İngiltere’de, Marks & Spencer’ı (M&S) yüksek profilli bir perakendeci olarak tanımlamak, Kral III’ü tanınmış bir hükümdar olarak tanımlamaya benzer. Kraliçe Victoria saltanatında kurulan M&S, bir avuç FTSE-100 listelenen perakendecilerden biridir ve yiyecekleri ve kıyafetleri ile eşit olarak bilinmekte benzersizdir.
İngilizlerin yaklaşık yarısı her yıl ve hatta genellikle yiyeceklerinin ve kıyafetlerinin ayrı değerlendirmeleri ile kalitesi hakkında bir fikri olmayanlar bile alışveriş yapıyor. 1.000’den fazla fiziksel mağazaya sahip olarak sürüklenmek yerine, müşterilerin çevrimiçi ödeme yapmayı ve daha sonra mağazalardan ürün toplamalarını sağlayarak çevrimiçi satışlarını desteklemek için kullanır.
Ancak M&S, fidye yazılımı siber saldırısından sonra 22 Nisan’da bunu duraklatmak zorunda kaldı. Mağazalarda çevrimiçi siparişleri ve temassız ödemeleri askıya aldı, bazı müşteri verilerinin dağıtım sorunları nedeniyle yiyecek raflarında çalındığını ve boşlukları yaşadığını bildirdi.
21 Mayıs 2025’te yayınlanan tüm yıl sonuçlarında, bu rakam sigorta ödemeleri ve diğer eylemlerle azaltılabilmesine rağmen, manuel süreçlere geri dönmek de dahil olmak üzere, olay sonucunda 300 milyon sterlinlik bir vuruş beklediğini söyledi.
Rapordan sonraki günler içinde temassız ödemeleri geri yüklerken, sınırlı bir kıyafet aralığı da olsa çevrimiçi siparişleri yeniden başlatması 9 Haziran’a kadar M&S aldı.
“Neyse ki, bu trajedinin kurtarıcı bir yay var” dedi Kez Moda editörü Harriet Walker ertesi gün.
Başarısız olmayı planlamak
Perakendeci, son aylarda iş yazılımı uygulamalarına başarılı bir saldırı deneyimleyen birkaç kişiden biridir. Önleme ideal olmaya devam ederken, M&S üzerindeki etki, bir saldırı geçtiğinde esnekliğin değerini gösterir.
Bir saldırıdan sonra değil, böyle bir dayanıklılığı daha önce düşünmek çok daha iyidir. Danışmanlık BML, önemli veri ihlallerinden sonra dayanıklılığın gözden geçirilmesine yardımcı oldu ve Baş İşletme Görevlisi Jaco Vermeulen, insan hatası ve zayıf güvenlik kontrollerinden kaynaklanan birini hatırlattı.
“’Kesinlikle her şeyi yapmamız gerekiyor’ moduna girdiler, denize gitti ve etkinleştirmek yerine daraltıcı hale geldi çünkü kendilerini her formda ve modada korumak istediler” diyor. “Pragmatik bir denge bulmalısın.”
Vermeulen’in çalışmasının çoğu, özellikle sonuçta ortaya çıkan kuruluşların yeterince entegre olmayan bir dizi sistemle ‘karışık mülk’ sorunları olabilir, çünkü teknoloji risklerinin tespiti değerlendirmeleri gibi birleşme ve devralmalarla bağlantılıdır.
“Herkes parlak bakıyor” diyor, yani bir alanda verimliliği artıran yeni sistemler. “Asla bakmadıkları şey vakıflar.” Bu, sistemleri entegre etmek için örgütsel yetenekleri içerir; kimlik, erişim ve ayrıcalık yönetimi; ve işletmenin tüm bölümleri için çalışmak üzere tasarlanmış merkezi, çoğaltılmış veri yönetimi.
“Önce sıkıcı ama önemli şeylere odaklanın” diyor, bir edinim sürecinin bir parçası olarak sıklıkla ihmal edilen bir şey, yapay zekanın (AI) gelecekte bunu daha da kötüleştirmesi muhtemel bu sorunları çözebileceğine dair büyüyen ve muhtemelen yanlış yönlendirilmiş bir inançla.
Vermeulen, birincil sistemlerin tehlikeye atılması durumunda adım atacak şekilde tasarlanan ikincil iş sürekliliği sistemlerinin değerli olabileceğini, ancak başarılı bir saldırının maliyetine karşı tartılması gerektiğini, “İş sürekliliği doğrudan değer korumasına bağlıdır” diyor.
Bir sağlık hizmeti sağlayıcısıyla, yaklaşık 10 milyon sterlin değerinde uzman bir kanser bakım ekipmanı parçası kullanarak çalıştığını ve hastaların bakımını desteklemede çok önemli olduğunu söyledi. Sağlayıcı, uzman ekipmanın kullanılamamasının yüksek maliyetleri göz önüne alındığında, yılda yüz binlerce pahalı olan ikincil sistemleri ve ağ fazlalığı ödemeye karar verdi.
Ancak, bir depo yönetimi ve dağıtım şirketinin kağıttan dijitale taşınmasına yardımcı olurken, danışmanlık bunu ikincil bir sistem için çok daha fazla ödeme yapmayı tavsiye etti. Bunun yerine, şirket kağıt sistemini bir geri dönüş olarak tuttu ve personelin mobil cihazlarda etiketlerin fotoğraflarını çekmesini sağlayarak bunu artırdı. Yeni dijital sistem geri yüklendiğinde, kısmen barkod, QR kodu ve resimlerin optik karakter tanıması kullanılarak otomatik olarak kağıt üzerinde toplananlarla boşlukları doldurabilirler.
Penetrasyon testi – Güvenlik uzmanlarının zayıflıklar bulması – iş uygulamaları da dahil olmak üzere teknolojinin esnekliğini test etmenin yaygın bir yoludur.
Danışmanlık CGI’da siber güvenlik kıdemli başkan yardımcısı Alex Woodward, “Delik bulamadığımız bir test gördüğümü sanmıyorum” diyor.
Yaygın sorunlar arasında, modası geçmiş güvenlik yaması, aşırı kullanıcı izinleri ve varlıkların zayıf yönetimi de dahil olmak üzere zayıf güvenlik hijyeni yer alır-sonuncusu genellikle çoğunluk seviyesine göre yönetilmeyen standart olmayan donanım ve yazılım uygulamalarının küçük bir kısmını içerir.
Woodward, kuruluşların çekirdek sistemlerle kritik ve üst düzey güvenlik açıklarına odaklandığını söylüyor: “Tipik olarak kategorizasyon sisteminde daha az önemli olarak algılandıkları için tedavi edilmeyen düşük uç güvenlik açıkları, alçaklar ve ortamların bir birikimi var.”
Bu tür zayıflıklar, çok sayıda kamuya açık işlevlerini desteklemek için birçok başvuruda bulundukları için, özellikle savunmasız olarak kronik olarak yetersiz fonlanmış yerel makamlarla yol sağlayabilir.
Bu riskler, daha az insana standart olmayan yazılıma erişim sağlayarak, bunları kullanmaları için serbest bir seçimden daha fazla bir neden gerektirerek azaltılabilir. Bu, genel riski azaltırken, kurumsal kaynak yönetiminden verileri çıkarmak için tarayıcıya özgü bir uzantı kullanması gerekenlere izin verir.
Yeterli cankurtaran teknesi
İyi bir işletme uygulamaları esneklik planı bir noktada başarısızlık varsayar. Woodward, “Bu günlerde felsefenin gerçekten olması gerekiyor, ‘Bir noktaya gireceksin, birisi içeri girecek’” diyor.
E-posta, çevrimiçi toplantılar ve sohbet dahil standart iş uygulamalarının tamamen kaybedilmesi için belirli bir kriz planı, ekip üyeleri için telefon numaraları ve bir olaya doğrudan yanıt verecek olanlar için az sayıda Google işyeri lisansına sahip Microsoft’a bağımlı bir kuruluş gibi “cankurtaran sistemleri” kullanımı dahil olmak üzere basılı talimatlardan oluşabilir.
Woodward, WhatsApp gibi üçüncü taraf hizmetlerine güvenmenin başka bir seçenek olduğunu, ancak kuruluşun kontrolünün dışında olduklarını belirtiyor. Kamu iletişimi esas olmakla birlikte, kuruluş tamamen emin olana kadar “Müşteri Verileri Çalınmadı” gibi kesin ifadeler yapmak yerine olasılıklar hakkında konuşmayı önerir.
Teknoloji Hizmetleri Şirketi Sürüm 1’de Siber Güvenlik Küresel Başkanı Davey McGlade, dahili iletişimin de önemli olduğunu da sözlerine ekledi. Hem yönetim hem de olay yanıtı için ortak sohbet kanallarına sahip olmak iyi çalışabilir, aksi takdirde iletişimin bireyler arasında gerçekleşmesi muhtemeldir.
Bir mühendislik perspektifi almaya değer olduğunu ekliyor – örneğin, ikincil bir sistemin değiştirilmesi gereken üretim sistemi ölçeğinde çalışabileceğini test etmek, testler genellikle sadece küçük ölçekte gerçekleşiyor. Benzer şekilde, kullanıcıların ikincil bir sistem kullanarak rahat olmaları gerekir, çünkü üretimle aynı şekilde çalışırlar ya da onu kullanma konusunda özel olarak eğitildikleri için. Yerleşik organizasyonlar, ister dijital veya kağıt tabanlı eski süreçlere geri dönebilmeleri için bir avantaja sahip olabilirler.
“Dijital bakan bir iş için zorluk, bir uygulama için bütçe elde etmektir” diyor McGlade, yani bu kuruluşların ekstra kapasite veya bekleme hizmetleri yoluyla esneklik oluşturmak için ekstra ödeme yapması gerekebilir. Bir seçenek, kritik olanları devam ettirmek için daha az önemli işlevleri askıya aldıkları zarif bozulma için sistemleri tasarlamaktır.
Olaya kimin yanıt verebileceğini düşünmek mantıklıdır. Veri Güvenliği ve Yönetim Sağlayıcısı Cohesity’de küresel siber esneklik stratejisinin başkan yardımcısı James Blake, Kuzey Amerika’daki sistemlerini deneyen büyük bir hastanenin ana veri deposunu tehlikeye atan ve şifreleyen bir saldırı tarafından vurulduğunu söyledi.
Büyük bir şirket içi teknoloji personeli yoktu, ancak siber güvenlik sigortası düzenledi ve sigorta şirketi temasa geçtiğinde bir müdahale ekibine gönderildi. Ancak, sistemleri birkaç dakika içinde yeniden enfekte edecek ana yedek hizmetinden tekrar tekrar restore ettiler ve hastanenin ekibin bir iyileşme yerine sigorta poliçesini geçersiz kılmak için kanıt aradığına inanmasına neden oldu.
“Üçüncü taraf bir olay müdahalesi kullanıyorsanız, kimin için çalışıyorlar?” Diye soruyor Blake.
Hastane daha sonra kendi olay müdahale ekibi için ödeme yaptı ve bu da kurtarma sistemleri de araştırdı ve iyileştirdi. Bu noktada her şeyden ziyade bazı kritik verileri kapsayan, ne zaman ve ne olduğuna bakarak kök nedeni bulmak için verilen yedeklemeyi kullandı.
Orijinal saldırının, hastanenin Active Directory’ye, kötü amaçlı yazılımları cihazlara uygulamaların yeni sürümleri olan “arazinin dışında yaşamak” saldırısına zorlayacak bir Global Politika Nesnesi (GPO) eklemeyi içerdiğini buldu. Bu, kuruluşun başka bir saldırıya maruz kaldığında kimin getireceğini planlamak ve kendi ağındaki cihazlar arasındaki “Doğu-Batı” yanal iletişimlerinin (internetten ve internetten ‘aksine) daha iyi izlenmesini planlamak da dahil olmak üzere hazırlığını geliştirmesine yol açtı.
Blake, sorunu araştırmak ve çözmek yerine sadece iş sürekliliği ve felaket geri kazanımına güvenmenin çok yaygın olduğunu söylüyor. Bazı durumlarda, bunun nedeni, Baş Bilgi Güvenlik Görevlisi’nin fidye yazılımı saldırısının farkında olmamasıdır, çünkü BT departmanı bunu raporlamaz, bu nedenle bir yanıtı tetiklemez.
“CISO tuvalet zincirini tutuyor çünkü siber bir olay ama iyileşme için tüm sıhhi tesisat sağlanıyor” diyor.
Geri Dönüş Geri Dönüş
Bazı durumlarda, kuruluşlar bir saldırıdan sonra dayanıklılıklarını düşünceli bir şekilde güçlendireceklerdir. Marks & Spencer’ın Mayıs Ticaret Bildirimi’nin siber olay bölümü ile Marks & Spencer’ın yaklaşımını nasıl sunuyor: “Teknoloji dönüşümümüzün iyileştirilmesini hızlandırma fırsatından en iyi şekilde yararlanıyoruz ve yeni ve yenilikçi çalışma yolları buluyoruz.”
Yönetilen güvenlik hizmeti sağlayıcısı Avella’nın ortağı Daryl Flack, fidye yazılımı saldırısından sonra yeniden inşa etmek için büyük bir NHS sağlayıcısıyla çalıştığını ve ekleyerek şunları ekleyerek “Her şeyi sıfırdan yeniden inşa etmek zorunda kaldılar.”
Geçici düzenlemeler yapmasına rağmen, sağlık hizmeti sağlayıcısı Avella ile birçok sistemi bir bulut ortamına taşımak için bir yıl çalıştı ve saldırıya uğrayan şirket içi sistemlerin yerini aldı. Flack, birçok uzmanı ve bazı durumlarda yaşlanma uygulamalarını bulut barındırmasına güvenli bir şekilde hareket ettirmenin zaman ve çaba harcadığını, ancak hareketin sağlayıcının esnekliğini önemli ölçüde artırması gerektiğini söylüyor. Artık farklı uygulamaları ve cihazları ayırıyor.
“Eğer tehlikeye gireceklerse, bu uzlaşmanın sınırı bu cihaz olurdu” diyor. “Mikrojenti – bir enfeksiyonun patlama yarıçapının tek bir konakta durduğu, kendi ortamınıza yayılmadığı anlamına geliyor.”
Çalışmaya yol açan fidye yazılımı saldırısı, saldırganların zayıf bir giriş noktası bulması ve daha sonra kuruluşun sistemlerinde daha fazla ayrıcalık kazanmak için yanal olarak hareket ettiğini-segmentli bulut ilk yaklaşımının çok daha zor hale getirmeyi amaçladığı bir şey. Flack, sağlayıcının güvenlik izleme, yedekleme hizmetleri ve gelecekteki saldırıları planlamasını geliştirdiğini de sözlerine ekledi.
Flack diğer uzmanlarında olduğu gibi, kuruluşların siber saldırganların içeri gireceğini ve buna göre planlayacağını varsayması gerektiğini söylüyor. “Kötü adamları her zaman yenemezsin” diyor. “Kötü bir şey olursa hızlı bir şekilde geri dönebileceğinizden emin olmalısın.”