Marks & Spencer Başkanı Archie Norman, siber saldırı kurbanlarının cesur olmalarını, mermiyi ısırması ve deneyimleri hakkında açık ve şeffaf olmaları için çağrıda bulunan “vücut dışı deneyime” benzeyen bir şey olarak perakendecinin sistemlerine yönelik fidye yazılımı saldırısını tanımladı.
Ekonomik güvenlik, silah ve ihracat kontrolleri konusundaki işletme ve ticaret alt komitesinden önce konuşarak-diğer saldırı kurbanı kooperatif grubundan temsilcilerin ve eski Ulusal Siber Güvenlik Merkezi (NCSC) şefi Ciaran Martin de dahil olmak üzere çeşitli siber uzmanların da kanıt verdi-Norman, hükümetin güvenliğe yol açma yolunu düzenleyebileceğine inanmasa da, güvence kurumlarından emin öğrenme konusunda bir rol olduğunu söyledi.
M&S, deneyimini hükümetin ve diğer işletmelerin yararına kullanmak istediğini söyledi. “Zaten beni gelip görmeye ve kesinlikle yapacağım savaş hikayelerimizi paylaşmaya davet eden bir veya iki tahtam var” dedi.
Norman, “Zorunlu raporlamanın çok ilginç bir fikir olduğunu düşünüyoruz” diye ekledi. “Bizim için çok sayıda siber saldırının NCSC’ye asla bildirilmediği açıktır. Aslında, son dört ay içinde bildirilmeyen büyük İngiliz şirketlerine iki büyük siber saldırı olduğuna inanmak için nedenimiz var.
“Bunun neler olduğuna dair bilgimizde büyük bir açık olduğunu düşünüyoruz” dedi. “Maddi bir saldırı yaşıyorsanız… belirli bir büyüklükteki şirketler için, bunları NCSC’ye bildirmeniz gerekiyor ve bunun etrafındaki merkezi zeka bedenini geliştirecek bir zaman sınırı içinde bir zaman sınırında olacağını düşünmüyorum.
Norman, erken-bir siber saldırının raporlarından önce ön sayfalara çarpmadan önce-M&S, NCSC ile devam eden olayla ilgili tüm bilgileri paylaştığını, böylece muhtemelen kooperatif grubu da dahil olmak üzere diğer perakende işletmeleri uyarabildiğini söyledi.
Ayrıca, M&S’nin ABD FBI’dan bu konuda “daha kaslı” olduğunu söyleyerek açıklanmayan bir destek seviyesi aldığını açıkladı.
Travmatik olay
Siber saldırının etkisini tartışan Norman, “M & S’deki herkesin onu yaşadığını söylemek doğru. Sıradan dükkan meslektaşlarımız [were] 30 yıldır çalışmadıkları şekilde çalışmak, şovu yolda tutmaya çalışmak için ekstra saatler çalışırlar. Teknoloji meslektaşlarımızın bir hafta boyunca, muhtemelen, siber ekibin uykusu yoktu… onu travmatik olarak tanımlamak çok fazla değil.
M&S hala işini yeniden inşa ediyor ve bunu bir süredir yapmayı bekliyor ve genel BT mülkünün eski sistemlerin bir hodgepodge olduğunu kabul eden Norman, organizasyonun şimdi saldırı sonrasında devam eden bir teknoloji yenilemesinin çeşitli aşamalarını yükselttiğini söyledi.
İsimsiz bir İngiliz şirketinin son zamanlarda önemli bir fidye ödediği Milletvekili David Davis’in Avam Kamarası’nda yapılan sözler hakkında yorum yapan Norman, M & S’nin Davis’in atıfta bulunduğu organizasyon olup olmadığını ve perakendecinin fidye yazılım talebi alıp almadığını doğrudan açıklamayacağını söylemeyi reddetti.
Daha önce, M&S’nin saldırganlarıyla doğrudan iletişim kurmamaya karar verdiğini ve bunu siber profesyonellere bıraktığını söyledi.
Norman, bir süredir M&S’nin ona kimin saldırdığını bilmediğini de sözlerine ekledi. “Sana asla imzalı dağınık bir örümcek göndermediler – bu gerçekleşmiyor” dedi. “Sistemlerimize nüfuz ettikten yaklaşık bir hafta boyunca tehdit oyuncusu bile duymadık. Ne olduğunu düşündüklerini söylemek için güvenlik danışmanlarınıza tamamen güveniyorsunuz ve saldırı vektörü tarafından tehdit oyuncusunu tanıdılar.
“Ayrıca, medya aracılığıyla iletişim kuruyorlar ve bu durumda seçilen iletişim yolları temelde BBC idi. Bazen, birisi BBC’ye işinize saldırdığı iddia edilen insanlardan bir iletişim ile BBC’ye geldiğinde dişlerinizi fırçalamak alışılmadık bir deneyim oldu.”
Sosyal Mühendislik
Panelden daha fazla soru soran Norman, son birkaç hafta içinde kapsamlı bir şekilde belirtildiği gibi, saldırının açıklanmayan bir üçüncü taraf aracılığıyla sosyal mühendislik yoluyla gerçekleştiğini söyleyerek M & S’nin “arka kapıyı açık bıraktığını” öne süren medya raporlarını açıkça reddetti.
Tehdit İstihbarat Uzmanı Geleceği Field Latulip, “M&S saldırısı sofistike bir kimliğe bürünme olarak kaleme alındı, bu durumda potansiyel olarak DeepFake sesi veya video da dahil olmak üzere ileri düzey sosyal mühendislik taktiklerinin, yöneticiler veya güvenilir içeriden gelenler olarak ikna edici bir şekilde poz vermeye atıfta bulundu” dedi.
“Sofistike kimliğe bürünme saldırılarına karşı korunmak katmanlı bir yaklaşım gerektiriyor” diye ekledi. “Çok faktörlü kimlik doğrulama ve kimlik doğrulama araçları gibi teknik savunmalar gerekli olmakla birlikte, insan katmanı en savunmasız kalır. Bu nedenle devam eden eğitim ve yürütme düzeyinde farkındalık kritiktir. Çalışanlar, özellikle yüksek riskli rollerde olanlar, AI-üretilen derin evreler veya acil mesajlar da dahil olmak üzere sosyal mühendislik taktiklerini tanımak için eğitilmelidir.”