İngiltere’nin önde gelen perakende şirketlerinden Marks & Spencer (M&S), nisan ayında uğradığı fidye yazılımı saldırısının ardından siber güvenlik konusunda dikkat çeken bir çağrıda bulundu. Şirketin başkanı Archie Norman, İngiltere Parlamentosu’na yaptığı açıklamada, büyük şirketlere yönelik gerçekleşen birçok siber saldırının kamuoyuna açıklanmadığını söyledi. Norman, bu tür olayların yasal bildirim zorunluluğuna tabi tutulması gerektiğini vurguladı.
M&S’in maruz kaldığı saldırı sonucunda şirket yaklaşık yedi hafta boyunca çevrim içi satış yapamadı. Saldırıyı “travmatik ve beden dışı bir deneyim” olarak tanımlayan Norman, olayın ardından İngiltere Ulusal Siber Güvenlik Merkezi’ne (NCSC) hızlıca bilgi verildiğini belirtti. Kurumun diğer işletmelere destek sunduğunu da sözlerine ekledi.
Norman, son dört ay içinde iki büyük İngiliz şirketinin daha siber saldırıya uğradığını ancak bu saldırıların kamuoyuna açıklanmadığını iddia etti. Bu durumun ciddi bir güvenlik açığı yarattığını ifade eden Norman, özellikle büyük ölçekli saldırıların yetkili kurumlara bildirilmesinin zorunlu olması gerektiğini dile getirdi.
Söz konusu saldırının, Dragon Force isimli fidye yazılımı grubu tarafından düzenlendiği ve Scattered Spider adlı siber korsan grubuyla bağlantılı olabileceği açıklandı. Norman, saldırganlarla doğrudan bir iletişim kurulmadığını, sistemlere girişin üçüncü taraf bir taşeronun kimlik bilgilerinin taklit edilmesiyle gerçekleştiğini belirtti.
Bazı medya kuruluşlarının “arka kapı bırakıldığı” yönündeki iddialarına ise Norman itiraz etti. Son bir yılda yüz milyonlarca sterlinlik siber güvenlik yatırımı yaptıklarını, güvenlik ekibini 80 kişiye çıkardıklarını aktaran Norman, bu büyüklükteki bir yapının her türlü tehdit aktörüne karşı tamamen korunmasının oldukça zor olduğuna dikkat çekti.
Norman ayrıca olayın ardından FBI, İngiltere Ulusal Suç Ajansı ve Londra Emniyeti ile iletişime geçtiklerini belirtti. M&S yetkilileri, kamuoyunun güvenliği açısından şirketlerin bu tür saldırılara ilişkin bildirimlerinin şeffaf ve zorunlu hale gelmesi gerektiği görüşünü savunuyor.
