Naruszenie bezpieczeństwa danych w Harrods: kolejna lekcja dotycząca ryzyka związanego z łańcuchem dostaw

Luksusowy detalista Harrods potwierdził naruszenie bezpieczeństwa danych (naruszenie bezpieczeństwa danych) dotyczące 430 000 klientów sklepu internetowego, które nastąpiło w wyniku naruszenia bezpieczeństwa (kompromis) jednego z zewnętrznych dostawców (trzecia strona) firmy. Hakerzy wykradli nazwiska, dane kontaktowe i tagi marketingowe powiązane z programem lojalnościowym Harrods oraz kartami kredytowymi wydanymi pod wspólną marką.

Atakujący skontaktowali się bezpośrednio z Harrods, próbując wymusić okup, ale firma odmówiła współpracy i zgłosiła naruszenie brytyjskim organom regulacyjnym. Klientom zalecono zachowanie czujności wobec oszustw typu phishing i socjotechnicznych.

Przyczyna źródłowa: naruszenie bezpieczeństwa przez stronę trzecią

Nie jest to pierwsze wyzwanie cyberbezpieczeństwa dla Harrods — na początku tego roku detalista skutecznie odparł atak ransomware przypisywany Scattered Spider. Tym razem jednak włamanie nastąpiło za pośrednictwem dostawcy, co po raz kolejny pokazuje, że ataki łańcuchów dostaw pozostają jednym z największych zagrożeń dla cyberbezpieczeństwa.

Kolejne naruszenie z udziałem strony trzeciej — niestety, coś, czego musimy zacząć się spodziewać. Niemal każdy ważniejszy raport dotyczący cyberbezpieczeństwa z ostatnich lat wymienia ataki na łańcuch dostaw i naruszenia bezpieczeństwa stron trzecich jako jedne z największych zagrożeń cybernetycznych. Najbardziej niepokoi mnie to, że wiele organizacji nadal traktuje bezpieczeństwo łańcucha dostaw jako zgodność z przepisami, a nie rzeczywisty proces zarządzania ryzykiem. Sprawdzają, czy dostawcy posiadają certyfikaty ISO, raporty SOC2 lub inne poświadczenia — ale niewielu ocenia dojrzałość i skuteczność tych kontroli.

Bądźmy szczerzy:

☑️ Certyfikaty ISO27001 i podobne stały się zbyt rozmyte.

☑️ SOC 2 jest silniejszy, ale pojawienie się zautomatyzowanych platform audytowych obiecujących poświadczenie w ciągu kilku tygodni budzi poważne obawy dotyczące konfliktu interesów.

☑️ Większość klientów rzadko czyta więcej niż „certyfikat/opinię” i ignoruje kluczowe sekcje raportu.

Organizacje muszą zacząć wymagać prawdziwych dowodów zdolności w zakresie cyberbezpieczeństwa, a nie tylko zgodności na papierze. Oznacza to:

✅ Ustalenie jasnych, szczegółowych wymagań wobec dostawców, w tym listy środków kontroli.

✅ Ocenę skuteczności kontroli technicznych, a nie tylko dokumentacji.

✅ Zapewnienie niezależności i jakości audytu.

✅ Ciągłe monitorowanie ryzyka związanego z podmiotami zewnętrznymi — nie raz w roku.

Omówiłem to szczegółowo podczas wydarzenia ISACA Warszawa — nagranie można znaleźć tutaj: link

Jeśli nie zmienimy naszego podejścia, takie naruszenia będą się nadal zdarzać – nie dlatego, że hakerzy są zbyt zaawansowani, ale dlatego, że wciąż popełniamy te same błędy.

Autor: Sebastian Burgemejster