các nhà cung cấp CNTT bên thứ ba đáng tin cậy làm vector xâm nhập — thường được gọi là tấn công chuỗi cung ứng — đã trở thành một trong những chiến thuật hiệu quả nhất dành cho các tác nhân đe dọa tinh vi. Khi kẻ tấn công xâm phạm một nhà quản lý cơ sở hạ tầng, họ thừa hưởng các mối quan hệ tin cậy mà nhà quản lý đó có với các khách hàng của mình.

Tại Sao Vi Phạm Cơ Sở Hạ Tầng Trọng Yếu Lại Khác Biệt

Hầu hết các vụ vi phạm dữ liệu liên quan đến thông tin xác thực bị đánh cắp, hồ sơ khách hàng bị rò rỉ hoặc mã độc tống tiền. Các vụ xâm nhập do nhà nước bảo trợ vào các công ty quản lý cơ sở hạ tầng thường có các mục tiêu khác nhau: thu thập thông tin tình báo, duy trì quyền truy cập liên tục và khả năng phá vỡ các hệ thống vào thời điểm có lợi về mặt chiến lược.

Sự phân biệt này cực kỳ quan trọng đối với cách các tổ chức và cá nhân suy nghĩ về rủi ro. Một vụ vi phạm tại một nhà bán lẻ có thể làm lộ số thẻ tín dụng của bạn. Một vụ vi phạm tại một công ty quản lý cơ sở hạ tầng CNTT của chính phủ và tổ chức có thể ảnh hưởng đến các dịch vụ công, thông tin liên lạc nhạy cảm của chính phủ hoặc tính liên tục hoạt động của các hệ thống trọng yếu.

Riêng đối với Italy, sự cố này xảy ra vào thời điểm các chính phủ châu Âu đang ngày càng xem xét kỹ lưỡng hơn các thực hành bảo mật của các nhà cung cấp được nhúng trong cơ sở hạ tầng quốc gia. Chỉ thị NIS2 của Liên minh châu Âu, có hiệu lực vào năm 2023, được thiết kế để áp đặt các yêu cầu an ninh mạng nghiêm ngặt hơn cho chính xác loại công ty này. Vụ vi phạm Sistemi Informativi đóng vai trò là trường hợp thử nghiệm thực tế để xem liệu các tiêu chuẩn đó có đang được đáp ứng hay không.

Điều Này Có Nghĩa Gì Đối Với Bạn

Đối với hầu hết mọi người, một vụ vi phạm tại một công ty con cơ sở hạ tầng CNTT ở Italy có thể cảm thấy xa vời. Nhưng có những bài học thực tế ở đây áp dụng trực tiếp cho cách các cá nhân và tổ chức bảo vệ dữ liệu và thông tin liên lạc của riêng họ.

Thứ nhất, vấn đề chuỗi cung ứng mang tính phổ quát. Bất cứ khi nào bạn tin tưởng một nhà cung cấp dịch vụ bên thứ ba với dữ liệu hoặc hệ thống của mình, bạn cũng đang tin tưởng vào các thực hành bảo mật của nhà cung cấp đó. Dù bạn là một doanh nghiệp nhỏ sử dụng nền tảng kế toán đám mây hay một cơ quan chính phủ sử dụng nhà quản lý CNTT thuê ngoài, mắt xích yếu nhất trong chuỗi đó quyết định mức độ phơi nhiễm thực sự của bạn.

Thứ hai, bảo mật ở cấp độ mạng rất quan trọng. Các tổ chức truy cập các hệ thống nhạy cảm, đặc biệt là qua các kết nối từ xa, cần các đường dẫn được mã hóa và xác thực. VPN và kiến trúc mạng không tin tưởng (zero-trust) tồn tại chính xác để giới hạn phạm vi thiệt hại khi thông tin xác thực bị đánh cắp hoặc một nhà cung cấp bị xâm phạm. Nếu quyền truy cập từ xa của tổ chức bạn chỉ dựa vào sự kết hợp tên người dùng và mật khẩu, một vụ vi phạm tại nhà cung cấp đáng tin cậy có thể là tất cả những gì kẻ tấn công cần.

Thứ ba, đánh giá rủi ro nhà cung cấp không phải là tùy chọn. Các doanh nghiệp và tổ chức nên thường xuyên kiểm tra tư thế bảo mật của mọi bên thứ ba có liên quan đến hệ thống của họ. Điều này bao gồm xem xét các quy trình ứng phó sự cố, hỏi về các thực hành kiểm tra thâm nhập và đảm bảo các nghĩa vụ hợp đồng về thông báo vi phạm được thiết lập.

Những Điểm Cần Hành Động

• Kiểm tra các mối quan hệ nhà cung cấp của bạn. Xác định mọi nhà cung cấp bên thứ ba có quyền truy cập vào hệ thống hoặc dữ liệu của bạn, và đánh giá xem các tiêu chuẩn bảo mật của họ có phù hợp với mức độ chấp nhận rủi ro của chính bạn hay không.
• Thực thi truyền thông được mã hóa. Tất cả quyền truy cập từ xa vào các hệ thống nhạy cảm nên được định tuyến qua các kết nối được mã hóa và xác thực. Việc dựa vào các kênh không được mã hóa hoặc bảo mật kém khiến bạn dễ bị tổn thương nếu thông tin xác thực của nhà cung cấp bị đánh cắp.
• Triển khai xác thực đa yếu tố ở mọi nơi. Thông tin xác thực bị đánh cắp ít hữu ích hơn nhiều đối với kẻ tấn công khi yêu cầu thêm yếu tố thứ hai. Điều này áp dụng cho các hệ thống của chính bạn và nên là yêu cầu bạn áp đặt lên các nhà cung cấp.
• Tuân theo NIS2 và các khung tương tự. Ngay cả khi tổ chức của bạn không bắt buộc phải tuân thủ NIS2 hoặc các tiêu chuẩn tương đương về mặt pháp lý, việc coi chúng là mức cơ sở là một cách thực tế để đánh giá tư thế bảo mật của bạn.
• Giả định vi phạm, lên kế hoạch theo đó. Hiểu rằng ngay cả các nhà cung cấp cơ sở hạ tầng CNTT có nguồn lực tốt cũng có thể bị xâm phạm có nghĩa là các tổ chức nên lên kế hoạch cho tình huống mà một nhà cung cấp đáng tin cậy đã bị quay lại chống lại họ. Phân đoạn quyền truy cập, ghi nhật ký hoạt động và sẵn sàng một kế hoạch ứng phó sự cố.

Vụ vi phạm Sistemi Informativi là lời nhắc nhở rằng các tổ chức quản lý hệ thống ống dẫn của cơ sở hạ tầng kỹ thuật số của chúng ta là những mục tiêu có giá trị cao. Bảo vệ bản thân có nghĩa là mở rộng tư duy bảo mật của bạn vượt ra ngoài phạm vi của chính bạn đến tất cả những ai bạn tin tưởng với quyền truy cập vào hệ thống của mình.