オピニオン9月初旬、ロンドン交通局(TfL)は大規模なサイバー攻撃を受けました。TfLはロンドンの多くの人々を首都の職場や娯楽の場へと運ぶ公共機関です。攻撃は電力、信号、通信システムには及ばなかったため、乗客への影響はほとんど感じられませんでした。TfLは、バックオフィスの発券、請求、その他のシステムへの被害を軽視しています。すべては制御可能でした。
ロンドン交通局は、5,000人のユーザーの銀行データが流出したことを確認し、ITインフラの大部分をオフラインにした。
続きを読む
しかし、長くは続かなかった。TfLは、顧客データが漏洩していないという主張を、反証となる証拠が出てきたためすぐに撤回した。顧客からは、学生や退職者向けの様々な乗車券割引制度や団体特典が利用できないという苦情が寄せられ、TfLは領収書を保管していれば将来的に補償するかもしれないという漠然とした約束をした。しかし、公式見解としては、基本的に問題はないというものだった。
最近の報道では、問題の範囲はこれまで考えられていたよりもはるかに広く、状況はより深刻であると主張しており、これとは異なる見解を示している。The Register紙の古くからの友人は、老齢旅行許可証を取得できなかったこと、またTfLのオイスター非接触型乗車券システムが乗客アカウントに誤った情報を記録し、簡単に修正できないことを確認した。
警察は英国の10代の少年を逮捕し、他に誰かを追っているとは考えられないため、これは犯罪組織によるサイバー恐喝ではない可能性が高い。しかし、それ以外に何が起こったのか、どのように起こったのか、何をいつ修正する必要があるのか、そしてそれがさらなる脆弱性にどのような影響を与えるのかは不明だ。TfLはもっとオープンになるべきだろう。いや、これ以上オープンにならないことはまずないだろう。
これはTfLに限ったことではありません。The Registerを1週間以上読んでいれば、状況はお分かりでしょう。誰も悪いニュースを報道したがりません。大英図書館から公衆衛生サービス、政府機関に至るまで、侵害に関する情報を管理したいという最初の本能は、そもそもシステムを管理するという本能よりも強いようです。営利企業にも同じ本能がありますが、規制による不正流用の典型例となることがあります。公共部門には、沈黙して事態を乗り切るという組織的な本能があり、それを政治的な監督官たちはよく理解しています。
これは全くの誤りです。サイバー犯罪の被害を受けた企業からより詳細な情報開示を求めるべきだという主張はありますが、同時に、企業の責任は企業自身に限定されており、顧客は恐怖や被害の程度に応じて企業を離れるか弁護士に相談すれば良いという主張もあります。公的機関は、顧客ではなく市民に対してより広範な責任を負っているだけでなく、私たち全員の生活に直接影響を与える国の資源を浪費しています。ビット窃盗犯によって破壊されたITシステムの再構築に100万ドルを費やすことは、人々の安全、健康、そして自由を守るために使われていない100万ドルと同じなのです。
- 大英図書館のランサムウェアの悪夢を詳しく調べる時が来た
- ファーウェイのAndroidからの撤退はマーケティング戦略ではなく、チェスだ
- ベンダーの約束を聞き出すだけではサイバーセキュリティは改善されない。歯を抜くことで
- 持続可能なセキュリティとは一体どのようなものなのでしょうか?
要するに、公共部門におけるサイバーセキュリティは社会にとって極めて重要な問題であり、そのように扱われるべきです。しかし、実際にはそうではありません。交通インフラ、環境、食料、健康などとは異なり、サイバーセキュリティは規制されていません。航空機が墜落したり、新たな感染症が発生したりした場合、特定の機関が調査と報告を行う法的義務を負います。
侵入の翌日には独立した専門家チームが煙を上げる残骸の中をよじ登り、妥当な時間内に何が起こったのか、なぜ起こったのか、どうすれば回避できるのかについての完全な公開報告書が作成されるだろうと、TfL や大英図書館が知っていたらどうなるだろうか。
メリットは計り知れない。官民両セクターが、犯すべきでないミスを学び、そしてさらに重要なことに、ミスを犯さないよう強い意欲を持つようになるだろう。率直な意見を持つセイウチがサーバーのログを調べている時に、沈黙するという選択肢はない。システムが寿命を迎えてもなお、誰がどのデータを閲覧したかの監査を省略するという決断は、突如として明らかに誤った判断に思えてくる。言うまでもなく、航空業界と同様にサイバーセキュリティにおいても、チームの適切なトレーニングと管理は、テクノロジーの進歩を阻む要因となることがしばしばある。
これは容易に検討できる動きではありません。情報公開法制化と同様に、制度的な抵抗は大きく、政治的コストも高くなる可能性があります。国家の基本機能への資金が慢性的に不足している昨今、実際のコストは途方もなく大きなものとなるでしょう。そもそも、サイバーセキュリティへの支出を拒否すること自体が大きな問題の一つではないというわけではありません。
大英図書館がクラウド導入を決定、レガシーIT資産が大規模な再構築の原因に
続きを読む
さらに、規制の虜という問題もあります。これは、業界とその監督機関が互いに近づきすぎて、顧客から遠ざかってしまうことです。ボーイングとFAAに、なぜ737 MAXで何百人もの人が亡くなったのか聞いてみてください。これは規制監督に反対する議論ではなく、適切に行うための議論です。
サイバーセキュリティの事故調査官が必要です。幹部を夜も眠れぬほどの力を持ち、誰もノーと言えないような人です。責任追及ではなく、原因を探る人です。
長期的には、費用と人命を節約し、オオカミを森から守る責任を負うすべての人々の負担を軽減します。中期的には、業界全体の期待と慣行を揺るがすでしょう。そして短期的には、非常に興味深いものになるでしょう。私たちは公共部門を所有し、ルールを定めます。実現させましょう。®
