Европейская комиссия продолжает расследование кражи данных из своей облачной инфраструктуры, произошедшей на этой неделе.
В четверг Комиссия сообщила об атаке на свою платформу Europa.eu, предоставив мало подробностей, а в пятницу новостной сайт по кибербезопасности Bleeping Computer сообщил, что атака была связана с компрометацией учетной записи или учетных записей в Amazon Web Services (AWS).
Новостной сайт сообщил, что неустановленный злоумышленник, взявший на себя ответственность, заявил, что похитил более 350 ГБ данных Комиссии, и предоставил репортеру несколько скриншотов в качестве доказательства.
Хакер также заявил, что опубликует данные, а не будет пытаться шантажировать Комиссию.
CSO запросил комментарий у представителя Комиссии, но к моменту сдачи материала ответ получен не был.
Со своей стороны, Amazon заявила: «В AWS не было инцидента безопасности, и наши сервисы работали в штатном режиме».
Комиссия сообщила, что веб-сайты Europa остаются доступными, и что ее «быстрое реагирование обеспечило сдерживание инцидента и принятие мер по снижению рисков для защиты сервисов и данных». В заявлении также добавлено, что ее внутренние системы не пострадали от атаки.
Инцидент произошел после того, как 30 января Комиссия сообщила, что ее центральная инфраструктура для управления мобильными устройствами «обнаружила следы кибератаки», которые могли привести к раскрытию имен и номеров мобильных телефонов некоторых сотрудников.
Управление доступом — это сложно
Недостаток информации об атаке затрудняет комментирование со стороны экспертов отрасли безопасности. Во-первых, неизвестно, как произошел сбой мер безопасности: воспользовался ли злоумышленник неустраненной уязвимостью программного или аппаратного обеспечения, нашел ли уязвимость нулевого дня, или же сотрудник попался на фишинговую атаку?
«Информации очень мало», — сказал Келман Мегу, технический директор канадской фирмы по реагированию на инциденты DeepCove Cybersecurity, «но это звучит плохо. Именно поэтому я заставляю всех своих пользователей использовать вход через AWS Identity Center. Никаких ключей, сгенерированных IAM, а административные учетные записи активируются только по стратегии «break glass» (аварийный доступ), требующей аутентификации двух человек».
Под стратегией «break glass» Мегу подразумевал, что корневая/административная учетная запись AWS, контролирующая всю облачную инфраструктуру организации, хранится вне AWS на системе, требующей авторизации как от генерального директора, так и от технического директора, посредством учетных данных и аппаратных токенов. Этот доступ генерирует оповещение, поэтому в случае несанкционированной попытки входа генеральный директор и технический директор будут уведомлены.
«Я лично постоянно боюсь, что случится нечто подобное», — сказал он. «Я создаю несколько отдельных учетных записей AWS с помощью функции AWS Organizations, чтобы учетные записи были полностью изолированы друг от друга. Например, может быть «dev ORG» для тестирования без реальных данных, «uat ORG» для пользовательского тестирования с некоторыми данными и «prod ORG», куда никому не разрешен доступ. Вы также можете разбить структуру так, чтобы разные типы приложений имели свои собственные Организации, что ограничивает горизонтальное перемещение. Azure имеет аналогичную настройку и опции, которые называются Tenants».
«Реальность такова, что управление доступом (IAM) — это сложно, и не только в AWS», — добавил он. «Такая же проблема со всей инфраструктурой. [Microsoft] Entra ID пугает меня не меньше. Как нам гарантировать, что авторизованное лицо имеет законный доступ? Достаточно одной ошибки».
«Мрачное предупреждение»
Илья Колоченко, генеральный директор швейцарской компании ImmuniWeb, заявил, что, хотя атака «на первый взгляд может показаться довольно банальной, есть несколько моментов, на которые стоит обратить внимание».
Ссылаясь на отчет Bleeping Computer, он отметил, что, учитывая планы злоумышленников опубликовать данные, их основное намерение состоит в том, чтобы нанести видимый ущерб и репутационные потери.
«Атакующие — либо хактивисты, либо кибернаемники, нанятые государством», — заключил он. «В свете глобальной геополитической турбулентности такие атаки, вероятно, возрастут в 2026 году. Проблема в том, что в таких случаях злоумышленники редко задумываются о своих затратах и могут настойчиво вкладывать время и усилия в изощренные хакерские кампании против наиболее защищенных организаций. Организации должны срочно подготовиться к лавине политически мотивированных атак с крайне разрушительными последствиями в этом году».
В сочетании с предыдущей историей аналогичных инцидентов, затрагивавших Европейскую комиссию и другие органы ЕС, этот инцидент «является мрачным предупреждением о том, что европейское регулирование кибербезопасности, которое некоторые эксперты считают чрезмерным и неоправданно сложным, не является панацеей от утечек данных», — добавил он. «Хотя утечки данных из облачных хранилищ довольно широко распространены и уже затронули тысячи крупных организаций в 2026 году, этот инцидент может быть использован противниками дальнейшего чрезмерного регулирования европейского ландшафта защиты данных».
Колоченко также отметил, что европейские компании могут использовать этот инцидент для продвижения цифрового суверенитета и «сделанных в ЕС» облачных решений. «Хотя хранение данных в Европе под управлением европейских облачных провайдеров вряд ли существенно изменит ландшафт облачной безопасности, некоторые организации могут соблазниться уходом от американских поставщиков в пользу их европейских конкурентов», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
