トークトークは、10月に大きく報道されたハッキング事件の後、セキュリティ強化のためBAEシステムズを雇ったとの見方に反して、実際には6月からセキュリティオペレーションセンターをBAEにアウトソーシングしており、以前は投資家に対しセキュリティ監査を「完了した」と述べていた。
トークトークは6月に発行された年次報告書の中で、「ハードウェアとリムーバブルメディアの暗号化」や「データ損失防止ソリューション」の実装、そして「脆弱性スキャンと侵入テスト」の徹底的な実行など、主要なサイバーセキュリティの取り組みを完了したと主張した。
これらの対策は、SQLインジェクションとされる攻撃による120万人の顧客データの盗難を防ぐのに明らかに不十分だった。侵入テストツールMetaspolitの開発元であるRapid7のEMEA戦略サービス担当マネージャー、ウィム・レメス氏がThe Registerに説明したように、「10年以上前から知られている攻撃ベクトルであり、かなり簡単に防ぐことができる」という。
BAEシステムズはThe Registerに対し、「インシデント発生前は(監視サポートを提供していたものの)社内の非市場向けネットワークの監視に限定されていた」と述べた。BAEは「監視サポートを段階的に拡大している」と述べ、「プロセスはまだ完了していないが、順調に進んでいる」と付け加えた。
トークトークに対し、年次報告書では既にセキュリティオペレーションセンターの業務をBAEにアウトソーシングしていると記載されているにもかかわらず、ハッキング後にBAEを起用したと示唆した理由を尋ねたところ、「BAEと合意した回線があり、それをここで使用する必要があります。そこに記載された回線は、ここで使用した回線ではないでしょうか?」と返答があった。
セキュリティ業務がBAEにいつアウトソーシングされたのかについても、明確な説明がありませんでした。「彼らは世界をリードするサイバーセキュリティの専門家であり、我々は既にセキュリティ関連の様々な業務で彼らと連携しています」とだけ説明されました。
BAEは、私たちの質問への回答を拒否した際、「私たちの役割は、顧客に機密性の高いアドバイスを提供することです」と説明した。この防衛企業の情報セキュリティ部門の役割は、「脅威を監視し、潜在的なリスクと、可能な限りそれらを軽減するための行動を概説すること」である。
TalkTalkは、「社内および社外のツールとリソースを使用して、システムのセキュリティを継続的に確認および更新している」と述べています。
最高の専門家を擁するチームが24時間体制で作業し、何が起きたのかを理解し、システムの安全性を確保しています。具体的な対策について詳細をお伝えすることはできませんが、保護レベルを大幅に向上させたことをお約束します。これには、攻撃の痕跡を検知するためのサイト全体のスキャン、サイトの一部を再構築して耐障害性を高め、攻撃に対する追加の防御壁を設置することが含まれます。また、現在実施中の複数のサイバーセキュリティプログラムを加速させています。
トークトークは、過去3年間でサイバーセキュリティへの投資を3分の1増加させており、「将来的にはさらに支出を増やす」と確信していると主張した。
TalkTalk は、トラブルの「潜在的影響」を「競争上の優位性の喪失、規制上の罰金、ブランドのダメージ、そして最終的には顧客離れ」とみなしました。
しかし、トークトークのCEO、ダイド・ハーディング氏は、今朝発表された2015/16年度上半期決算において、顧客が競合他社へ流出してしまうのではないかという懸念を軽視した。ハーディング氏は、情報漏洩後に当初は離脱を試みていた顧客が考えを変えたと述べ、「顧客が当社の対応が正しいと考えている兆候がごく初期からある」と付け加えた。
しかし、ザ・レジスターと連絡を取ってきた顧客は同意しないかもしれない。まだ解約を希望している顧客もいるが、通信会社は解約料の免除を拒否しているのだ。
ある人物は、侵入から数日後に3,500ポンドが口座から盗まれたことを知り、 The Registerに連絡しました。TalkTalkは解約料の免除を拒否し、代わりに「善意の表れであり、最終的な和解」として、笑止千万な30.20ポンドを口座に返金することを提案しました。
トークトークの元顧客も最近の侵害の影響を受けた可能性があるが、レジスター紙に話を聞いた人々は、自分のデータも公開情報源から侵害された可能性があると知った後、同社から何の連絡もなかったと不満を漏らしている。
別の顧客は、トークトーク社が競争優位性を強調しようとした結果、消費者が利用すれば費用を節約できると誤って主張するという「誤り」を犯したと指摘した。トークトーク社はその後、この広告を撤回した。
