Görünüşe göre, Ferrari’deki ekip, güvenliğinizin en yüksek önceliğe sahip olmasını sağlamanın en son yollarını takip etmemiş olabilir. Pazartesi günü web sitelerine yüklenen bir bildiriyle, Ferrari’nin “yakın zamanda bir tehdit aktörü tarafından belirli müşteri iletişim bilgileriyle ilgili bir fidye talebiyle temasa geçtiği” duyuruldu.
Ferrari daha sonra “fidye için tutulmayacağını” ve en iyi hareket tarzının müşterilerini potansiyel veri ifşası hakkında bilgilendirmek olduğunu söyleyerek devam etti.
Guru ekibi, olayla ilgili bakış açılarını anlamak ve gelecekte bu tür olaylardan kaçınmak isteyen şirketler için bazı değerli bilgiler edinmek üzere bazı sektör uzmanlarına ulaştı:
Christopher Handscomb, Çözüm Mühendisi, EMEA, Centripetal:
“Günümüzün dijital çağında, müşteri verilerinin ürkütücü bir kolaylıkla ihlal edilmesi ve çalınması çok yaygın hale geliyor. Bu, hem lüks mal satıcıları hem de müşterileri için ciddi endişeler doğuruyor.
Şirketin bakış açısına göre, bir veri ihlali, ciddi itibar hasarına ve hatta yasal işlemlere neden olabilir; hassas bilgilerini tekrar paylaşma konusunda isteksiz olabilecek tüketicilerin güvenini kaybederek satışları etkilemesinden bahsetmiyorum bile.
Öte yandan tüketiciler, servetleri, statüleri, istihdamları, yaşam düzenlemeleri ve daha fazlası dahil olmak üzere kişisel bilgilerini bilinmeyen bir tarafla paylaşarak potansiyel olarak kimlik hırsızlığına, mali dolandırıcılığa ve hatta fiziksel zarara yol açabilir.
İyi haber şu ki, hızla artan sayıda siber güvenlik uzmanı kendini bu kötü niyetli aktörlere karşı savunmaya adamıştır. Ancak şirketler, temel altyapıyı güvence altına alma ve müşteri verilerini koruma yaklaşımlarında proaktif olmalıdır.
Kuruluşların çok geç olmadan siber güvenlik konusunda ciddi ve proaktif bir duruş sergilemesinin zamanı geldi.”
SenseOn Teknoloji Direktörü Brad Freeman:
“Arabaları gibi, ferrari kapsamlı araştırma ve geliştirme, yarış, üretim ve perakende operasyonları ile son derece sofistike bir kuruluştur. Ancak bu karmaşıklık, bir saldırganın savunmaları aşması için daha fazla fırsat sağlayabilir. ferrari veri ihlali, yüksek net değere sahip bireylerin karşılaştığı benzersiz riski ortaya çıkarır. Bu, saldırganların değerli müşterilerine karşı hedefli saldırılar hazırlamak için önemli ölçüde zaman harcaması muhtemel olduğundan, güvenliği ihlal edilmiş verilerin genel bir veri ihlalinden önemli ölçüde daha değerli olabileceği anlamına gelir.”
Synopsys Software Integrity Group teknik direktörü ve baş mimarı Michael White:
Bu durumda, saldırıda araçlara herhangi bir doğrudan erişimin olup olmadığı bilinmiyor, ancak bu, gelecek için dikkate değer bir endişeye işaret ediyor. Otomotiv endüstrisi sözde “yazılım tanımlı araçlara” (SDV’ler) doğru ilerliyor, bu da günlük sürüş deneyimlerinin çoğunun bulutta barındırılan kapsamlı altyapı ve uygulamalara dayanacağı anlamına geliyor. Böyle bir SDV ortamındaki bir saldırının sonuçları yalnızca veri sızıntısı olmaz, en kötü durumda bir saldırganın aracın kendisindeki işlevselliği manipüle etmesine bile izin verebilir. Bu, Ferrari gibi otomotiv OEM’lerinin, yazılım tedarik zinciri genelindeki kötü niyetli saldırılardan web portalları ve mobil uygulamalar dahil olmak üzere sözde hibrit altyapıyı korumaya daha fazla odaklanması gerekeceği anlamına geliyor.
Outpost24 CSO’su Martin Jartelius:
“Büyük ölçüde beklendiği gibi, bir kuruluşun bir ihlal durumunda bilgileri susturmak için ödeme yapmaya zorlandığı ve potansiyel olarak kuruluşlara karşı bir şantaj unsuru olarak GDPR para cezaları korkusundan yararlanan bu olayları görüyoruz. Şimdiye kadar çok az bilgi mevcut olduğundan, ne olduğunu belirlemek zor, ancak bu ciddi veya kayda değer bir olay gibi görünmüyor, olayın kendisinden çok hedeflenen kuruluşun markası nedeniyle olması gerekenden daha fazla dikkat çekiyor.”
KnowBe4 güvenlik farkındalığı savunucusu Javvad Malik:
“Fidye yazılımı, boyutu ve sektörü ne olursa olsun tüm kuruluşlara saldıran bir siber salgındır. Bu nedenle, doğru siber güvenlik kontrollerine sahip olduklarından emin olmak söz konusu olduğunda tüm kuruluşların pedala basması önemlidir.
Fidye yazılımı söz konusu olduğunda çoğu saldırı, kimlik avı yoluyla, zayıf kimlik bilgilerinden yararlanarak veya yama uygulanmamış güvenlik açıklarından yararlanarak başarılı olur. Dolayısıyla, asgari düzeyde kuruluşlar bu saldırı yollarına odaklanmalıdır.”