分析昨年の Equifax のセキュリティ大惨事で明らかになったことは、大企業はサイバー犯罪者や規制当局がどんな攻撃を仕掛けてきても、ほとんど耐えられると考えているということだ。
パッチを当てていないウェブサーバーが 1 台、盗まれた 1 億 4,700 万件の主に米国の顧客記録、そして企業の評判を永久に粉砕するはずの政治的な打撃 (「エンロン以来の最も悪質な企業不正行為の例の 1 つ」と米国上院民主党リーダーのチャック・シューマー氏は述べた) にもかかわらず、Equifax は依然として存続しているだけでなく、おそらくは繁栄さえしている。
確かに、財務上の全容はまだ明らかになっていないものの、先週、同社の株価が情報漏洩が公表される前の水準とほぼ同水準まで戻ったことは注目に値します。
これらはすべて、英国や欧州で起きている事態とは対照的で、データベースのセキュリティ侵害をめぐる空気が悪化している。問題は、必ずしも侵害件数が増えているというよりも、その発覚のスピードが速いことだ。
先週のブリティッシュ・エアウェイズへのハッキングは、サイバー犯罪者がリアルタイムで最大38万件の取引を盗み取ることができたという技術的に恥ずかしい事実だけでなく、同社がこの惨事を認めたスピードの点でも興味深いケーススタディとなっている。
告白
BAによると、攻撃は8月21日22時58分(英国夏時間)に始まり、9月5日21時45分(英国夏時間)に停止された。つまり、BAはハッカーが顧客のカード番号を盗んでいることに気づくのに15日かかったが、Twitterとメールで世界に知らせるのに24時間もかからなかったことになる。これは、コンピューターセキュリティ侵害の告白としては世界記録の候補となるだろう。
セキュリティアナリストのRiskIQは、6月のTicketmasterのWeb侵入事件の背後にも同じグループがいたのではないかと推測している。この事件は6月23日に発覚してから表面化するまでに5日と、それでもかなり速かった。セキュリティ侵入の雰囲気がどのように変化しているかを示す最良の例は、おそらくT-Mobile USだろう。同社は8月20日に220万人の顧客のアカウント記録を盗み出した犯人を発見し、そのわずか4日後にその事実を公表した。
この迅速さを、昨年 7 月 29 日に情報漏洩を検知したが、数か月後の 9 月 7 日にようやく世界に公表した Equifax の対応と比較してみましょう。
なぜ急に急いだのでしょうか?BAの場合、公式には欧州GDPR第33条が答えとなります。この条項では、個人データが関与するサイバー侵入は72時間以内に報告することが義務付けられています。セキュリティ侵害には現在、独自のライフサイクルがあると認識されています。ユーザー側では、EMW Law LLPの最近の報告書によると、5月のGDPR施行後、英国の情報コミッショナーへの苦情は6,281件に達し、2017年の同時期と比較して倍増しています。
ブリティッシュ・エアウェイズのハッキング:情報セキュリティ専門家が決済ページにサードパーティのスクリプトを指摘
続きを読む
「これは間違いなく、GDPRの施行に向けた意識の高まりと準備期間によるものです」と、Falanx Groupのシニアデータ保護・プライバシーコンサルタント、リリアン・ツァン氏は同意した。しかし、それだけではない。「侵害を報告することは、たとえ侵害が迅速に軽減できなかったとしても、認識を示し、何かを『行う』という意識を示すものです。かつてのような事後対応的な姿勢ではなく、現実的な姿勢を示すものです。」
違反行為は、決して単なる戦傷跡として記録されるようなものではありません。株価が回復した際に株主がどう評価しようとも、違反行為はあまりにも深刻で、その代償も大きすぎるからです。ストレスを増大させているのは、情報開示のスピードです。
「危機管理は比較的新しい分野ですが、極めて重要な焦点を当てるべき分野です。情報漏洩は「起こるかどうか」ではなく「いつ起こるか」が重要だと認識する経営幹部が増えるにつれ、潜在的な攻撃に備えて危機管理手順を整備する企業が増える可能性が高まっています」と、ESETのセキュリティスペシャリスト、ジェイク・ムーア氏は述べています。
しかし、違反が続く限り、いずれ誰かが見せしめにされるだろうと彼は考えている。「ICOは、GDPRの重大さを示すために、有名企業にGDPRのメッセージを突きつけようとするだろう。そのため、企業はこれまで以上にコンプライアンス遵守を強化していることを示す準備ができているのだ。」
BA による迅速な侵害開示は、競合他社を含む多くの企業が追いつくのに苦労するような不快な基準を設定した可能性があります。®
