Ransomware Often Hits Industrial Systems, With Significant Impact: Survey
2022/02/03 SecurityWeek — 木曜日に、OT および IoT のセキュリティ企業である Claroty が発表したレポートによると、ランサムウェアによる攻撃が、産業用制御システム (ICS:Industrial Control Systems) や運用技術 (OT:Operational Technology) 環境におよぶケースが増え、大きな影響を与えているようだ。Claroty のレポート Global State of Industrial Cybersecurity は、米国/欧州/APAC などの地域の IT/OT セキュリティの専門家1,100人を対象とした、Pollfish 調査に基づくものである。この調査は 2021年9月に実施され。回答者の半数以上が年間売上高が $1 billion を超える企業に勤務している。
回答者の約80%が、過去1年以内に、自身が所属する組織がランサムウェア攻撃を受けたことがあると認め、約半数が ICS/OT 環境に影響を与えるインシデントだったと回答している。運用への影響がなかった、または、最小限の影響だった答えた回答者は僅か 15% であり、50% 近くが大きな影響があったと答えている。また、7% の回答者は、インシデントの結果として、1週間以上にわたる完全なオペレーション停止が発生したと答えている。
サイバー攻撃に関する開示は、ほとんどの場合において、当局と株主の両方に行われているが、誰にも知らせなかったとする企業も一部にはあったようだ。今回の調査では、60% 以上が身代金を支払ったことがあると回答し、ランサムウェアに対する支払いの常態化が確認されている。また、ハッカーに支払った金額が $1 million を超えたと答えたのは 20%であり、この中には $5 million 以上を支払った 7% 近くが含まれている。
ランサムウェアの支払いについては、ここ数年で、さまざまな議論がなされてきた。米国政府は、支払いを斡旋する業者に対して行動を起こし、法的な影響の可能性について警告を発している。最近に提出された法案では、ランサムウェアの支払いについて報告することが、組織に対して義務付けられている。
Claroty の調査に参加した個人のうち、28% がランサムウェアに対する支払いは合法であり、当局への報告を義務付けるべきではないと考えている。その一方で、41% 以上は、規制当局への報告がある場合に限り、この種の支払いを合法化すべきだと考えている。約20%は、ランサムウェアに対する支払いを、違法とすべきだと考えている。
回答者の 65% 近くが、IT/OT システムに関わるインシデントを、政府の規制当局に報告することを義務付けるべきだと回答した。また、ダウンタイムが自社の収益に与える、時間当たりのコストを尋ねたところ、8%が $5 million 以上、14%が $1 million〜$5 million と回答した。
従業員のスキルについては、OT/ICS 環境のサイバー・セキュリティを管理する能力が、自社の IT セキュリティ専門家にはあると、回答者の大多数が考えているようだ。しかし、40% は、産業用サイバー・セキュリティの専門家を、緊急に増員する必要があると回答している。
回答者の 80%以上が、パンデミックが始まってから、ICS/OT セキュリティの予算が増加したと回答している。さらに、Colonial Pipeline を襲ったランサムウェア攻撃により、サイバー・セキュリティの優先順位が高まり投資が増加したと、多くの人が認めている。
Claroty のレポートでは、デジタル・トランスフォーメーション/リモートワーク/サイバー・セキュリティに対して、また、意思決定/投資と優先順位/ベスト・プラクティスに対して、COVID-19 パンデミックが与えた影響についても取り上げている。
産業用制御システム (ICS) や運用技術 (OT) に関連する記事が、増えてきているように思えます。年明け早々の1月2日に「Honda と Acura の車両に Y2K22 バグが発生:ナビが 2002 年にリセットされた」があり、1月7日には「FBI 警告:米国の防衛産業を標的に悪意の USB デバイスが郵送されている」がありました。また、2021年12月15日には「Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで」という記事があり、産業系システムが隔離されているという考え方は、もはや通用しないという状況になってきたようです。
IoT OT Security News 