Американская Clorox подала иск против IT-консалтинговой компании Cognizant, обвинив подрядчика в халатности, повлёкшей за собой серьёзный сбой в работе производственных и логистических систем. Как следует из материалов дела, поданных в суд Калифорнии, ущерб от произошедшего оценивается в 380 млн долларов.
В исковом заявлении говорится, что в августе 2023 года неизвестный киберпреступник, представившись сотрудником Clorox, позвонил в техническую поддержку, которую обслуживала Cognizant. Злоумышленник запрашивал сброс пароля и отключение многофакторной аутентификации в системах Okta и Microsoft.
Сотрудники службы поддержки удовлетворили запрос без подтверждения личности. Получив доступ, тот же человек повторил действия уже от имени сотрудника подразделения информационной безопасности, снова добившись исполнения всех инструкций без дополнительных проверок.
По утверждению Clorox, это позволило хакеру внедрить вредоносное ПО, получить доступ к конфиденциальным данным и вызвать нарушения, парализовавшие производственные линии и дестабилизировавшие цепочки поставок. Проблемы, возникшие в результате атаки, оказали влияние на финансовые и репутационные показатели компании.
Как следует из иска, техническая поддержка должна была использовать внутреннюю платформу верификации MyID и, при необходимости, запрашивать подтверждение у руководства сотрудника. В Clorox подчёркивают, что это требование было зафиксировано в соглашении с Cognizant, но проигнорировано. Компания обвиняет подрядчика в систематическом несоблюдении внутренних регламентов, недостаточном уровне подготовки персонала и грубом нарушении обязательств.
Представитель Clorox утверждает, что подобное поведение стало возможным несмотря на регулярные обсуждения процедур безопасности и неоднократные заверения Cognizant в их неукоснительном соблюдении. В документе также подчёркивается, что разговор идёт не о единичной ошибке, а об устойчивой модели поведения, в которой пренебрежение инструкциями стало нормой.
В ответ на обвинения представитель Cognizant заявил, что компания выполняла лишь ограниченные функции службы поддержки и не несла ответственности за комплексную защиту инфраструктуры Clorox. По его словам, попытка возложить вину на внешнего подрядчика — это способ компании скрыть слабые места в собственной системе информационной безопасности.
Clorox требует компенсации, охватывающей производственные убытки, сбои в поставках и потери, связанные с падением деловой репутации. Общая сумма претензий — около 380 млн долларов.
Ещё по теме: