מתקפת הסייבר של מרקס אנד ספנסר

מרקס אנד ספנסר עשתה את הדבר הנכון כשדיווחה בעצמה על תקרית אבטחת הסייבר האחרונה שלה למשרד נציב המידע (ICO) ולמרכז הלאומי לאבטחת סייבר (NCSC). שקיפות מסוג זה חיונית, לא רק לניהול סיכוני תדמית, אלא גם להגבלת ההשלכות הרגולטוריות .

על פי תקנת ה-GDPR של בריטניה, אי הגנה על מידע אישי או דיווח מיידי על הפרות עלולים להוביל לקנסות של עד 17.5 מיליון ליש"ט, או 4% מהמחזור העולמי. ואם M&S מטפלת בנתוני לקוחות באיחוד האירופי, הדבר עשוי להיכלל גם במסגרת הנחיית NIS2 של האיחוד האירופי, שיכולה לגרור קנסות של עד 10 מיליון אירו.

אבל בואו נהיה ברורים, חשיפה רגולטורית היא רק חלק אחד בפאזל. המבחן האמיתי הוא כמה מהר ובשקיפות ארגון מגיב, והאם היו לו אמצעי חוסן קיברנטי חזקים לפני הפריצה.

התקפה מורכבת

בסוניקוול, ראינו שבשנת 2024, ארגונים תחת מתקפה קריטית נותרו במצב משבר במשך ממוצע של 68 ימים. אלה לא מתקפות "סמס אנד גראב", הן מתמשכות, הן מתוחכמות, והן מותירות נזק מתמשך. במקרה של M&S, המתקפה כבר גרמה לשבועות של שיבושים והורידה את שווי השוק שלה בכ-700 מיליון ליש"ט, לצד פגיעה מדהימה של 300 מיליון ליש"ט ברווחים.

למרבה הצער, זה לא חריג. זה משקף מגמה רחבה יותר שאנו עוקבים אחריה במשך זמן מה: מתקפות סייבר הופכות למהירות, חכמות ואגרסיביות יותר. גורמי איום מנצלים כעת פגיעויות שנחשפו לאחרונה תוך 48 שעות – הרבה יותר מהר מלוחות הזמנים של ניהול התיקונים של רוב הארגונים . קמעונאות פגיעה במיוחד, עם ערימות טכנולוגיות מורכבות הניתנות להרכבה, תשתית מזדקנת והיגיינת סייבר לא עקבית.

תוכנות הכופר לא הולכות לשום מקום

תקרית זו גם מדגישה אמת קשה: תוכנות כופר לא נעלמות. למעשה, הן משגשגות והופכות לנגישות יותר. לפני מספר שנים, תוקפים היו צריכים לכתוב קוד זדוני משלהם. כיום, הם יכולים לקנות ערכת כופר מוכנה לפריסה תמורת 50 דולר בלבד ברשת האפלה.

תוכנות כופר הן בעלות נזק ייחודי לקמעונאים ולכל ארגון המספק שירותים ישירים ויומיומיים. הן לא רק גונבות נתונים, הן גם משביתות את הפעילות העסקית . זה הופך אותן לכלי רב עוצמה לסחיטה. כאשר כל שעת השבתה שווה לאובדן הכנסות, קורבנות רבים חשים לחץ לשלם רק כדי לחדש את הפעילות.

ובואו לא נשכח את המערכת האקולוגית הרחבה יותר. שיבושים בשרשרת האספקה הפכו לבעיה חוזרת ונשנית בשלוש השנים האחרונות, כתוצאה מעבודה מרחוק, זעזועים מקרו-כלכליים ודיגיטציה מוגברת. מתקפת סייבר בנקודה אחת בשרשרת האספקה יכולה להשפיע על נקודות אחרות, ולהחריף את ההשפעה. ארגונים לא יכולים להרשות לעצמם להתייחס לאבטחת הסייבר כבעיה של מישהו אחר.

זו הסיבה שחברות צריכות להניח שהן יהיו ממוקדות ולבנות הגנות רב-שכבתיות, תוכניות תגובה ברורות לאירועים ותהליכי הודעה חזקים לצרכנים. הכשרה סדירה לעובדים בנושא פישינג, ניהול סיסמאות ושיטות עבודה מומלצות חייבת להיות קו בסיס. רגולטורים וקבוצות תעשייה צריכים גם לדחוף לשקיפות רבה יותר וסטנדרטים ניתנים לאכיפה כדי להגן על צרכנים ובעלי עניין מפני נזק מהותי כאשר דברים משתבשים.

ארגונים מתקשים לעמוד בקצב

אנחנו נמצאים בלב סערה מושלמת: דיגיטציה מהירה, תלות רבה בגורמי צד שלישי, ועלייתן של קבוצות פושעי סייבר מאורגנות היטב ומונעות כלכלית. קמעונאים, בפרט, מהווים מטרה גדולה ולעתים קרובות רכה, סביבות ה-IT שלהם רחבות ידיים, תלויות זו בזו ובקרות ניהול הזהויות חלשות לעתים קרובות. זהו מתכון לאסון.

ראינו זאת בא לידי ביטוי הן בפריצות של M&S והן בסוכנות הסיוע המשפטי, שבהן התוקפים השתמשו בטקטיקות מבוססות זהות ובהנדסה חברתית מתקדמת כדי לחדור ולנוע לרוחב.

במקרים רבים, עסקים רבים עדיין מנסים להגן על תשתית ה-IT של אתמול מפני איומי אתמול. בין אם מדובר ב-Active Directory שתצורתו אינה נכונה, ספקי IT של צד שלישי, MFA מיושמים בצורה גרועה, או כלי זיהוי מיושנים, הפערים המנוצלים כיום מראים בעיה עמוקה הרבה יותר, לא רק פער טכנולוגי, אלא פער מנהיגותי ותרבותי.

מה צריך לקרות עכשיו?

למרבה הצער, המצב כנראה יחמיר לפני שישתפר. תוקפים מחדשים מהר יותר ממה שמגנים יכולים להגיב. משמעות הדבר היא שארגונים צריכים לחשוב מחדש על סדרי העדיפויות שלהם, במהירות. בראש הרשימה צריכים לכלול:

– חיזוק ניהול הזהויות והגישה

– השקעה בזיהוי ותגובה לאיומים בזמן אמת

– צמצום סיכונים של צד שלישי ושרשרת האספקה

– הטמעת אבטחה בתרבות, מחדר הישיבות ועד לחזית

אבטחת סייבר אינה עוד רק בעיית IT, אלא חלק מרכזי בחוסן העסקי. חברות שלא יכולות להתאושש במהירות ממתקפת סייבר עלולות לא להתאושש כלל.

"הגדול" של הסייבר

אז מה לגבי מתקפת הסייבר "הגדולה" שאנשים בתעשייה הזהירו מפניה? זו כבר לא רק תיאוריה. הטקטיקות שאנו רואים בפריצות קמעונאיות ומשפטיות, תוכנות כופר, גניבת אישורים, תזוזה צידית, הן בדיוק מה שעלול לפגוע בתשתיות קריטיות כמו שירותי בריאות, תשתיות או מערכות ממשלתיות.

עדיין לא ראינו אירוע "ברבור שחור" בקנה מידה מלא בבריטניה. אבל אם המסלול הנוכחי יימשך, זו לא שאלה של אם, אלא מתי.

אלא אם כן נפעל מהר יותר וחכם יותר בכל מגזר, אנו מסתכנים להיתפס לא מוכנים על ידי דור חדש של איומי סייבר שכבר כאן.