昨年、英国の小売業者や自動車メーカーで発生した大規模なサイバーセキュリティ侵害により、取締役会レベルでオンライン脅威への認識が高まった。しかし、多くの上級幹部は、同様の事案に見舞われれば事業継続ができず倒産する可能性があると警告している。
Vodafone Businessは、サイバーリスクに対する姿勢をより深く理解するため、規模を問わない企業の上級リーダー1000人に調査を行った。
回答者の89%は、昨年のM&S、Jaguar Land Rover(JLR)などの著名企業での侵害が、サイバー脅威の潜在的影響に対する警戒心を高めたと述べた。一方で憂慮すべきことに、10%は自社が同様のインシデントを受けた場合、おそらく生き残れないと認めた。
M&SとCo-op Groupに対するランサムウェア攻撃は、最大4億4000万ポンドの損失になったと推定されている。実際、M&Sだけでも、オンライン業務が数か月にわたり停止した後、3億ポンド超の損失を負担する可能性がある。
JLRでの長期停止は、英国経済に推定19億ポンドの損失をもたらし、同種の攻撃としては記録上最も高額なものとなった。
Vodafone Businessの調査結果は、MSPのSix Degreesが1月22日に公表した新たなBusiness Resilience Indexとも一致している。
同指数は、英国の組織の4分の1超(28%)を「リスクあり」に分類し、過去1年間における重要な業務サービスの平均稼働率はわずか73%だった。
ランサムウェアに関する関連記事:ジャガーのサイバーインシデントが販売と業務を「深刻に混乱」させる。
Vodafone Businessの調査への回答から、多くの組織が深刻なインシデントへの備えが依然として不十分であることが明らかになった。
平均すると、従業員は業務用パスワードを、SNSや出会い系サイトを含む最大11の個人アカウントでも使い回しているという。これは、脅威アクターが自動化ツールを用いて、漏えいしたパスワードを同一の認証情報を共有する別アカウントに対して試行する「クレデンシャル・スタッフィング」のリスクを高める。
基本的なサイバー意識向上トレーニングを従業員が受講していると確認できたのは、半数未満(45%)にとどまった。
AIによる脅威は、企業のサイバーセキュリティチームの仕事をさらに難しくしている。事業リーダーの約70%がVodafoneに対し、ディープフェイクの存在により、上級同僚や上司が登場する動画に対してより警戒するようになったと答えた。
政策立案者も注目
VodafoneThreeのビジネスディレクターであるNick Gliddon氏は、この調査結果を「憂慮すべき」と評しつつも、パスワードの使い回し回避や従業員トレーニングの強化といった多くのセキュリティのベストプラクティスは「比較的容易に実装できる」と述べた。
英国政府もまた、こうしたメッセージを受け止めつつあるようだ。通信分野における2つ目のFraud Sector Charter が11月に英国の主要通信事業者によって署名され、今年後半に施行される予定である。
その中で、業界には次のような対応が求められる:
- 番号スプーフィングを排除するためのネットワーク基盤のアップグレード
- 不審な通話の発信元をリアルタイムで追跡するのに役立つ「トレースバック」ソリューションの導入
- 送信者IDの検証導入と、SMS一斉配信サービスを利用する企業に対するより厳格な審査により、SMSメッセージへの信頼を回復
- ディープフェイクによる音声クローンなど、AI生成の詐欺に関する脅威情報共有の改善
- 被害者支援の強化
「通信分野における2つ目のFraud Sector Charterの政府発表は、来年開始予定の新たな詐欺対策戦略と相まって、重要かつ時宜を得た進展を示すものです」とGliddon氏は述べた。
「政策立案者によるこの新たな注力は、脅威の深刻さと、オンライン詐欺およびサイバー犯罪に効果的に対処するために、業界と政府が一体となったアプローチが必要であることを浮き彫りにしています。」
翻訳元: https://www.infosecurity-magazine.com/news/uk-execs-warn-may-not-suruvie/
