YouTubeの積読チャンネルで取り上げられていておもしろそうだったので読んでみました。ぶっちゃけこの動画を見れば内容がほとんどわかります。
ランサムウェア攻撃を受けた後に現場ではどのような混乱が起きるのかをまざまざと書かれた本でして、容易に想像ができる悲惨さから意外なことまでリアルに書かれています。
第3章までは起こった出来事を1日ずつ、さらに時間を分けて書かれています。少し間延びした感じにはなるのですが、現場ではその1日がとてつもなく大変なんだろうなというのがわかりました。
第4章以降はこの経験から教訓をまとめています。第3章まで読めば何が重要なのかは自ずとわかると思いますので、以降は結構読み飛ばしました。
最優先は資金調達
ランサムウェア被害は高額な身代金を払って暗号化されたデータを取り戻すか、バックアップを使って復旧する、もしくはすべて入れ替えてしまうという選択肢があります。
身代金を払っても犯人が応じる保証はありませんし、犯罪者に資金が渡るということで倫理的に良くないという意見もあります。身代金を払うかバックアップで元に戻せたとしても、バックドアが仕掛けられていれば再度攻撃を受ける可能性を考慮すると、サーバやパソコン、ネットワークをすべて入れ替えてしまうのが最も安全で、この著書の中でもその選択肢を取りました。
ただ、莫大な費用がかかるのは言わずもがなです。復旧だけでなく後述する社員のサポートなどにも大きな費用が発生することから、可能な限り借り入れをして資金調達をするべきと著者は主張しています。
多額の借り入れができる企業であればいいのですが、ギリギリでやっている中小企業だとこの損失で破綻するリスクがありますし、やはり大事の前の小事ということでセキュリティへの投資に出し惜しみはしてほしくないですね。
サイバー保険があるからといって安心できない
サイバー攻撃への備えとしてサイバー保険がありますが、すぐに資金源になるとは限りません。
保険会社にとって前例がないという理由で手続きが遅れたり、サイバー攻撃の責任が会社側にあると判断されないと保険適用にならないなど、保険適用が決定するまで3ヶ月かかったとのこと。
契約しているサイバー保険の内容をよく確認しておくべきだと思いました。サイバー攻撃を受けたことによる復旧にかかる費用と、ダークウェブなどへの個人情報や機密情報の流出、取引先への損害賠償など、さまざまなところに波及するのでどこまでが適用範囲であり、保険金がおりるまでのスピード感も重要です。
社員が疲弊していく
機器とネットワークの入れ替えで復旧すると言っても次の日に元通りになるわけがなく、長期間システムを使わない非効率的な業務が続きます。
そうなると残業もたくさん発生しますし、負担を減らすために宿やタクシーの手配、食事の提供など、社員を支えるためのコストも大きくかかります。
記憶に新しいアサヒのランサムウェア被害の記者会見で、社員は頑張ってしまうという話がありました。この話を聞いた時にこの本で書かれていたことを思い出しました。
これも社員をサポートするために資金が必要ということではありますが、事前の備えとしてBCP対策を見直す必要がありますね。
システム化することにより平時は便利ですが、サイバー攻撃や災害でシステムが止まると途端に業務が成り立ちません。アナログに切り替えられる部分は切り替えて必要な業務は遂行できるように計画をしておきます。そのためには業務の整理から始めないといけませんね。
被害者だけど加害者
取引先から補償を求められた社員は「被害を受けた側なのに、保証しなければならないのか」という声をあげたそうな。
サイバー攻撃を受けた企業は間違いなく被害者のはずなのに、それによって損害を受ける取引先や顧客があると加害者としても見られてしまいます。
とあるマガジンでサイバー攻撃やSNSでのトラブルにおける謝罪について特集が組まれていたのを思い出しました。
その記事では某乳製品メーカーの食中毒事件での会見で「わたしは寝ていないんだよ!」と発言したことを例に、少しでも「自分たちは加害者ではなく被害者である」という態度を見せた時点で失敗とのこと。
この件は逆ギレもいいところなのですが、サイバー攻撃の被害者であったとしても、ステークホルダに対して迷惑と損害を与えたことをお詫びする必要があります。
釈然としないかもしれませんが、そうするのが解決への近道ということを忘れないようにしたいです。
コメント