英国の個人情報保護当局は、2023年に大英図書館が受けたランサムウェア攻撃について、これ以上の調査を行わないと発表した。
英国情報コミッショナー事務局(ICO)は、管理者アカウントにMFAが適用されていなかったために大惨事となったにもかかわらず、そのリソースを英国国立図書館に費やすことが最善であるとは考えていないと述べた。
大英図書館のランサムウェアの悪夢を詳しく調べる時が来た
続きを読む
「情報コミッショナーは、この特定のケースを慎重に検討した結果、現在の優先事項を考慮すると、さらなる調査は私たちの資源の最も効果的な活用方法ではないと判断した」と声明には記されている。
「我々は大英図書館に指導を与えており、同図書館は人々のデータを保護するために適切なセキュリティ対策が実施されているかどうかの検討と確保を継続する約束を我々に保証した。」
ICOはこの件に関する短い投稿で、デジタル侵入事件以来サイバーセキュリティコミュニティの他の多くの団体と同様、ランサムウェア攻撃を責任を持って開示した大英図書館の素晴らしいアプローチを称賛した。
当初から、図書館は復旧状況に関する包括的な最新情報を定期的に発表し、2024年3月には攻撃の完全なレビューを公開し、図書館のITの弱点とそこから得られた教訓を詳細に概説しました。
ICO は大英図書館の危機対応コミュニケーションを称賛したが、主要組織は数年経った今でもそのやり方を模倣するのに苦労している。
「この事件を受けて、大英図書館は2024年3月にサイバーインシデントレビューを公開し、サイバー攻撃の概要と、同様のインシデントに遭遇する可能性のある他の組織に役立つ重要な教訓を提供しました。」
「私たちは、大英図書館が、今回の事件の一因となったシステムの脆弱性、それが及ぼした影響、そして人々の個人情報を保護するためにこれまでに行った改善について、オープンかつ透明性のある対応をとっていることを称賛します。」
ICO が図書館を平和的に残すという決定は、内部リソースの制約により誤った記録を破るパフォーマンスが発生しているときに下された。
- M&S、「サイバーインシデント」が長引く中システムをオフラインに
- 侵害コミュニケーションにおけるオラクルのマスタークラス:否定、そらし、繰り返し
- 公共部門のサイバー侵入:私たちのお金、私たちの命、私たちの知る権利
- 大英図書館の「感情知能」に基づいたランサムウェアに関する率直なコミュニケーション
今月初め、規制当局は苦情対応目標の達成が追跡開始以来最大の差で達成できなかったことを明らかにした。現在の人員水準では、パフォーマンスはさらに低下すると予想される。
同社は、未処理案件の規模を示すものとして、90日以内にすべての苦情に対応することを目標としているが、最新四半期の苦情のうち徹底的に評価されたのはわずか12.3%であったと述べた。
ICOは多忙を極めている。イングランド東部の小さな町ウィルムズローにある質素なオフィスを拠点とする、比較的小規模なチームであるにもかかわらず、直近の四半期には1万件を超える苦情が寄せられ、その前の3か月と比べて746件増加した。
ICOは、さまざまな役職の採用を行っており、負担軽減を目的として「大幅なデジタル化とプロセスの変更」が進行中であることを確認した。®
