
2019年库达库拉姆入侵是通过承包商进行的。七年后,入口可能仍然是同一个。
据 Medianama 的调查,与 Reliance 和印度库达库拉姆核电站相关的文件似乎出现在了暗网市场上。两家实体均未公开确认遭受过攻击;数据的规模、来源和新鲜度仍有待确定。
库达库拉姆是印度最大的核电站,采用俄罗斯 VVER-1000 反应堆建造,此前曾遭受过 2019 年确认的 Dtrack 恶意软件攻击,该攻击被印度和第三方分析师归咎于 Lazarus 组织。而 Reliance 则是印度最大的私营企业集团,其电信和零售业务拥有大量客户数据集。两者均在 DPDP 法(2023 年《数字个人数据保护法》)的执行体系下运营,该体系仍在逐步完善。
Medianama(2026 年 7 月 16 日)报道称,带有 Reliance 和库达库拉姆标记的文件样本出现在了暗网论坛上。该媒体描述的是文档和元数据,而非明确的记录数量;截至发稿时,尚未发表任何关于数据新鲜度的加密证明。印度 CERT-In 在该文章发表时尚未针对任何数据集发布公开通告。
有两个模式值得关注。首先,承包商和供应商文件越来越多地成为入侵的切入点——2019 年库达库拉姆的入侵是通过行政工作站实现的,而非反应堆控制网络,而今年泄露的材料可能也遵循了相同的路径。其次,“泄露”并不等同于“运营受损”:空气隔离的控制系统与企业文档存储之间的差距是大多数此类故事的实际所在,而这一差距通常会在标题中被忽略。
最可能的情况:确认承包商方面的数据外泄,对电厂运营无影响,DPDP 委员会开展 Reliance 方面的调查。升级:交叉引用将 Reliance 客户数据与库达库拉姆附近人员联系起来,开启针对性监视的风险。最坏的情况:归因于与国家相关的行为者,可能会在电厂安全问题上引发印度-俄罗斯之间的外交层面的问题。
对于任何向印度关键基础设施销售的企业来说,重点正从“大型供应商知道自己是目标”转向“承包商是入口”。供应链安全条款不再只是文件。而 DPDP 法的首次大规模执行测试可能不会来自消费应用,而是来自带有关键基础设施痕迹的企业文档泄露。
本文由人工智能撰写,并经人工编辑审核。
La sécurité des chaînes d'approvisionnement est cruciale, mais comment concilier sécurité et efficacité dans les infrastructures critiques ?
La sécurité des chaînes d'approvisionnement est cruciale, mais comment concilier sécurité et efficacité dans les infrastructures critiques ?
Regular audits and risk assessments could help strike that balance between security and efficiency.
On s'inquiète pour nos infrastructures vitales. Comment les protéger vraiment ?
La sécurité des sous-traitants, c'est un vrai casse-tête. Comment les rendre aussi vigilants que les entreprises principales ?
Les failles en sous-traitance, c'est toujours le point faible. Des audits réguliers et un contrôle strict des fournisseurs seraient indispensables.
La sécurité des chaînes d'approvisionnement est cruciale. Mais comment protéger les infrastructures sensibles sans nuire à leur efficacité ?
Comment assurer que les sous-traitants sont aussi vigilants que les grandes entreprises ?