Egyszerű trükk, hatalmas kár
Tipikus eset, amikor a legalapvetőbb előírások figyelmen kívül hagyása vezet tragédiához. Külön figyelmet érdemel, hogy a Clorox minden szükséges eljárást kidolgozott és átadott IT-partnerének, amelyek alapján az ügyfélszolgálatnak minden jelszóváltoztatásnál hitelesítenie kellett volna a kérelmezőt. Mégis, 2023. augusztus 11-én egy kiberbűnöző többször felhívta a Cognizant helpdesket, eljátszotta, hogy a Clorox egyik munkatársa, és gond nélkül megkapta az új belépési adatokat, sőt, a kétlépcsős azonosítását is többször visszaállították neki. A helpdesk egyetlen alkalommal sem informálta sem az érintett alkalmazottat, sem a menedzserét a változtatásról. Ennek következtében a támadók szabad bejárást kaptak a vállalat rendszerébe, ráadásul ugyanezt az IT-biztonsági részleg egyik alkalmazottjánál is eljátszották, igazolás nélkül.
Széteső védelem, bénult cég
A támadók így rövid idő alatt jelentős jogosultságokat szereztek, és gyorsan továbbterjedtek a vállalati hálózaton. Ennek eredményeképp a Clorox működése megbénult: leálltak a gyártóüzemek, ellátási problémák jelentkeztek, és súlyos üzletmenet-kiesés következett be, amely több százmillió dolláros veszteséggel és hosszú távú reputációromlással járt.
MI, hanyagság és vádaskodás
Érdemes kiemelni, hogy a Clorox a Cognizant által nyújtott helyreállítási és vészhelyzeti támogatást is erősen bírálta: rosszul képzett szakemberek, késedelmes intézkedések és gyenge kármentés jellemezték a válságkezelést. Ennek ellenére a Cognizant tagadja a felelősséget, szerintük a Clorox védekezése volt elégtelen, ők csak a szerződésben vállalt helpdesk-feladatokat látták el – még ha a minimum biztonsági előírásokat sem teljesítették.
Felelősség és következmények
A Clorox ezért jogi útra terelte az ügyet: szerződésszegés, hanyagság, félrevezetés és a személyzet nem megfelelő kiképzése miatt összesen 380 millió dollár (kb. 137 milliárd forint) kártérítést követel. Az ügy intő példa arra, milyen láncreakciót okozhat egyetlen elhibázott döntés – különösen, ha a digitális védelem az alapoknál vérzik el.
