Marks & Spencer, un caso esemplare di attacco cyber

Nelle ultime settimane ho seguito la tragedia che, a partire dallo scorso 25 aprile, ha messo in ginocchio Marks & Spencer.

A oltre due settimane dall’attacco informatico subito, la grande catena britannica di vendite al dettaglio, non è ancora riuscita a ripristinare il sistema e-commerce, che da solo generava circa 3,8 milioni di sterline di ricavi al giorno (alla data in cui scrivo siamo vicini ai 50 milioni di sterline di mancato fatturato).

A questo si aggiungono altri problemi connessi all’impossibilità di approvvigionarsi di alcuni prodotti alimentari e al blocco delle ricerche di personale.

In tutto ciò il titolo ha fatto un meno 7 per cento in Borsa.

Non mancano ulteriori effetti collaterali sulla filiera. Il fornitore della parte alimentare Greencore ha dovuto gestire gli ordini con carta e penna e aumentare le consegne. Secondo fonti interne le consegne erano sovradimensionate e quintali di cibo sono stati buttato nella spazzatura.

Il brand della cosmesi Nails Inc. ha manifestato preoccupazione per il lancio imminente di un nuovo prodotto. Il partner logistico per la spesa online, Ocado, ha ammesso che ci sono stati problemi significativi sulle consegne.

In tutto ciò, dopo un primo messaggio del 2 maggio da parte dell’amministratore delegato, M&S non ha più rilasciato aggiornamenti, né ha fornito una data per il ritorno alla normalità.

Aggiungiamo altre due notizie.

La prima. L’attacco è stato attribuito al gruppo DragonForce, operatore in modalità “crime as a service” che offre i suoi servizi a una pletora di affiliati (immaginatevi un franchising del crime cyber).

La seconda. Il britannico National Cyber Security Centre (NCSC) ha segnalato che gli attacchi sono stati effettuati utilizzando tecniche di social engineering (finte email o telefonate) con le quali i criminali si spacciano per colleghi o operatori IT per rubare credenziali.

Di conseguenza il NCSC ha emesso un avviso alle organizzazioni, chiedendo di rivedere le modalità con cui i loro help desk autorizzano i reset delle password, soprattutto per i dipendenti con ruoli sensibili.

Tutte queste premesse dovrebbero spingere, chiunque abbia un minimo di buonsenso, a trarre alcune conclusioni, purtroppo terribilmente banali.

La prima. Le perdite determinate da un attacco cyber si misurano ormai di decine o centinaia di milioni di euro o sterline, scegliete voi la valuta.

La seconda. L’impatto di un’aggressione informatica non impatta mai un singolo soggetto ma, a seconda della dimensione della vittima, una pluralità di operatori, con danni difficilmente quantificabili.

La terza. Non essere in grado di strutturare una comunicazione corretta produce un danno di immagine e le perdite si vedono sui mercati azionari.

La quarta. L’anello debole della catena rimane sempre l’uomo, almeno secondo il National Cyber Security Centre britannico.

Da questo ricominciamo.