Marks & Spencer припиняє співпрацю з Tata Consultancy Services після руйнівної кібератаки

Британський гігант роздрібної торгівлі Marks & Spencer (M&S) офіційно припинив своє багаторічне партнерство з індійським лідером у сфері IT-послуг Tata Consultancy Services (TCS) після однієї з найруйнівніших кібератак у своїй історії. Резонансне порушення, яке сталося на початку цього року, за оцінками, коштувало компанії близько 300 мільйонів фунтів стерлінгів збитків, порушивши її цифрову інфраструктуру та серйозно вплинувши на діяльність у Великій Британії.

Tata Consultancy Services (TCS) є провідною індійською багатонаціональною компанією, яка надає послуги в області інформаційних технологій (ІТ) і консалтингові рішення. Штаб-квартира розташована в Мумбаї. Вона є частиною Tata Group і має глобальну присутність із великою кількістю працівників (600 тисяч+), які обслуговують клієнтів у різних галузях у 55 країнах. Відомими клієнтами є Jaguar Land Rover, British Airways, Boots, Diageo та Aviva. Серед інших клієнтів – такі фінансові установи, як Deutsche Bank USA, Indian Bank і RBC Investor & Treasury Services, а також такі компанії, як Mitchells & Butlers і Британська Рада.

Згідно з галузевими джерелами, у липні 2025 року M&S розірвав контракт із службою технічної підтримки та підтримки з TCS, ознаменувавши кінець співпраці, яка тривала кілька років. Повідомляється, що це рішення було прийнято всього через кілька місяців після того, як кібератака змусила роздрібного продавця призупинити свою онлайн-платформу для покупок на тривалий період, залишивши мільйони клієнтів не в змозі розміщувати замовлення. Збій також створив широкомасштабні проблеми з ланцюгом постачання та запасами, що призвело до порожніх полиць у багатьох фізичних магазинах і погіршило репутацію компанії щодо надійності та обслуговування клієнтів.

Інцидент викликав широкі дискусії в роздрібній торгівлі та ІТ-секторах про безпеку даних, підзвітність постачальників і зростаючі ризики кіберзлочинності на цифровому ринку. Для M&S перехід до розриву зв’язків із TCS розглядається як частина більших зусиль із відновлення довіри, посилення системи кібербезпеки та модернізації технологічних операцій після злому.

M&S залучила TCS як свого технологічного партнера більше десяти років, включаючи значне оновлення аутсорсингу в 2023 році, спрямоване на оцифрування ланцюга поставок, багатоканальних і магазинних систем роздрібної торгівлі.

Наприкінці квітня 2025 року M&S підтвердила «кіберінцидент», який змусив її припинити онлайн-замовлення, призупинити частину своїх операцій «клацніть і забери» і, за деякими повідомленнями, залишив полиці магазинів недостатньо. Група зловмисників, ідентифікована як Scattered Spider, використовувала маршрут постачальника, а не просто проникала в периметр M&S.

Повідомлення ЗМІ прямо вказували на доступ співробітників служби підтримки TCS: згідно з джерелами, принаймні два облікові дані для входу в M&S, що належали співробітникам TCS, використовувалися під час проникнення.

Хакери отримали початковий доступ до систем M&S через атаку соціальної інженерії. У цьому брали участь хакери, видаючи себе за співробітників, щоб обманом змусити персонал TCS розкрити облікові дані для входу та скинути паролі.

Пізніше генеральний директор роздрібного продавця Стюарт Мачін заявив депутатам, що вхід відбувся через «витончене видавання себе за іншу особу… за участю третьої сторони».

Отримавши початковий доступ, Scattered Spider використав постачальника програм-вимагачів як послуг під назвою DragonForce, щоб здійснити атаку.

Атака передбачала подвійне вимагання, коли хакери вкрали копію даних M&S перед тим, як її зашифрувати. Потім вони вимагали викуп за розшифровку даних і запобігання витоку вкраденої інформації

TCS публічно стверджувала, що жодна з її систем або користувачів не була скомпрометована і що злом стався в середовищі клієнта.

• Атака спричинила масовий збій, призупинивши онлайн-замовлення M&S, вплинувши на платежі в магазинах і рівень запасів, а також призвела до значних фінансових втрат.
• Дані клієнтів були викрадені під час атаки, і M&S порадила клієнтам бути обережними щодо спроб фішингу.

Фінансові наслідки для M&S були драматичними. Аналітики оцінюють цілих 300 мільйонів фунтів стерлінгів втраченого операційного прибутку за рік, і понад 1 мільярд фунтів стерлінгів стерто з ринкової капіталізації. Ланцюжок подій підкреслює, як єдиний підхід соціальної інженерії — орієнтація на персонал продавця, а не мережеві брандмауери — може занурити відомий роздрібний торговець у кризу.

У липні M&S підтвердила, що контракт не буде продовжено, посилаючись на те, що конкурентний процес закупівель розпочався в січні — за кілька місяців до атаки. M&S наполягає, що ця зміна не пов’язана зі зломом і що TCS залишається стратегічним партнером для інших технологічних послуг.

Представник TCS повторив, що компанія не надає M&S послуги з кібербезпеки — ними займається інший постачальник.

«Тендер на контракт служби підтримки M&S розпочався за кілька місяців до інциденту», — сказав речник. «TCS продовжує підтримувати M&S у численних стратегічних ініціативах і цінує ці давні відносини».

Тим не менш, оптика чітка: коли трапляється кіберкатастрофа, і один із ваших головних аутсорсингових партнерів замішаний — навіть опосередковано — правління та керівники відчувають тиск. Для TCS, яка обслуговує сотні британських клієнтів у критичних секторах, інцидент піднімає ширші питання щодо ризику постачальника та довіри клієнтів.

Те, що трапилося з M&S, стає хрестоматійним прикладом того, як сучасні роздрібні торговці піддаються викриттю: складні екосистеми аутсорсингу, численні сторонні підрядники з розширеним доступом і орієнтовані на людину атаки соціальної інженерії використовують найслабшу ланку — часто персонал служби підтримки.

Експерти з кібербезпеки попереджають, що служби підтримки є погано охоронюваним фланговим маршрутом, особливо коли персонал виконує сценарії для скидання пароля, імітації та ескалації.

• Нещодавній аналіз зазначив, що організаціям необхідно відображати «критичних постачальників» і розглядати їх як частину кібер-сліду, а не лише периферійних постачальників.
• Порушення (і подальший випадок постачальника) підкреслює, як страхові, юридичні проблеми, проблеми довіри клієнтів і ризики бренду каскадно випливають із того, що здається технічним або ІТ-інцидентом.
• Зокрема, для роздрібних продавців перебої в онлайн-замовленнях, «клацніть і збирай» і постачанні в магазини можуть призвести до миттєвих втрат прибутку, розмивання бренду та погіршення конкурентоспроможності (M&S посилається на збільшення частки конкурентів через збій).

І для клієнтів, таких як M&S, і для постачальників, таких як TCS, наслідки пропонують ряд уроків:

1. Доступ постачальника = поверхня атаки: Якщо партнер займається довідковою службою, скидає паролі або має привілейований доступ, тоді його співробітники, процеси та елементи керування стають розширенням вашої мережі, навіть якщо вони фізично розділені.
2. Соціальна інженерія залишається критичною сферою: Брандмауери, захист кінцевих точок і традиційний ІТ-захист необхідні, але недостатні, коли зловмисники видають себе за інсайдерів і використовують людську довіру.
3. Час поновлення контракту має враховувати ризик: M&S розпочала тендерний процес служби підтримки в січні; до липня закінчився контракт. Збіг між зміною постачальника та реагуванням на порушення може викликати ретельний контроль з боку регуляторних органів та зацікавлених сторін.
4. Комунікація та прозорість мають значення: M&S вжило заходів для відновлення роботи та інформування інвесторів; однак порожнеча, створена обмеженими публічними деталями, породжує спекуляції, особливо коли інша сторона (TCS) залишається під уважним слідством.
5. Аутсорсинг не замінює відповідальності: Навіть якщо послуга передана аутсорсингу, нормативна відповідальність, зобов’язання щодо захисту даних і відповідальність за безперервність бізнесу все ще лежить на організації-клієнті.

На перший погляд епізод M&S–TCS може виглядати як розірвання контракту з оптовим аутсорсером, але глибше розповідається про те, як роздрібні торговці зі складними мережами постачальників, що старіють у цифровому світі, виявляють, що межі кіберризику більше не є чисто технічними. Це про людей, довіру та невидимі канали доступу.

Для M&S заголовок може бути таким, що він «відмовився» від TCS для своєї служби підтримки. Але в ширшому плані історія про британські вулиці, що борються з тим, що відбувається, коли три десятиліття аутсорсингу перетинаються з кіберзлочинністю нового покоління. А для TCS та інших великих аутсорсерів повідомлення неминуче: кіберстійкість ваших клієнтів також є стійкістю вашої репутації.