Marks & Spencer Başkanı Archie Norman, siber saldırı kurbanlarının cesur olmalarını, mermiyi ısırması ve deneyimleri hakkında açık ve şeffaf olmaları için çağrıda bulunan “vücut dışı deneyime” benzeyen bir şey olarak perakendecinin sistemlerine yönelik fidye yazılımı saldırısını tanımladı.
Ekonomik Güvenlik, Silahlar ve İhracat Kontrolleri İş ve Ticaret Alt Komitesi’nden önce konuşan-Saldırı Mağdur Kooperatif Grubu’ndan temsilcilerin ve eski Ulusal Siber Güvenlik Merkezi (NCSC) Şefi Ciaran Martin de dahil olmak üzere çeşitli siber uzmanların da kanıt verdi, Norman, hükümetin güvenliğe yol açma yolunu düzenleyebileceğine inanmasa da, güvence kurumlarından emin olun.
M&S, deneyimini hükümetin ve diğer işletmelerin yararına kullanmak istediğini söyledi. “Zaten beni gelip görmeye ve kesinlikle yapacağım savaş hikayelerimizi paylaşmaya davet eden bir veya iki tahtam var” dedi.
Norman, “Zorunlu raporlamanın çok ilginç bir fikir olduğunu düşünüyoruz” dedi. “Çok sayıda siber saldırının NCSC’ye asla bildirilmediği açıktır. Aslında, son dört ay içinde bildirilmeyen büyük İngiliz şirketlerine iki büyük siber saldırı olduğuna inanmak için bir nedenimiz var.
“Bunun neler olduğuna dair bilgimizde büyük bir açık olduğunu düşünüyoruz. Maddi bir saldırı yaşarsanız, belirli bir büyüklükte şirketler için bunları NCSC’ye bildirmeniz ve bunun etrafındaki merkezi zeka bedenini geliştirecek olan belirli bir büyüklükte şirketler için düzenleyici bir aşırılık olacağını düşünmüyorum.”
Erken-bir siber saldırının raporları ön sayfalara çarpmadan önce-M&S, Ulusal Siber Güvenlik Merkezi (NCSC) ile devam eden olayla ilgili tüm bilgileri paylaştığını, böylece muhtemelen kooperatif grubu da dahil olmak üzere diğer perakende işletmeleri uyarmasını sağladığını söyledi. Yetkili, M&S’nin ABD FBI’sinden FBI’ın bu konuda “daha kaslı” olduğunu söyleyerek açıklanmayan bir destek seviyesi aldığını açıkladı.
Travmatik olay
Siber saldırının etkisini tartışan Norman, “M & S’deki herkesin onu yaşadığını söylemek doğru. Sıradan dükkan meslektaşlarımız [were] 30 yıldır çalışmadıkları şekilde çalışmak, şovu yolda tutmaya çalışmak için ekstra saatler çalışırlar. Teknoloji meslektaşlarımızı bir kenara bırakın, bir hafta boyunca muhtemelen siber takımın uyuyamadı…. Travmatik olarak tanımlamak abartı değil.
M&S hala işini yeniden inşa ediyor ve bunu bir süredir yapmayı bekliyor ve genel BT mülkünün eski sistemlerin bir hodgepodge olduğunu kabul eden Norman, organizasyonun şimdi saldırı sonrasında devam eden bir teknoloji yenilemesinin çeşitli aşamalarını yükselttiğini söyledi.
İsimsiz bir İngiliz şirketinin son zamanlarda önemli bir fidye ödediği Milletvekili David Davis’in Avam Kamarası’nda yapılan sözler hakkında yorum yapan Norman, M & S’nin Davis’in atıfta bulunduğu organizasyon olup olmadığını ve perakendecinin doğrudan fidye yazılım talebi alıp almadığını doğrudan açıklamayacağını söylemeyi reddetti.
M & S’nin erken saatlerde doğrudan saldırganlarıyla iletişim kurmamaya karar verdiğini ve bunu siber profesyonellere bıraktığını söyledi.
Bir süredir M&S’nin kimin saldırdığını bilmediğini de sözlerine ekledi. Norman, “Size asla imzalı dağınık bir örümcek göndermediler – bu gerçekleşmiyor,” dedi. “Sistemlerimize nüfuz ettikten yaklaşık bir hafta sonra tehdit oyuncusu bile duymadık. Ne olduğunu düşündüklerini söylemek için güvenlik danışmanlarınıza tamamen güveniyorsunuz ve saldırı vektörü tarafından tehdit oyuncusunu tanıdılar.
“Ayrıca medya aracılığıyla iletişim kuruyorlar ve bu durumda seçilen iletişim yolları temel olarak BBC idi. Bazen, birisi BBC’ye işinize saldırdığı iddia edilen insanlardan bir iletişim ile BBC’ye geldiğinde dişlerinizi fırçalamak alışılmadık bir deneyimdi.”
Sosyal Mühendislik
Panelden daha fazla soru soran Norman, M & S’nin “arka kapıyı açık bıraktığını” öne süren medya raporlarını açıkça reddetmek için yoldan çıktı ve saldırının son birkaç haftada kapsamlı bir şekilde belirtildiği gibi, açıklanmayan bir üçüncü taraf aracılığıyla sosyal mühendislik yoluyla gerçekleştiğini söyledi.
Tehdit İstihbarat Uzmanı Kayıtlı Gelecekte Saha Şefi Güvenlik Görevlisi (CISO) Richard Latulip, “M&S saldırısı, bu durumda, potansiyel olarak derin birleşme sesi veya video da dahil olmak üzere, yöneticiler veya güvenilir içeriden gelenler olarak ikna edici bir şekilde poz vermeye atıfta bulunan gelişmiş sosyal mühendislik taktiklerinin kullanımına atıfta bulundu” dedi.
“Sofistike taklit etme saldırılarına karşı korunmak katmanlı bir yaklaşım gerektirir. Çok faktörlü kimlik doğrulama ve kimlik doğrulama araçları gibi teknik savunmalar esas olsa da, insan katmanı en savunmasız kalır. Bu nedenle, çalışanlar, özellikle yüksek riskli rollerde olanlar, sosyal mühendislik taksitleri de dahil olmak üzere yüksek riskli rollerde bulunanlar, urgning discinging de dahil olmak üzere eğitilmelidir”.