Detaljhandeln under press: Skulle du upptäcka ett intrång om det hände just nu?

Återförsäljare och deras leverantörer har det tufft i Storbritannien just nu. En rad större säkerhetsintrång kopplade till ransomware-aktörer har lämnat hyllorna tomma, skadat företagens rykte och fått aktiekurserna att rasa. Dessa incidenter har också fungerat som en aktuell påminnelse om att angripare fortsätter att agera snabbare än försvarare. Och att alltför många organisationer fortfarande behandlar efterlevnad som en retrospektiv övning.

För att komma tillbaka i framkant måste brittiska återförsäljare och deras konkurrenter i andra sektorer börja tänka på efterlevnad och riskhantering som en dynamisk strävan i realtid.

Detaljhandelsattacker belyser hackares fördelar

Fyra intrång har skakat detaljhandels- och logistiksektorerna de senaste veckorna. Här är vad vi vet hittills och hur det påverkar varje företagsoffer.

Marks & Spencer: Den 21 april avslöjade den ständiga butikskedjan nyheter om en "incident". Detta utvecklades snart till en spiral och de tvingades stänga av kontaktlösa betalningar, Click & Collect och onlinebeställningar. Lagernivåerna låg också lågt i vissa butiker efter... Händelsen drabbade logistiknavM&S säger nu en del kunddata stals. Företaget sägs förlora 40 miljoner pund i försäljning per vecka, medan aktiekursen har sjunkit med 12 % (per den 19 maj).

Rapporter föreslår att sofistikerade hotaktörer kopplade till det lösa kollektivet ”Scattered Spider” krypterade några av företagets VMware ESXi-värdar med DragonForce ransomware-varianten. Det påstås att en komprometterad tredje part (Tata Consulting Services) med inloggningar till sina system kan ha varit den första ingångspunkten. Hotaktörerna kan ha kunnat orsaka mer skada med denna attack eftersom de slog till strax före den långa påskhelgen.

Kooperativ: Samma hotaktörer bakom M&S-razzian är tar ansvar för en ransomware-attack mot Storbritanniens sjunde största detaljhandelsbutik. De säger att företaget drog ur kontakten när de upptäckte ovanlig nätverksaktivitet, vilket hindrade dem från att distribuera ransomware men inte i tid för att stoppa dem från att strö betydande volymer av medlemmars dataLagernivåerna i vissa butiker har också påverkats. Det är oklart vad den ekonomiska effekten på företaget kommer att bli, men ny IT-säkerhetsinfrastruktur, incidenthantering och återställningsprocesser kommer sannolikt att kosta miljontals pund.

Harrods: Det ikoniska varuhuset Knightsbridge har varit tystlåtet om en attack som avslöjades den 1 maj. De påstår sig ha upptäckt och stoppat ett obehörigt åtkomstförsök. ”Vårt erfarna IT-säkerhetsteam vidtog omedelbart proaktiva åtgärder för att hålla systemen säkra, och som ett resultat har vi begränsat internetåtkomsten på våra anläggningar idag”, står det i ett uttalande. Attacken verkar inte ha påverkat deras online- eller fysiska butiker.

Peter Green kyld: Det senaste namnet att läggas till i listan över offer för cyberattacker är en föga känd logistikpartner för Tesco, Sainsbury's, Aldi och andra stormarknader. Ransomware-attacken inträffade veckan som började den 12 maj, men företaget säger att "verksamhetens transportaktiviteter har fortsatt opåverkade". Om leveranserna påverkas kan det bli kostsamt för leverantörerna, med tanke på att företaget erbjuder kylförvaringslogistik inom leveranskedjan.

Hur kan återförsäljare undvika ett liknande öde?

Brittiska återförsäljare är inte ensamma. Den franska modejätten Dior har meddelade asiatiska kunder av ett dataintrång, medan Google hävdar att Scattered Spider-aktörer också är riktar sig mot amerikanska återförsäljareDet gör alla lärdomar viktiga för IT-chefer över hela världen. Så, vad kan vi säga om incidenterna?

Även om vi i de flesta fall fortfarande inte känner till ransomware-aktörernas specifika modus operandi, kan vi säga att bästa praxis för cyberhygien, även om den är viktig, inte är en mirror-kula. Ja, saker som snabb patchning, multifaktorautentisering (MFA) och tillgångshantering är avgörande för att minimera attackytan. Men det kommer alltid att finnas ett sätt för beslutsamma hotaktörer att uppnå sina mål.

Detta gör kontinuerlig AI-driven nätverksövervakning avgörande. Dessa verktyg lär sig hur "normala" trafikmönster ser ut, vilket gör att de mer effektivt kan slå larm när något i nätverket inte ser rätt ut. Det innebär att säkerhetsoperationsteam (SecOps) kan reagera snabbare för att stänga ner hot innan de kan spridas och/eller innan data kan exfiltreras och krypteras.

Automatiserade riskbedömningsverktyg är ett annat värdefullt tillskott som gör det möjligt för företag att kontinuerligt övervaka sin IT-miljö för att upptäcka eventuella opatchade sårbarheter, felkonfigurationer eller andra säkerhetshål som behöver åtgärdas. De tar hänsyn till att sådana miljöer är i ständig förändring – särskilt i molnet – och därför kräver kontinuerlig uppmärksamhet. Detta kommer att göra organisationen mer motståndskraftig och stänga ner möjliga attackvägar. Men återigen, det är något som bara AI och automatisering kan göra effektivt, dygnet runt, året om.

”Cybersäkerhetsskydd är inte en destination, utan snarare en kontinuerlig process. Hotaktörer utvecklas ständigt, och det bör även vår säkerhetsställning göra”, säger BlackFogs VD Darren Williams till ISMS.online. ”Därför är det viktigt att, när man tittar på nya verktyg, fokusera på maskininlärningsbaserat AI-skydd, utöver de mer statiska och signaturbaserade metoder som de flesta verktyg använder.”

En dynamisk strategi för efterlevnad

Mer generellt visar dataintrången hos brittiska återförsäljare återigen att efterlevnaden av bästa praxis och regler för många organisationer ofta kan vara alltför reaktiv. Till exempel är traditionella informationssäkerhetshanteringssystem (ISMS) byggda kring punktbedömningar som inte anpassar sig till nya affärsmodeller, hot och tekniker som moln och sakernas internet, vilket kan utöka attackytan.

”Verkligheten är att säkerhetsteam måste vara effektiva 100 % av tiden, och hotaktörer behöver bara lyckas en gång”, säger Dave McGrail, chef för affärskonsulttjänster på Xalient, till ISMS.online. ”Denna obalans belyser behovet av en mer dynamisk och anpassningsbar strategi för efterlevnad av cybersäkerhetsregler och ISMS-hantering.”

Det här är precis vad ISO 27001:2022 uppmuntrar genom en process av kontinuerlig förbättring av ISMS, dynamisk riskmodellering och adaptiv riskhantering.

”I takt med att hoten förändras, måste även våra försvar göra det. Uppdateringen till ISO 2022 från 27001 stöder denna förändring genom att uppmuntra till mer regelbundna riskgranskningar, integrera aktuell hotinformation och främja medvetenhet i hela organisationen”, säger Neil Lappage, grundare av 59 Degrees North, till ISMS.online.

”Det handlar inte om att göra mer för sakens skull. Det handlar om att göra saker annorlunda, integrera medvetenhet i onboardingen, ompröva vad 'säkert' ser ut i den dagliga verksamheten och ge människor verktygen och självförtroendet att ifrågasätta ovanliga förfrågningar. Tekniken hjälper, men det är människorna som gör den största skillnaden, särskilt när de är informerade, får stöd och tas med i den större bilden. Cybersäkerhet är inte bara ett system; det är en kultur, och det är något vi alla bygger tillsammans.”