Eylül 2025'te Jaguar Land Rover (JLR) büyük bir siber saldırıya uğradığında, şirketin siber güvenlik liderinin yaptığı ilk işlerden biri, 30 binden fazla çalışanı şifrelerini sıfırlamak için fiziksel olarak iş yerine çağırmak oldu. Bu sıra dışı karar, saldırı sonrası iletişim kanallarının güvenilirliğini sağlamak ve çalışan kimliklerinin doğruluğunu teyit etmek amacıyla alındı. JLR'nin o dönemki Grup CISO'su ve Zyn Global CEO'su Ashish Shrestha, bu kararı 3 Haziran'da düzenlenen Infosecurity Europe konferansında detaylandırdı.
Shrestha, 'Kriz İletişimi – Şimdi Uygulanması Gereken Acil Durum Planları' başlıklı oturumda, ilk önceliğinin Microsoft 365 ortamının güvenliğini doğrulamak olduğunu belirtti. 'Microsoft 365'in tehlikeye girip girmediğini doğrulamamız gerekiyordu çünkü iletişim için buna ihtiyacımız vardı,' dedi. Eğer bir kullanıcı hesabı üzerinden Microsoft 365 ortamının ele geçirildiğine dair işaretler görülseydi, bu kanalı kullanamayacaklardı. Bu nedenle, tüm kullanıcıların gerçek kimliklerini doğrulamak ve çevrimiçi iletişimde güvenilir olduklarından emin olmak için her çalışanın şifresini fiziksel olarak sıfırlaması gerekti.
Shrestha, kararın gerekçesini şöyle açıkladı: 'Kullanıcı adları ve şifrelerin genel olarak ele geçirildiğine dair bir işaret olmamasına rağmen, ilerlemeden önce her bir kullanıcıya güvenebileceğimizden emin olmak istedim.' Bunu sağlamanın yolu, şifre değişikliğini fiziksel olarak yapmaktı. Uzaktan yapılması durumunda, bir saldırganın kontrolündeki bir hesabın şifresini değiştirme riski bulunuyordu. Shrestha, 'Kimlik ve erişim yönetimi ele geçirilmemiş olsa da, kurumsal çapta bir şifre sıfırlama başlattım ve çok faktörlü kimlik doğrulamayı (MFA) da dahil olmak üzere her şeyi sıfırladım, insanın kimliğini doğrulayarak fiziksel varlığıyla ilişkilendirdim,' dedi.
JLR, bu siber saldırıdan ciddi şekilde etkilendi; üretim ve satış operasyonları haftalarca durdu. Takip eden aylarda otomobil üreticisinin satışları çakıldı. Saldırının etkisi o kadar büyüktü ki, Birleşik Krallık'taki en maliyetli siber saldırı olarak kayıtlara geçti. Genel olarak, JLR siber saldırısının ulusal ekonomiye 1,9 milyar sterline (2,55 milyar dolar) mal olduğu ve tedarik zincirindeki 5000'den fazla kuruluşu etkilediği tahmin ediliyor.
Önemli Gelişmeler
Saldırının sorumluluğunu Scattered Spider ile bağlantılı bir grup üstlendi. Bu siber suç kolektifi, 2025 yılı boyunca Marks & Spencer ve The Co-op gibi perakendecilere yönelik fidye yazılımı saldırıları da dahil olmak üzere birçok yüksek profilli siber saldırıdan sorumluydu. JLR'nin bu olay sonrası uyguladığı yöntem, siber güvenlik dünyasında büyük yankı uyandırdı ve özellikle büyük ölçekli kurumlar için kimlik doğrulama süreçlerinin ne kadar kritik olduğunu bir kez daha gözler önüne serdi.
Shrestha'nın bu yaklaşımı, siber saldırı sonrası kriz yönetiminde 'güven ama doğrula' anlayışının ötesine geçerek, fiziksel doğrulamanın önemini vurguluyor. Özellikle uzaktan çalışmanın yaygınlaştığı günümüzde, böyle bir karar lojistik zorluklar yaratsa da, güvenlik açısından benzersiz bir fayda sağlıyor. Bu vaka, diğer şirketler için de siber saldırı sonrası atılacak adımlar konusunda önemli bir ders niteliği taşıyor: Kimlik doğrulama, yalnızca teknolojik değil, aynı zamanda fiziksel bir güvenlik katmanı gerektirebilir.
Kaynak: infosecurity-magazine.com