Предполагаемый китайский взлом, в результате которого были раскрыты данные о заработной плате 270 000 военнослужащих британских вооруженных сил, был связан с «потенциальными провалами» государственного подрядчика, заявил министр обороны Великобритании Грант Шаппс в британском парламенте.
Новость об инциденте стала достоянием общественности 7 мая, когда правительственные источники проинформировали журналистов о крупном взломе Министерства обороны, предположительно осуществленном хакерами, связанными с китайскими спецслужбами.
Данные, подвергшиеся риску, включали имена и банковские реквизиты нынешних и отставных военнослужащих Королевского флота, армии и Королевских ВВС, а также резервистов.
Но к тому времени, когда Шаппс сделал свое заявление в парламенте несколько часов спустя, Китай уже не упоминался. Вместо этого Шаппс сосредоточился на сторонней компании, которая управляла системой расчета заработной платы. «Этот объект управлялся подрядчиком, и есть свидетельства возможных сбоев с их стороны, которые облегчили проникновение злоумышленнику», — сказал Шаппс.
Оглавление
Нет подтвержденной связи с национальным государством
Хотя Шаппс и не обвинил подрядчика явно, правительство начало проверку компании и ее деятельности, сказал он. «Хотя мы видим, что в этом замешан злонамеренный субъект, нам еще предстоит установить связь с государством. Хотя мы и не можем этого исключать, у нас пока нет доказательств, позволяющих сделать такой вывод», — сказал он.
Инцидент обнажает множество проблем, начиная с политической проблемы атрибуции. Правительство явно полагает, что за взломом стоял Китай, но не хочет говорить об этом публично, чтобы не ввязываться в дипломатическую полемику.
Это расстроило шумную часть членов парламента, многие из которых считают Китай серьезной угрозой безопасности Великобритании и предпочли бы, чтобы правительство высказалось по этому поводу более открыто.
В марте Китай обвинили в киберкампании, направленной против депутатов парламента. Вскоре после этого двум помощникам парламента были предъявлены обвинения в шпионаже в пользу Китая в соответствии с Законом о государственной тайне. По крайней мере, в политических кругах эта тема теперь четко определена: у китайского государства длинные щупальца, а британское государство и политики находятся в его поле зрения.
Кроме того, Великобритания и несколько ее союзников недавно обвинили Китай в атаке на критически важную инфраструктуру посредством хакерской кампании Volt Typhoon.
Подробности о компрометации третьей стороны отсутствуют
Более необычный аспект последнего инцидента заключается в том, что высокопоставленный министр так быстро связал взлом, затрагивающий правительственные системы, с третьей стороной.
Шаппс подтвердил причастность подрядчика, только тогда, когда теневой министр обороны Лейбористской партии Джон Хили назвал компанию Shared Services Connected Ltd (SSCL), которая управляет контрактом по заработной плате Министерства обороны в дополнение ко многим другим в правительстве.
Что пока неизвестно, так это характер проблемы, которая привела к инциденту, а также объем данных, к которым был осуществлен доступ. Это может стать известным только много месяцев спустя, если предположить, что расследование инцидента когда-либо будет обнародовано.
Более широкий вопрос заключается в том, как любое правительство может контролировать подрядчиков, реализующих множество услуг. «Меня это не удивляет, потому что безопасность цепочки поставок действительно сложна», — сказал CSO Online Мартин Дж. Кремер из компании KnowBe4, занимающейся вопросами безопасности.
«Это во многом связано с растущей сложностью. Если бы вы пришли в крупную организацию в качестве консультанта, первое, что вы бы сделали, — это запросили список всех их поставщиков. Но они посмотрят на тебя и скажут, что не знают».
Проблемы безопасности, присущие цепочкам поставок
«Цепочка поставок» — это длинный список поставщиков, которые работают на других поставщиков, которые работают еще на других поставщиков, которые работают подрядчиками крупных организаций, таких как правительства.
«Компании, входящие в эту цепочку поставок, становятся все меньше и более узкоспециализированными. Вот почему Директива ЕС NIS2 возлагает на организации ответственность за безопасность своих цепочек поставок», — сказал Кремер. К слабым местам, которые было трудно устранить, относилась компрометация электронной почты поставщиков, посредством которой хакеры проникли в доверительные коммуникации между партнерами по цепочке поставок.