Op Paasmaandag vond een cyberincident plaats bij de Britse winkel Marks & Spencer. Een week later is de stof nog altijd niet neergedaald. Contactloos betalen kon niet en online bestellingen zijn tijdelijk opgeschort in het VK en Ierland. Wat ging er mis tijdens deze hack? Wat ging er juist goed? En, wellicht belangrijker, valt valt er van te leren?
Naast kleding, eten en planten moest M&S klanten de afgelopen week soms een “nee” verkopen. Contactloos betalen werkte zelfs 72 uur na het melden van een cyberincident op maandag niet. Click & collect en het gebruik van giftcards werden tevens neergehaald. Tot overmaat van ramp was M&S genoodzaakt online bestellingen in het VK en Ierland stop te zetten, waar de winkel juist een derde van de eigen omzet binnen de Britse markt boekt.
Kortom: een kostbaar incident dat de reputatie van Marks & Spencer schaadt. Ook profiteren kwaadwillenden van de aanval via phishing-operaties op nietsvermoedende M&S-klanten. Plots lijkt de website weer toegankelijk, maar niets is minder waar. Mensen die per mail een korting leken te krijgen omdat ze een “goede klant” waren van de Britse winkel, bleken achteraf van tientallen of honderden pond of euro’s te zijn beroofd.
Eigenlijk snel, maar impact groot
Een aanval tijdens Pasen is geen verrassing. Cyberaanvallers slaan maar wat graag toe tijdens feestdagen of in het weekend, wanneer organisaties en securityteams doorgaans minder bemand zijn. Eveneens is het mogelijk dat vers gerapporteerde kwetsbaarheden nog niet zijn gepatcht; een relatief eenvoudige scan levert dan voor aanvallers meer kansen dan gewoonlijk op om een IT-systeem te infiltreren.
Het is onduidelijk wanneer de aanval precies begon. Daarnaast is het onbekend of er sprake is van ransomware en of er data van medewerkers en/of klanten is buitgemaakt. Op maandag 21 april maakte M&S bekend dat er een cyberincident had plaatsgevonden. Een dag later volgde een persoonlijk bericht van CEO Stuart Machin waarin hij sprak over “kleine wijzigingen” aan de normale gang van zaken binnen winkels. Sommige klanten meldden dat personeel veel moeite namen om het uitval van de systemen te compenseren.
Toch waren het allesbehalve kleine wijzigingen voor de processen van M&S. Allereerst was personeel dat thuiswerkte niet in staat om in te loggen, konden bestellingen niet uitgecheckt worden in de winkels zelf en waren facturen niet inzichtelijk op de website. Een week na de eerste melding van het incident is er nog steeds geen volledig herstel.
Mogelijk was Marks & Spencer er relatief snel bij om consumenten te informeren. Ook zijn de Britse cybersecuritydiensten NCSC, ICO en NCA bericht. Ten slotte is een onafhankelijk forensisch team geraadpleegd om te achterhalen hoe de cyberaanval kon plaatsvinden. Het zijn allemaal gebruikelijke stappen die wijzen op een volwassen benadering na een dergelijk incident. Ook is de schaal beperkt tot het Verenigd Koninkrijk en Ierland.
Sierlijk neerstorten
Als er een IT-incident plaatsvindt, heeft dat al gauw fysieke gevolgen. Bij een winkel met zowel online als fysieke verkooppunten verschilt dit, vanzelfsprekend. Het is voor klanten beter te begrijpen dat een website onbereikbaar wordt door een storing of cyberaanval, maar de fysieke filialen zullen soms een niet al te begripvolle klant te woord moeten staan. Dat het dan niet mogelijk is om een product te verkopen (of, na betaling, simpelweg op te halen) valt logischerwijs moeilijker te verteren. Het is duidelijk dat de herstelmogelijkheden, ongeacht wat er precies heeft plaatsgevonden, beter in hadden kunnen spelen op een verstoring als deze. Immers zou een winkelpand in theorie gewoon zonder digitale middelen overeind moeten blijven: dan schrijf je orders maar met de hand. Dit heeft zo zijn kosten, maar redt de inkomstenbron. Kort gezegd: processen moeten “sierlijk neerstorten” en niet simpelweg omvallen.
Echter valt M&S in andere opzichten weinig aan te merken. De communicatie is weliswaar wat hoogdravend en minimaliseert men de impact ietwat, maar de reden voor die grotere impact heeft weinig met Marks & Spencer zelf te maken. Phishers die opportunistisch hun slag slaan, zijn enkel te bestrijden als legitiem merk door klanten op dit gevaar te wijzen. Dit doen andere partijen al, zoals hoofd van McAfee EMEA Vonny Gamot.
Netto heeft het incident M&S zo’n 5 procent van de marktwaarde gekost. De verloren inkomsten door de systeemuitval zullen ongetwijfeld intern vrij duidelijk worden bepaald. Belangrijker is dat het de aanval begrijpt en voortaan de effecten kan mitigeren. Voor andere partijen is de M&S-hack een waardevolle les. Specifiek: in een online wereld moet je als brick & mortar ook kunnen vertrouwen op het fysieke alternatief.
Lees ook: Veeam en CrowdStrike bundelen krachten voor betere databescherming