Asahi Group Holdings Ltd., Eylül ayı sonlarında şirketi etkileyen bir fidye yazılımı olayının uzun süreli etkisiyle başa çıkmaya devam ederken, özel bir siber güvenlik birimi oluşturmayı değerlendiriyor. Asahi siber saldırısı temel operasyonları aksattı, finansal raporlamayı geciktirdi ve hem şirketin iç sistemlerindeki hem de Japonya’nın daha geniş kurumsal siber savunmasındaki güvenlik açıklarını ortaya çıkardı.
Asahi’ye yapılan siber saldırı, 29 Eylül’de Japonya Standart Saati ile sabah 7.00 civarında bir sistem kesintisinin tespit edilmesiyle gerçekleşti. Daha sonraki araştırmalar, şirketin ağındaki dosyaların fidye yazılımı tarafından şifrelendiğini doğruladı. Aynı gün saat 11.00 civarında Asahi, hasarı kontrol altına almak amacıyla ağının bağlantısını kesti ve veri merkezini izole etti.
Asahi Group Holdings’e göre saldırgan, Grup tesisinde bulunan ağ ekipmanı aracılığıyla yetkisiz erişim elde etti. Fidye yazılımı birden fazla aktif sunucuya ve ağa bağlı bazı çalışan PC cihazlarına aynı anda dağıtıldı. Etki Japonya’da yönetilen sistemlerle sınırlı olsa da kesinti oldukça kapsamlı oldu.
Sıfır Güven Güvenlik Modeline Doğru Geçiş
İcra Kurulu Başkanı Atsushi Katsuki, olayın bilgi güvenliğinin yönetim düzeyinde nasıl ele alındığına dair temel bir yeniden değerlendirmeye yol açtığını söyledi. Asahi Group Holdings, toparlanmanın bir parçası olarak sanal özel ağların kullanımını bıraktı ve ağ içindeki hiçbir kullanıcıya veya cihaza otomatik olarak güvenilemeyeceğini varsayan daha katı bir “sıfır güven” modelini benimsiyor.
Katsuki, “Bilgi güvenliği en yüksek önceliğin verilmesi gereken bir yönetim meselesidir” dedi. “Yeterince kolay kırılabilen önlemleri aldığımızı düşünüyorduk. Alınabilecek önlemlerin sınırı olmadığını anlamamı sağladı.”
Asahi siber saldırısı, Japonya’daki önemli iş sistemlerini dondurarak şirketi sipariş işleme ve sevkiyatları çevrimdışına kaydırmaya zorladı. Kesinti kritik bir zamanda gerçekleşti ve Japon içecek pazarının sezonluk dayanak noktası olan yıl sonu hediye setlerinin teslimatı gecikti. Sonuç olarak, bira ve diğer alkollü içeceklerin Kasım ayı satışları, bir önceki yılın aynı dönemine kıyasla %20’den fazla düştü.
Operasyonel ve Finansal Sorunlar Devam Ediyor
Operasyonel aksaklıklar kademeli olarak azaldı ancak finansal raporlama üzerindeki etkileri hâlâ önemli. Asahi Group Holdings artık yıllık kazanç açıklamasının 50 günden fazla gecikmesini bekliyor. Kasım ayında kısmi üçüncü çeyrek rakamları açıklanırken Katsuki, tam kazanç duyurusu için yeni bir tarih belirlemeyi reddetti.
Asahi’ye yapılan siber saldırıdan önce şirket, Aralık ayında sona eren yıl için faaliyet kârının 2,95 trilyon Yen satışla %5,2 düşüşle 255 milyar Yen’e (1,6 milyar $) düşeceğini tahmin etmişti. Raporlama yeniden başladıktan sonra Asahi, yatırım planlarının yanı sıra özellikle alkolsüz ve düşük alkollü içeceklere odaklanarak büyüme stratejisinin ana hatlarını çizmeyi planlıyor.
Gerilemeye rağmen Katsuki, ihlalin Asahi’nin uzun vadeli temelini tehdit etmediğini söyledi ve kaybedilen pazar payının geri kazanılabileceğine olan güvenini dile getirdi. Çoğu sistemin Şubat ayına kadar restore edilmesini, raf alanının iyileştirilmesi ve tam rekabetçi konumlandırmanın Mart ayından itibaren geri dönmesini bekliyor.
Verilerin Açığa Çıkması, Kurtarma Çabaları ve Daha Geniş Etkiler
Asahi Group Holdings, restorasyon operasyonlarına paralel olarak harici siber güvenlik uzmanlarıyla işbirliği içinde ayrıntılı bir adli soruşturma yürütüyor. 27 Kasım 2025’te yayınlanan bir açıklamada şirket, şirket tarafından verilen bilgisayarlardan bazı verilerin açığa çıkarıldığını ve sunucularda saklanan kişisel bilgilerin de etkilenmiş olabileceğini açıkladı. Söz konusu tarih itibarıyla sunucu bazlı kişisel verilerin internette yayımlandığına dair herhangi bir teyit bulunmuyor.
Araştırma, ifşa edilmiş veya ifşa edilmiş olabilecek aşağıdaki kişisel bilgi kategorilerini belirledi: Asahi Breweries, Asahi Soft Drinks ve Asahi Group Foods’un müşteri hizmetleri merkezleriyle iletişime geçen yaklaşık 1.525 milyon kişiye ait veriler; tebrik veya taziye telgrafları alan 114.000 dış bağlantıyla ilgili bilgiler; 107.000 çalışan ve emeklinin kişisel bilgileri; çalışan ve emeklilerin 168.000 aile üyesine ilişkin bilgiler. Asahi, hiçbir kredi kartı bilgisinin dahil edilmediğini doğruladı.
26 Kasım’da Asahi, Japonya Kişisel Bilgilerin Korunması Komisyonu’na nihai bir rapor sundu ve etkilenen kişilerin zamanı gelince bilgilendirileceğini belirtti. Kişisel verilerin ifşa edilmesiyle ilgili sorulara yanıt vermek için özel bir soruşturma hattı kuruldu.
Sistem geri yükleme çalışmaları yaklaşık iki ay sürdü ve fidye yazılımlarının kontrol altına alınması, bütünlük kontrolleri ve gelişmiş güvenlik önlemlerini içeriyordu. Asahi, güvenli olduğu doğrulanan sistem ve cihazların, tekrarını önlemek için sürekli izlemeyle aşamalı olarak geri yükleneceğini söyledi. Önleyici tedbirler arasında yeniden tasarlanan ağ kontrolleri, daha sıkı bağlantı kısıtlamaları, gelişmiş tehdit algılama, güncellenen yedekleme stratejileri, revize edilen iş sürekliliği planları ve genişletilmiş çalışan eğitimi ve dış denetimler yer alıyor.