サイバー攻撃がビジネスに及ぼす影響

ハーバードビジネスレビューのとても興味深い記事。IBMやベライゾンの調査データを用いて、日々起こっているサイバー攻撃がビジネスに影響を及ぼすかがまとめられている。

The Devastating Business Impacts of a Cyber Breach

サイバーリスクが急増している。最新のIBMデータ侵害レポートは、驚くべき83%の組織が2022年に複数のデータ侵害を経験したことを明らかにした。

2022年のベライゾンデータ侵害調査報告書によると、ランサムウェア攻撃の総数は13%急増し、これは過去5年間を合わせた増加に匹敵する。ITガバナンスの1月、2月、3月のデータによると、過去3ヶ月間だけで発生した少なくとも310件のサイバーインシデントの公開により、状況の深刻さは引き続き明らかです。

これらには、使用したオープンソースライブラリのバグにより、ChatGPT Plus加入者の1.2%の支払い関連情報やその他の機密情報を公開したOpenAIのChatGPTが含まれます。さらに、サムスン半導体は、従業員がChatGPTを使用する際に誤って会社情報を漏洩した3つの事件を記録しました。

リップル効果を伴う時価総額で失われた数十億ドルは一般的です

サイバーインシデントは、特に短期的には、組織の株価を沈める可能性があることはよく知られています。上場企業は、データ侵害の後、平均時価総額54億ドルの損失と相まって、株価が平均7.5%下落しました。さらに懸念されるのは、これらの企業が株価を違反前のレベルに回復するのに平均して46日かかったという事実です。

重要なことに、このような影響はサプライチェーン全体に反響し、企業のビジネスエコシステムに最大26倍の損失を引き起こす可能性のある波及効果を生み出す可能性があります。例えば、今年の1月31日のION Trading Technologiesに対するランサムウェア攻撃により、金融機関は手動で取引を確認するためにスクランブルしました。同様に、Oktaへのサードパーティサプライヤーのセキュリティ侵害は、事件が公開された週に同社の時価総額から約60億ドルを削った。言い換えれば、あなたは最も弱いリンクと同じくらい良いだけです。

長期的な影響が出現しており、予想以上に大きくなる可能性があります

株価の変動は一部の幹部が管理するのは簡単かもしれませんが、サイバーインシデントが企業に及ぼす永続的な影響はますます明らかになっています。

まず、サイバーインシデントは企業のリソースを直接消費し、ビジネスを行うコストの増加につながります。2022年、データ侵害の世界平均コストは435万ドルに達しましたが、米国では2倍以上で、平均944万ドルです。これらの費用には、身代金の支払いや収益の損失から、ビジネスのダウンタイム、修復、弁護士費用、監査手数料まで、すべてが含まれます。たとえば、データ侵害に続く企業の監査手数料は、侵害のない企業よりも約13.5%高くなる可能性があります。何百万ドルもの損失は小さな会社を破産させる可能性がありますが、公開会社にはあまり影響を与えませんが、攻撃者は一般的に大企業により多くの問題を引き起こすのに十分な「スマート」です。例えば、ランサムウェア攻撃は医療部門にはるかに大きな財政的影響を与え、2021年のダウンタイムだけで78億ドル以上が失われました。

インサイトセンターコレクション

サイバーリスクの管理

課題と解決策を探る。

さらに、これらのコストは顧客や投資家に引き継がれる可能性があり、企業の市場ポジションを維持する能力が制限されます。たとえば、データ侵害を経験した組織の60%が価格を引き上げました。平均して、重大なデータ侵害事件を経験している企業は、1年後にNASDAQを8.6%下回り、このギャップは2年後に11.9%に広がる可能性があります。

さらに、サイバーリスクは信用格付けの格下げをもたらし、資金調達を確保する企業の能力とコストに影響を与える可能性があります。たとえば、サイバーセキュリティ慣行が弱い企業は、ムーディーズが2018年に信用格付けを割り当てる際に企業のサイバーセキュリティ慣行を評価すると発表したように、借入コストの上昇と財務リスクの増加に直面する可能性があります。実際、ムーディーズは、2017年に発生したエクイファックスのデータ侵害に続いて、2019年にエクイファックスの信用格付けを引き下げました。

サイバー犯罪があなたの収益を傷つけないように

サイバーインシデントの影響は短期的な株価の引き下げを超えていることは明らかであり、幹部は長期的な影響に備えることが必要です。すでに実施されているサイバーセキュリティ対策をリードし、計画的な改善にピボットし、消防訓練を実践するなど、体系的な対応戦略と積極的な顧客の態度は、サイバーインシデントの悪影響を減らすのに効果的であることが証明されています。長期的な視点に備えるために、幹部が行うべき2つの重要な取り組みは次のとおりです。

サイバーセキュリティチャンピオンを取締役会に置く

これは、幹部が会社を保護するために引き受けるべき最初のタスクです。このようなチャンピオンを持つことは、サイバーインシデントへの対応に役立つだけでなく、サイバーセキュリティを戦略的フロントとして維持し、サイバーセキュリティの知識を取締役会に伝えることもできます。

今日、サイバーセキュリティは、効果的なコミュニケーションを通じて、サイバーセキュリティを取締役会の最優先事項にし、機敏な管理プロセスを開発するなど、運用環境にはるかに組み込まれています。CIOまたはCISOがサイバーセキュリティの責任を負うだけでなく、関連する専門知識を持つCEOまたはCFOは、サイバーセキュリティリスクを効果的に軽減し、企業をサイバーインシデントから遠ざけることができます。

長期的なサイバーセキュリティ戦略を策定する

幹部が引き受けるべき2番目の重要な取り組みは、短期的な反応的なアプローチではなく、長期的なサイバーセキュリティ戦略を採用することです。サイバーリスク管理への投資は、短期的には収益を生み出すリソースに影響を与える可能性がありますが、長期的には報われます。

5,882件の米国の病院を対象とした調査では、ITセキュリティを実質的に採用し、単に象徴的な採用者ではなく、プロセスや構造に深く統合した病院は、データ侵害の37.8%を効果的に削減できることがわかりました。専用のCISOを持ち、定期的な監査を実施し、脅威共有プログラムに参加するなど、より良いサイバーセキュリティポリシーを持つ企業は、7日以内に株価を回復できます。逆に、セキュリティ姿勢が悪い人は、回復にはるかに時間がかかり、平均90日かかることがあります。

従業員は常にサイバーセキュリティリスクを軽減するための最前線であるため、サイバーセキュリティは組織全体の優先事項であるべきです。サイバーセキュリティは、すべての従業員の職務内容の一部であるべきです。従業員がエラー修正のために極秘のソースコードをChatGPTに提出したサムスン半導体のデータ侵害事件をもう一度考えてみましょう。この事件は技術的な弱点によるものではなく、むしろ文化的および運用上の問題でした。強力なサイバーセキュリティ文化は、従業員がこのような意図しないサイバーインシデントを回避し、ChatGPTのような最先端のデジタルイノベーションの利点を同時に活用できるようにするのに役立ちます。

. . .

サイバーセキュリティのリスクはより体系的で深刻になっています。サイバー攻撃がビジネスに及ぼす短期的な影響は非常に深刻ですが、競争上の優位性の喪失、信用格付けの低下、サイバー保険料の上昇など、長期的な影響はさらに重要になる可能性があります。彼らは無視されるべきではない。企業がこれらの懸念に効果的に対処するためには、組織のトーンを設定し、すべての組織の優先事項であるべき長期的なサイバーセキュリティ戦略を開発するために、取締役会にサイバーセキュリティチャンピオンがいる必要があります。

Companies' Stock Value Dropped 7.5% after Data Breaches

過去3年間の上位3つの違反を分析した後、Bitglassは、データ侵害の余波で、株価の下落が上場企業にとって識別可能な顕著な影響であることを発見しました。

レポート「Kings of the Monster Breaches」は、2018年のマリオット違反、2017年のEquifax違反、Yahoo!を具体的に見て、不適切なセキュリティによる広範な損害を特定しました。2016年の違反。これらの上位3つの違反は個人に広範な影響を与え、報告された平均数は2億5,700万人が各違反によって直接影響を受けました。

調査によると、これらの違反には、平均3億4700万ドルの弁護士費用、罰金、修復費用がかかりました。「マリオットはGDPRのコンプライアンスを求めながら違反を発見した。同社は現在、規制の下で9億1200万ドルの罰金を科せられている」と報告書は述べた。

トップの侵害は、外部の攻撃者がフィッシングキャンペーンを採用したり、マルウェアを使用したり、技術的な脆弱性を悪用したりしたことに起因しました。「この脆弱性により、ハッカーは社会保障番号、クレジットカード番号、フルネーム、生年月日、自宅住所などの機密データにアクセスすることができました。違反が発見されるのに約2ヶ月かかりました。報告書によると、同社のCSOであるスーザン・モールディンとCIOであるデビッド・ウェッブは、セキュリティ失効が発表された直後に退職した。

上場企業は、株式価値が平均7.5%下落し、企業あたり54億ドルの平均時価総額損失を被り、これらの株価が違反前のレベルに戻るのに平均46日かかったと伝えられています。今日まで、エクイファックスの株価はまだ回復していません。

「過去3年間で最大の違反は、世界中の大企業とその利害関係者に大規模で取り返しのつかない損害をもたらした」と、Bitglassの最高マーケティング責任者であるRich Campagnaは述べた。

「これは、世界中の組織への厳しい警告として役立つはずです。一見無限のリソースを持つ大規模な企業が外部攻撃の犠牲になっている場合、あらゆる規模の企業はサイバーセキュリティの取り組みに警戒する必要があります。セキュリティに積極的なアプローチをとることによってのみ、侵害を防ぎ、データを本当に安全に保つことができます。」

https://pages.bitglass.com/rs/418-ZAL-815/images/CDFY19Q2KingsoftheMonsterBreaches.pdf?utm_source=email&utm_campaign=CDFY19Q2KingsoftheMonsterBreaches