英国でサイバー犯罪者に支払われる身代金の件数を減らすための最新の取り組みとして、同国の国立サイバーセキュリティセンター(NCSC)が保険協会と協力することになった。
NCSC CEO フェリシティ・オズワルド氏が本日、年次 CYBERUK カンファレンスで発表した新しいガイダンス ブックは、組織がランサムウェア インシデントに反射的に反応するのを防ぐことを目的としています。
この連合は、NCSC、英国保険協会(ABI)、英国保険ブローカー協会(BIBA)、国際引受協会(IUA)で構成されています。本日発表されたガイダンスブックには、議会の勧告を踏まえ、組織が身代金の支払いを回避するための詳細なアドバイスが掲載されています[PDF]。
保険会社は「戦争行為」を理由にメルクのNotPetya賠償金14億ドルを逃れることはできない
続きを読む
サイバーセキュリティに携わる人々にとって、このガイドブックの情報は目新しいものではありません。しかし、NCSCと保険会社は、非常にストレスの多い状況を効果的に管理するために必要な情報セキュリティの知識が不足している組織にとって、このガイドブックが有用な参考資料になると考えています。
ランサムウェア攻撃の修復に関するステップバイステップのガイドは提供されていません (それはインシデント対応者の仕事です)。代わりに、支払いを行う前に検討すべき一連のアプローチが提供されています。
アドバイスには、可能な場合は専門家に相談すること、組織全体の適切な人材を関与させること、根本原因を調査すること、そしてもちろん「パニックにならないこと」が推奨されています。
今年初めのLockBitのリークで明らかになったように、ランサムウェア集団は、被害者が金銭を支払った後にデータを削除するという約束を必ずしも守るとは限りません。これは、事態をできるだけ迅速かつ静かに解決しようと躍起になっている組織にとって、役立つかもしれないもう一つの考慮事項です。
「NCSCは身代金の支払いを奨励、支持、容認するものではありません。身代金を支払えば事件が解決したり、被害者が将来の悩みから解放されるというのは危険な誤解です」とオズワルド氏は述べた。「実際、身代金が支払われるたびに、犯罪者にとって、これらの攻撃は効果があり、実行する価値があるというシグナルとなるのです。」
「この分野横断的な取り組みは、身代金ビジネスモデルを阻止するための素晴らしい次のステップです。サイバー犯罪者の財布を空にし、英国の組織の回復力を高める取り組みを支援できることを誇りに思います。」
NCSC は、これが、業界や国際政府の間で長らく議論されてきた身代金支払いの全面的な法的禁止ほど効果的ではないことを認識している。
- NHSデジタル、Arcserve UDPの脆弱性を悪用した事例を示唆
- クリスティーズのウェブサイトが「サイバー攻撃」で閉鎖、総額8億4000万ドルの美術品オークション開催の数日前
- ブラックバスタランサムウェアがアセンション島に感染した後、アメリカ政府は対策を促している
- 暗号化メールサービス「プロトン」、容疑者の個人情報を再び警察に提供
こうした議論は政府の最高レベルで行われており、この問題は内務省の優先事項であると理解されているが、どのような形であれ禁止措置を実施するには相当な時間を要するだろう。
その間にランサムウェア攻撃が多発すると考えられるため、このガイドブックは政府が身代金支払い問題に対するより恒久的な解決策を模索するまでの暫定的な対策として位置づけられている。
ランサムウェアへの対処に関するアドバイスが広く普及しているにもかかわらず、組織が攻撃の標的になることは決してないと考えていることには依然として大きな問題があると専門家は考えています。あまりにも多くの組織が自らのリスクに目をつぶり、「自分には絶対に起こらない」という考え方をとっています。
NCSC と保険会社の間では、ランサムウェアのビジネス モデルを弱体化させるあらゆる対策は、それが永続的であるかどうかに関係なく、前進であるという見方が優勢です。
オズワルド氏は本日、サイバーUKでの開会演説で、信頼できる組織がサイバー犯罪集団に身代金を支払う行為を「暗い路地に使用済み紙幣が詰まったレジ袋を置くこと」に例えた。
「だからこそ、今日の保険業界との合意は非常に重要なのです」と彼女は付け加えた。
国家による攻撃がサイバー保険から除外されていることに不満ですか?保険金の支払い準備をしましょう
続きを読む
ABIなどの保険協会は、連合のガイドブックと同様のアドバイスを提供するインタラクティブなオンラインツールを既に提供しています。ABIのオンラインサイバーセーフティツールは、組織のセキュリティ体制を段階的に確認し、サイバーレジリエンス(回復力)を向上させるためのカスタマイズされた行動計画を作成します。
ABIの一般保険政策担当ディレクターのマーヴィン・スキート氏は次のように述べた。「NCSC、BIBA、IUAと協力してサイバーレジリエンスを強化し、ランサムウェア攻撃の影響を受けた顧客をサポートできることを嬉しく思います。」
「昨年、中小企業向けサイバーセーフティツールを発表したことに続き、今回の共同ガイダンスは英国全土におけるサイバー犯罪対策に向けた新たな前向きな一歩であり、NCSCと引き続き協力してこの共通目標に取り組んでいくことを楽しみにしています。」
ハントン・アンドリュース・カースのパートナーであるサラ・ピアース氏は次のように述べた。「間違いなく、ランサムウェア攻撃はここ数カ月増加しており、この取り組みは朗報です。
「身代金要求に応じるか否かを判断するための戦略的な検討を含め、このような攻撃が発生した場合の対応について顧客を指導することは常に緊迫した時期であり、経営幹部や上級管理職は時間に追われる環境で重要な決定を下すという極度のプレッシャーにさらされています。」
ピアース氏は、戦略的な考慮は様々だが、身代金要求に応じることは「サイバー犯罪者の活動拡大を促すだけだ」と付け加えた。®
