地方自治体の指導者、電力会社の職員、さらには退職した都市監査役までもが、地方政府を標的としているサイバー脅威とその対処方法について学ぶことに関心を持っていました。あるパネリストが強調したように、「最近では、結局のところあなたは被害を受けることになるでしょう。」だからです。
マサチューセッツ州の当局者と技術専門家が集まり、2024年にマサチューセッツ州民に対して発生したすべての侵害を調査した新しい研究の調査結果を議論しました。その結果、いくつかの問題のあるセキュリティギャップが依然として存在していることが判明しました。これと同じギャップ(弱いパスワードと不十分なパッチ管理)は、全国の企業に影響を与えています。脅威ベクトルはまた、Verizon Businessのデータ漏洩調査報告書などのベンダーが長年言ってきたことと同じです。システムの侵入とインターネットに接続された脆弱性により攻撃者がアクセスを獲得します。
州のサイバーセキュリティリソースであるMassCyberCenterは、その第6回マサチューセッツ市町村サイバーセキュリティサミットを開催しました。そこには、ディレクターのJohn Petrozzeli、消費者問題・事業規制局(OCABR)の次官であるLayla D’Emilia、司法長官室のプライバシー・責任技術部門の部長であるJared Rineheimer、NeXasureのサイバーエバンジェリストであるDave Balcarをモデレーターとするパネルが出席しました。パネリストたちはOCABRとビジネス規制MassCyberCenterの共同報告書「マサチューセッツ州のデータ漏洩の影響を検証する」の調査結果について議論しました。
まず最初に、マサチューセッツ州の漏洩事件を一見することは防御者の役に立ちますが、数字は偏っている可能性があります。過少報告はパネリストが2024年報告と2026年の課題について議論する際に長く強調した問題です。
Balcarが明かした過少報告は、民間企業の間でより蔓延しています。金融サービス、ヘルスケア、銀行業が漏洩の影響を受けた上位産業です。
Balcarはパネルを1つの重要な質問で開始しました。何が人々に報告を妨げているのでしょうか。漏洩後、組織が正確に何が起こったのか、そして何が漏洩したのかを把握するのに時間がかかります、とD’Emiliaは説明しました。しかし透明性も重要です。消費者が情報を得られるようにする必要があります。これは彼女がセッション全体を通じて何度も繰り返した点です。
米国にはサイバー漏洩の報告を義務付ける連邦法はありません。マサチューセッツ州、カリフォルニア州、ニューヨーク州を含む州は消費者データ保護とプライバシー法を可決しているため、規制は異なります。
マサチューセッツ州司法長官事務所は、データ漏洩に続いて「実行可能な限り早急に、かつ不当な遅延なく」通知を提供することを組織に要求しています。提出物には漏洩の性質、無許可のアクセスが含まれていたかどうか、影響を受けた住民の数、危険にさらされた情報のタイプ、書面によるセキュリティプログラムの確認、および事件に関連して機関が講じたすべての手段を含める必要があります。
「私たちは『実際にはアクセスされたものが何かわからない』というのをよく聞きますし、そのため彼らは漏洩を報告していません。そして私たちは『大丈夫です。あなたは提出物を更新することができますが、法律に従い、今日時点で持っている情報をとにかく提供する必要があります』と言います」と彼女は述べました。
「彼らは積極的に報告を回避しています」
組織は報告する義務があることに気づかないこともあります。「これは素晴らしくなく、おそらく私たちがここにいる理由でもあります」とRinehimerは付け加えました。
Rinehimerは、事件と報告の間に遅延があることが多いと述べ、組織が保存する個人情報の量がそれに起因していると述べました。インシデント対応調査では、チームが誰の情報が影響を受けたかを判断するために、すべての単一メールアカウント(一部の人は多くのアカウントを持つ可能性があります)を詳しく調べる必要があります。これには長い時間がかかりますが、彼が述べたように、最近このプロセスは高速化しています。
しかし、上記のいずれでもないこともあります。単純に報告を拒否するのです。組織は法律による報告義務を知っているかもしれませんが、責任についての懸念のため報告を控えているかもしれません、と彼は説明しました。
「そうしないでください」とRinehimerは警告しました。「Uberがそれをしたが、うまくいきませんでした。」
ライドシェア企業の最高セキュリティ責任者は、2016年の漏洩を隠蔽した連邦重罪で起訴されました。結局のところ、彼は保護観察付き懲役刑を言い渡されましたが、Uberは何百万ドルもの罰金と法的合意に直面しました。
透明性は「正当な」問題です
消費者は自分のデータに何が起こったのか、そして組織が事件後の漏洩にどう対応するかを知る権利があるとパネリストは述べました。社会保障番号、生年月日、さらには健康情報などのより機密性の高いデータなど、何が影響を受けたのかを知る必要があります。データ漏洩通知を受け取ったら、銀行口座を保護し、危険にさらされたパスワードを変更するか、無料のクレジット監視にサインアップするための次のステップを実行できます。
「透明性に関しては、消費者が知ることは本当に重要です」とD’Emiliaは述べました。「これは正当です。」
しかし、影響はそれより大きいです。報告の透明性を向上させることは防御者の役に立ちます。なぜなら、民間や公共を問わず、組織が長期的に学べるパターンが生まれるからです。
報告書から導かれたパターン、戦術、洞察は、タイムリーで一貫性のある報告がいかに特定の脅威の情報を完全に把握するのに役立つかを強調しています。この場合、マサチューセッツ州の調査結果はより広い脅威インテリジェンスにも関連しています。
初代報告書のデータポイントは、人員とプロセスが「多くの漏洩に関連する2つの主要な障害」であったことを示していた、とPetrozzeliは警告しました。
アイデンティティとアクセス管理は、組織が本当に苦労していたある領域であり、これはマサチューセッツ州だけの問題ではありません。多要素認証(MFA)が導入されていない場所もあり、「パスワードは本当に不適切に実装されていませんでした」とPetrozzeliは述べました。彼は、「123456」を使用して機密データを保護する組織がいかに一般的であるかを引用しました。
報告書は、不十分なパッチ管理を別の共通のテーマとして特定しました。多くのデータポイントは、どのように一般的なシステム侵入がインターネットに接続された脆弱性から発生したかを示しました。
詐欺師が1歩先を行く
プロセスと文化は問題の大きな部分でした、とPetrozzeliは付け加えました。多くの被害組織は漏洩後にのみセキュリティプロトコルを強化しました。場合によっては、それはより複雑なパスワードポリシーの実施を意味し、彼が付け加えたように、インシデントの20~30%で事後に実装された措置です。
「それは次のようなものです。あなたは今それをしていないのですか?」と彼は尋ねました。
技術は重要な役割を果たしていますが、それでもプロセスと人々に戻ります、とPetrozzeliは述べました。
「サイバーセキュリティにお金を費やすことが重要であると決定するリーダーがいますか、それともそうではないですか?」と彼は提起しました。「または、『私たちはこれらのグループに被害を受けるには小さすぎます』と言う他のリーダーがいますか。あなたは小さすぎるわけではなく、単に幸運なだけです。最近、あなたは最終的に被害を受けることになるでしょう。」
それを念頭に置いて、OCABRはMFAを実装し、従業員が90日ごとにパスワードを変更する必要があるパスワードポリシーを制定しました。必須の年間トレーニングはもう1つのセキュリティ対策です。従業員がそれを取得しない場合、管理者はコンピューターをシャットダウンします。そして彼らはその約束に従ってきました、とD’Emiliaは述べました。
しかし、セキュリティプロトコルは「詐欺師は私たちをはるかに先に行っている」ためにD’Emiliaが警告したので、改善し続ける必要があります。彼女は、ポリシーは高度な脅威行為者に追いつくことができないと警告しました。
たとえば、脅威行為者は銀行部門で働くことを知った後、3人のOCABR従業員の個人用電話にテキストメッセージを送信しました。テキストは銀行の責任者になりすましていましたが、幸いなことに従業員は騙されませんでした。
これは常に当てはまるわけではありません。
「彼らはある種、私たちの1歩先です」と彼女は述べました。「すべてがオンラインなので、攻撃者が誰がどこで働いているのか、そして誰を操作するかを確認するのは簡単です。」
