54% of Staff Would Reconsider Working for a Firm That Had Experienced a Cyber Breach, Research Finds
2022/10/26 DarkReading — 企業における半数以上 (54%) の従業員が、最近のサイバー侵害を経験した企業で働くことを、考え直すと回答している。サイバー・セキュリティ技術のプロバイダー Encore の、新しい調査結果には、そう記されている。
Censuswide の調査は、米国と英国の 100名の C-Level エグゼクティブおよび、100名の CISO、500名の従業員を対象にしたものだ。その目的は、サイバー需要への対応に関して、取締役会とセキュリティ・チームの間に残るギャップを明らかにすることだ。サイバー侵入を受けても、雇用主は全く平気と答えた社員は、わずか 3分の1 (33%) である。
調査対象となった C-Level の経営者の回答を見ると、過去 12ヶ月間に侵入されたことがあると、57% が回答している。しかし、大半の従業員は、そのことに気づいていない。そして、自分が所属する組織が、攻撃の犠牲になっていると捉えているのは 39% に過ぎなかった。
Encore の CEO である Brendan Kotze は、「サイバー攻撃による金銭的コストは、依然として企業を直撃する最大の懸念事項である。しかしセキュリティ・チームは、サイバー侵害はロングテールであることを理解している。また、従業員たちは、企業における倫理および価値や、一般社会からの包括的な信頼を失う危険性を学んでいる。市場における競争が激化しているが、その反面では、世界中の企業に対する厳しい警告が発せられている。サイバーリスクについて、従業員に秘密にしておくことは基本的に誤りであり、顧客への情報開示の遅れが影響を拡大することは言うまでもない」と述べている。
調査対象となった C-Level エグゼクティブにおいて、ほぼ半数 (41%) が、サイバー攻撃後のビジネスにおける最大の影響として風評被害を挙げ、34% が、顧客からの信頼を失うことだと述べている。
このように、昨年には多くの企業がサイバー攻撃を受けたと認めているのだが、調査対象となった CISO と C-Level 経営者の圧倒的多数 (92%) は、自社のビジネスは安全であると信じている。Kotze が必要と考える組織レベルでの意識改革とは、サイバー・インシデントや従業員/顧客データ・セキュリティを、他人事のように覗き込むのではなく、ビジネス運営の基本的な部分として扱うべきだという点に集約される。
「セキュリティが、誤った自信を助長するという、きわめて現実的な問題がある。リスクというものは、データとレポートを通じて対処されるべきものである。執拗な動機を持つ攻撃者から、ビジネスを保護するための確実な方法として、C-Level 幹部がセキュリティに投資し続けることがよくある。ある時点で測定できるセキュリティやサイバーセーフは重要でなく、継続的に取り組まれるべきものである」と述べている。
Kotze は、「顧客/投資家/従業員などの多様なステークホルダーたちに信頼を与える能力が、現代のビジネスにとって基本的なことである。信頼は成功の基盤であり、ビジネスを実現可能にするセキュリティにおいても、それは同じであるべきだ。自社の存在が危機にさらされているかのように、すべての企業が脅威に対応すれば、攻撃の阻止や迅速に対処も容易になっていく。もはや、サイバー・セキュリティだけでは不十分である。回復力を得るための仕組みを構築し、社内外での信頼を確立するために、サイバー・セーフティ・チャネルが必要なのだ」と結論づけている。
企業の経営陣が、サイバー侵害に対して鈍感であれば、まずはセキュリティ担当者たちが離反し、やがては一般の従業員たちも、そして、パートナーや顧客たちも、疑問を抱くようになるでしょう。この種の、最近の統計ベースの記事としては、10月18日の「フィッシング対策のコスト:IT/セキュリティ担当者の3割以上の時間が費やされる」が、とても興味深かったです。よろしければ、Encore の The True Cost of Cyber も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.