印度IT承包商被黑导致玛莎百货损失4亿美元 | 重视供应商安全意识宣贯

由于印度IT外包商员工被网络钓鱼,玛莎百货蒙受高达4亿美元的巨额损失,这使得玛莎百货成为继波音公司之后,又一个被印度IT外包服务重创的商业巨头。

2025年初,英国零售巨头玛莎百货(Marks & Spencer, 简称M&S)成为第三方重大网络安全事故的“受害者”。

根据路透社近日发布的最新事件调查结果,这场由勒索组织DragonForce发起的攻击,给这家年销售额近140亿英镑的零售商造成了巨大损失。不仅令玛莎百货的食品销售链遭受重创、线上业务全面瘫痪,甚至可导致其2025与2026财年的共计损失高达4亿美元。

美国银行分析师估计,自复活节银行假期周末事件发生以来,玛莎百货每周的销售额损失超过4000万英镑。该公司周三表示,在线订单已于4月25日暂停,预计要到7月才能完全恢复。

更为讽刺的是,遭受网络攻击的的并非玛莎百货,而是其外包IT服务供应商——印度塔塔咨询服务公司(Tata Consultancy Services, TCS)的一名员工遭遇了社交工程攻击。

这让人不禁想起波音公司近期饱受争议的印度外包策略:从安全隐患频出的737 MAX系列到前不久大量印度员工的裁撤,一连串的事故不断动摇着外界对“印度外包模式”的信任。

现在的问题是:外包给印度IT巨头,是否正成为西方关键基础设施和企业信息系统的一道“安全死穴”?

人的漏洞:“印度外包”的致命短板?

玛莎百货并非唯一的受害者,同一波黑客攻击还波及了Harrods、Co-op等英国知名零售企业。攻击者DragonForce通过“社交工程”方式绕过了常规防线,侵入了TCS维护的系统,成功盗取了玛莎百货的大量客户数据:包括姓名、住址、联系方式、生日、订单记录乃至部分银行卡信息。

换言之,造成如此严重网络安全事故的并非技术漏洞,而是“人”的漏洞。而这一点,恰恰是外包模式中最难监管和最常出问题的部分。

换言之,造成如此严重网络安全事故的并非技术漏洞,而是“人”的漏洞。而这一点,恰恰是外包模式中最难监管和最常出问题的部分。

4亿美元安全事故”背后的系统性风险

此次玛莎百货网络安全事故的影响远不止业务停摆。根据其提交给伦敦证券交易所的公告,系统中断波及食品配送、仓储调度和库存管理等多个核心业务链条,导致:

  • 食品货架空缺、库存浪费;
  • 大量物流操作需手工处理,成本飙升;
  • 线上商城关停,电商业务彻底瘫痪;
  • 客户数据泄露,或引发后续诉讼与信任危机。

玛莎百货初步评估损失将达3亿英镑(约合4亿美元),这还不包括后续法律赔偿、品牌修复、客户流失与潜在合规处罚,潜在损失远远超出4亿美元,堪称一场“数据核爆”级别的灾难。

谁来为“外包时代的安全债务”买单?

值得警惕的是,尽管玛莎百货尚未证实攻击源头是TCS,但多家外媒(包括《路透社》和《信息安全杂志》)均指出,初步迹象显示攻击通过TCS员工账户被诱骗打开恶意链接,使得黑客得以进入玛莎百货内网。

但玛莎百货在公告中对TCS几乎只字未提——或是出于商业关系维系,或是出于法律诉讼策略。这种处理手法让人联想到波音对印度外包系统的防御性态度:面对安全批评时,官方多次强调“合规性”而非“责任”。

问题是:当你的系统变得越来越依赖第三方,尤其是地理上遥远、文化上隔阂、监管上模糊的外包团队时,一旦发生事故,真的能明确谁是“责任人”吗?

波音去印度化与“全球外包模式”的反思

波音的印度化始于前任CEO丹尼斯·米伦伯格时期,米伦伯格将飞控软件外包给印度企业,引入大量印度裔高管,借着”多样性”的名义,印度裔员工从1000人迅速扩张至2万人。

2024年底,波音公司宣布裁员1.7万人,印度裔高管成为重点清理对象。

2025年4月,波音宣布将对其印度研发中心大规模裁员,理由是“成本管控与质量提升”。外界普遍解读为对737系列频发故障的“内部反省”,或者说是“去印度化”的深入。

GoUpSec安全专家FunnyG指出,玛莎百货此次危机堪称“另一个波音时刻”,“印度外包神话”的接连破灭揭示的是全球企业外包模式中风险的系统性爆发:

  • 安全与成本之间的冲突正在失衡;
  • 高管对外包团队的管控能力远低于预期;
  • 外包方多层承包结构增加不透明性;
  • 全球分布式协作在安全危机面前显得脆弱无比;
  • 全球软件供应链的“印度风险”正在失控;

玛莎百货比波音更惨吗?

从财务损失看,M&S损失的4亿美元远超波音当年因MCAS系统漏洞付出的罚款;从品牌伤害来看,M&S作为英国老牌零售商,其客户基础以信任和口碑为核心,而一次客户信息泄露,可能动摇其百年根基。

更关键的是,M&S或许并没有从波音那里吸取到足够的教训——即:关键系统不可外包,尤其是外包给印度公司。

无论是飞机还是零售系统,网络安全事故一旦发生,所有“成本优化”都将变成最昂贵的“负优化”。不打好坚实的网络安全和风险管理基础,任何百年老店都有可能一夜白头。在数字化进入深水区的今天,廉价的人才和服务,往往是最贵的!

承制科技作为专注于信息安全意识宣贯方案服务商,已经为国内外几百家政企单位提供了高效、专业的服务。针对供应商信息泄露这一常见且严重的安全问题,承制科技同样可以量身定制针对性的宣贯方案,帮助企业对供应链提升员工的信息安全意识,有效防范信息泄露风险,确保企业的信息安全体系更加稳固可靠。

以下为承制科技部分保护客户信息宣贯样例,如果您需要可以私聊获取更多免费样例:

宣贯方式

视频宣贯

比起枯燥的文字图片,优质的网安意识宣传视频能够集文字、图像、图形、声音、动画于一体,将抽象、枯燥的网络安全知识内容在短短的几分钟内清晰具体地传递给观众。

宣贯方式

宣传海报

可制作成展板、易拉宝等多种形式,巧妙布置在办公区域的醒目位置。这些宣传材料不仅能在网络安全宣贯活动中发挥关键作用,还能在日常办公环境中持续展示,为员工带来“眼前一亮”的直观感受,从而更好地加深他们对网络安全重要性的认识。

宣贯方式

屏保

屏保以图像的形式呈现在员工电脑屏幕上,无需员工额外操作,形成了一种长期持续、随时可见的宣贯形式,有效强化网络安全意识。

宣贯方式

安图说

将网络安全知识点集中于一张长图深入解说,图文并茂而精悍,包含引言、口号、名词解释、风险分析及防范应对策略等。不仅可以让警钟长鸣,还可以获得网络安全知识和技能。

宣贯方式

安全意识小提示

全年一套365条,可邮件、公众号、学习系统等给员工推送,在持续且长久的宣贯中强化员工的安全意识

除了以上提及的宣贯方式,承制科技还可策划并制作多种富有创意的网络安全宣传线下活动、线上展厅以及现场风险演示等服务方案,以满足不同客户不同场景下的需求,确保客户网络安全意识宣贯的全面性和深入性。

上一篇
下一篇