Η νέα μάστιγα στο retail είναι οι κυβερνοεπιθέσεις
Η Adidas είναι το πιο πρόσφατο μεγάλο brand που μπαίνει σε μια λίστα ηχηρών ονομάτων του διεθνούς λιανεμπορίου τα οποία βρίσκονται στο στόχαστρο κυβερνοεγκλήματος. Η επίθεση μέσω εξωτερικού παρόχου εξυπηρέτησης πελατών οδήγησε στη διαρροή προσωπικών δεδομένων, με την εταιρεία να διαβεβαιώνει ότι δεν έχουν υποκλαπεί ευαίσθητα στοιχεία όπως κωδικοί πρόσβασης ή στοιχεία πληρωμών. Η ζημιά, όμως, έχει ήδη γίνει. Στην εμπιστοσύνη του πελάτη, στη φήμη της επιχείρησης και πιθανόν, όπως συμβαίνει όλο και συχνότερα, και στα οικονομικά της αποτελέσματα.
Η επίθεση στην Adidas δεν είναι μεμονωμένο περιστατικό. Το τελευταίο εξάμηνο, η Marks & Spencer, η Harrods, η Co-op και ακόμη και η Dior έχουν ανακοινώσει παραβιάσεις στα συστήματά τους, με τις συνέπειες να είναι σε κάποιες περιπτώσεις εξαιρετικά δαπανηρές.
Η Marks & Spencer υπολογίζει ότι θα χάσει τουλάχιστον 300 εκατ. λίρες (355 εκατ. ευρώ) από τα λειτουργικά της κέρδη για το οικονομικό έτος 2025/26 λόγω της επίθεσης που δέχθηκε το Πάσχα. Πρόκειται για ένα πλήγμα που ισοδυναμεί με το 30% των ετήσιων λειτουργικών της κερδών. Η επίθεση «πάγωσε» τις online πωλήσεις, άδειασε ράφια και διέγραψε πάνω από 1 δισ. λίρες από τη χρηματιστηριακή της αξία. Η εταιρεία μάλιστα δεν διέψευσε, αλλά ούτε επιβεβαίωσε το ενδεχόμενο να πλήρωσε λύτρα.
«Η επίθεση ήταν εξαιρετικά στοχευμένη και αποτέλεσε ευκαιρία για επίσπευση του τεχνολογικού μας μετασχηματισμού», δήλωσε ο CEO Στιούαρτ Μασίν, προσπαθώντας να μετατρέψει την κρίση.
Ο κοινός παρονομαστής στις περισσότερες περιπτώσεις είναι η αδυναμία των εταιρειών να αποτρέψουν τις επιθέσεις σε συνεργάτες, τρίτους παρόχους ή κρίσιμα backend συστήματα, ένας «αδύναμος κρίκος» που αξιοποιείται με συνέπεια από χάκερς. Είτε πρόκειται για DDoS, είτε για ransomware, το αποτέλεσμα είναι παρόμοιο: χαμένα δεδομένα, χαμένη εμπιστοσύνη, και όχι σπάνια… πληρωμή λύτρων.
Αυτό που πολλές εταιρείες επιλέγουν να κρατήσουν μακριά από τη δημοσιότητα είναι το γεγονός ότι οι επιθέσεις συχνά καταλήγουν σε συμφωνίες πληρωμές σε bitcoin ή Monero, με αντάλλαγμα την αποκατάσταση πρόσβασης ή μη δημοσιοποίηση δεδομένων. Στη συντριπτική πλειονότητα των περιπτώσεων, προτιμάται η «σιωπηλή» διαχείριση, ώστε να προστατευθεί η εικόνα του brand και η εμπιστοσύνη των πελατών.
«Αυτό θα πρέπει να λειτουργήσει ως ένα κάλεσμα αφύπνισης», δήλωσε ο CEO του Εθνικού Κέντρου Κυβερνοασφάλειας (NCSC) στο Ηνωμένο Βασίλειο, Ρίτσαρντ Χορν, αναφερόμενος σε Harrods, Co-op και M&S. Την ίδια ώρα, το NCSC εντείνει τη συνεργασία του με εταιρείες για να αποσαφηνίσει τα μοτίβα και τις μεθόδους των επιθέσεων.
Στην Ελλάδα, τα λόγια του Βασίλη Φουρλή μετά από κυβερνοεπίθεση στον όμιλο Fourlis -με δηλωμένες ζημιές άνω των 20 εκατ. ευρώ- αποτυπώνουν μια εικόνα εφησυχασμού που πλέον ανατρέπεται: «Δυστυχώς, είχαμε υποτιμήσει τον κίνδυνο».
Η Ελλάδα είναι ουραγός στην Ε.Ε. ως προς την ετοιμότητα σε θέματα κυβερνοασφάλειας. Μόνο το 52% των ελληνικών επιχειρήσεων εφαρμόζει έστω τρία βασικά μέτρα προστασίας, σύμφωνα με τη Eurostat, ενώ οι επιθέσεις ransomware αυξήθηκαν κατά 10 φορές μέσα στο 2024, όπως καταγράφει η Kaspersky.
Η περίπτωση της εταιρείας κοσμημάτων Ilias Lalaounis είναι χαρακτηριστική. Μια επίθεση τύπου ransomware στις αρχές του 2024 οδήγησε σε απώλεια λογιστικών εγγράφων επτά ετών καθυστέρηση στη δημοσίευση ισολογισμού και υψηλό κόστος αποκατάστασης παρότι τελικά το 85% των δεδομένων ανακτήθηκε. Το περιστατικό, όμως, απέδειξε πόσο εύθραυστη είναι η ψηφιακή υποδομή ακόμη και για επιχειρήσεις υψηλού κύρους.
Καθώς οι κυβερνοεπιθέσεις πολλαπλασιάζονται και γίνονται πιο «έξυπνες», η πίεση για επιτάχυνση του τεχνολογικού μετασχηματισμού αυξάνεται. Η αδράνεια πλέον έχει συγκεκριμένο τίμημα, σε ευρώ, σε φήμη και σε εμπιστοσύνη. Όσοι επενδύουν στρατηγικά στην ασφάλεια, ίσως προλάβουν το επόμενο χτύπημα.
