Atak ransomware ze stycznia 2023 r. na Royal Mail jeszcze bardziej ujawnił opłakany stan infrastruktury firmy, a wszystko to podczas walki o przetrwanie na niezwykle konkurencyjnym rynku.
Od czasu utraty 350-letniego monopolu w 2006 rokuniegdyś władczy kurier został nękany konfliktami, z raportowanymi stratami w wysokości 1 miliona funtów dziennie i niespokojną siłą roboczą inscenizującą strajki w długotrwałym okresie, gorzki impas z zarządem.
Atak nie mógł nastąpić w gorszym momencie dla Royal Mail, jednak firma jest architektem własnego nieszczęścia; po wahających się środkach cięcia kosztów, które mogły spowodować zmniejszenie budżetu na bezpieczeństwo cybernetyczne, firma mogła być szeroko otwarta na taką katastrofę.
Hakerzy z osławiona, powiązana z Rosją grupa LockBit udało się ominąć zabezpieczenia Royal Mail i wyłączyć wewnętrzne systemy do tego stopnia, że firma nie była w stanie realizować żadnych międzynarodowych dostaw paczek i listów.
W tym samym czasie LockBit wykradał transze danych z serwerów Royal Mail, które groził upublicznieniem, jeśli firma nie zapłaci oszałamiający okup w wysokości 66 milionów funtów.
To był koszmar dla kierownictwa, pracowników i klientów firmy, ale być może udałoby się temu zapobiec, gdyby firma podjęła poważne działania zapobiegawcze i zapobiegawcze, aby taki scenariusz się nie spełnił.
W czasie prywatyzacji Royal Mail w 2013 rkrytycy ostrzegali przed niebezpieczeństwem zrzeczenia się przez państwo aktywów o tak żywotnym znaczeniu narodowym i pozostawienia ich na łasce żądnych zysku zarządów i inwestorów.
Biorąc pod uwagę kluczową rolę Royal Mail w codziennym życiu milionów obywateli i tysięcy firm. W nowym, wspaniałym świecie ery internetu stawka była znacznie większa niż karetka z gotówką w minionej epoce Wielki napad na pociąg.
W następnej dekadzie zagrożenie dla firm ze strony cyberprzestępców wzrosło wykładniczo wraz z poziomem wyrafinowania i narzędziami hakerskimi, które mogli zastosować nikczemni aktorzy.
Dewastacja infrastruktury krytycznej w poprzednich głośnych atakach na inne firmy powinna była skłonić kierownictwo Royal Mail do wydania jeszcze większych pieniędzy na wzmocnienie bezpieczeństwa. Zamiast tego zakłada się, że stało się odwrotnie, ponieważ firma szukała krótkoterminowych sposobów na zaoszczędzenie pieniędzy.
Teraz, w następstwie ataku LockBit, dla osób stojących u steru firmy będzie aż nazbyt oczywiste, że takie oszczędne podejście było fałszywą oszczędnością, ponieważ będą musieli stawić czoła konsekwencjom włamania w swoim bilansie.
W najbliższym czasie stoją przed perspektywą zapłacenia znacznej sumy, aby ostatecznie pozbyć się niechcianej obecności LockBit i odejść od romansu. Jednocześnie niszczycielski wpływ włamania na codzienną działalność kurierską Royal Mail przez okres sześciu tygodni również mocno uderzy w kieszeń firmy.
Dodając zniewagę do obrażeń, firma stoi również w obliczu możliwości nałożenia ogromnych grzywien od Biuro Rzecznika Informacji (ICO) dzięki naruszeniom danych spowodowanym uwolnieniem skradzionego materiału przez LockBit.
ICO może nakładać na firmy kary pieniężne w wysokości do 4% rocznego obrotu jako karę za takie naruszenia, które, jeśli zostaną zastosowane w przypadku Royal Mail, byłyby kolejnym uderzeniem młota w i tak już niebezpieczną sytuację finansową.
Royal Mail potępiła początkowe żądanie okupu jako „absurdalne”, a jej negocjatorzy zajęli podobnie lekceważące stanowisko w komunikacji ze swoimi odpowiednikami w LockBit.
Jedyną pilną prośbą, jaką Royal Mail skierowała do hakerów, było odszyfrowanie plików związanych ze sprzętem medycznym, którego transport miał za zadanie, aby atak nie skończył się kosztem życia, gdyby towary nie mogły zostać dostarczone.
Zaangażowanie Royal Mail w tak krytyczne obszary, jak medycyna i zdrowie, podkreśla jej znaczenie narodowe, ale jednocześnie przypomina, że firma ma ścisły obowiązek właściwej ochrony swojej infrastruktury, biorąc pod uwagę jej kluczową rolę w przesyłkach zagrażających życiu.
Odmówiwszy spełnienia żądań LockBit, Royal Mail zdołała wznowić międzynarodowe operacje bez pomocy hakerów, ale ich nieustępliwość doprowadziła do tego, że LockBit wywiązał się z obietnicy uwolnienia danych skradzionych podczas ataku.
23 lutego opublikowano 44 GB danychw tym poufne zapisy i informacje o pracownikach Royal Mail, narażając firmę na potencjalne roszczenia odszkodowawcze oprócz potencjalnych grzywien ICO.
LockBit wciąż żąda ogromnego okupu w wysokości 33 milionów funtów pomimo ujawnienia danych, co sugeruje, że albo posiada bardziej wrażliwe dane, albo że jego narzędzia deszyfrujące pozostają niezbędne, aby Royal Mail mogła w pełni powrócić do normalnego działania.
Kłopoty Royal Mail powinny stanowić przestrogę dla wszystkich innych firm, które rozważają ograniczenie wydatków na cyberbezpieczeństwo. Bezpieczeństwo danych należy zawsze stawiać przed zyskiem, przede wszystkim w celu zapewnienia bezpieczeństwa pracowników i klientów, ale także w celu uniknięcia paraliżujących kosztów związanych z atakiem takim jak LockBit.
Cyberbezpieczeństwo to obszar, w którym po prostu nie można iść na skróty; ponieważ hakerzy wciąż poszerzają swoje umiejętności i zasięg, firmy muszą w odpowiedzi udoskonalić własną grę w zakresie bezpieczeństwa danych.
Zapobieganie jest zawsze lepsze niż leczenie, o czym Royal Mail przekonała się teraz na własnej skórze.
Simon Ridding jest starszym współpracownikiem w Keller Postman UK, koncentrując się przede wszystkim na prywatności i konkurencji. Pracował nad wieloma pozwami zbiorowymi dotyczącymi głośnych naruszeń danych.