Fifth of Government Workers Don’t Care if Employer is Hacked
2023/03/09 InfoSecurity — 説明責任を果たさない文化と、不十分なサイバー衛生と、限られたスタッフ・トレーニング・・・ このような傾向が、世界中の政府にサイバー・リスクの大きな嵐を生み出し、その一方では、深刻なデータ漏洩の可能性に対して、多くの職員が無関心になっていると、Ivanti は警告している。セキュリティ・ベンダーである Ivanti は、世界中の公共部門の職員 800人を対象にアンケートを実施し、新しい Government Cybersecurity Status Report を公開した。
この調査の結果として判明したのは、「自分の仕事ではない」という態度が、政府を過剰なサイバー・リスクにさらしていることだ。回答者のうち、自分の行動が組織のセキュリティ態勢に影響を与えることを認識している従業員は、わずか 34% に過ぎなかった。また 36% の回答者が、フィッシングEメールを受信しても報告したことがないと回答し、21% の回答者が、組織がハッキングされたとしても気にも留めないだろうと答えている。
さらに Ivanti は、お粗末なセキュリティ慣行が蔓延していることを明らかにした。回答者の 40% が1年以上にわたり同じパスワードを使用しており、34% が複数のデバイスで同じパスワードを使用したことがあり、12%が業務上必要のない機密情報にアクセスしたことを認めている。
Z世代/ミレニアル世代などの若い世代の回答者ほど、パスワードの衛生管理が不十分である可能性が高いことも判明している。
政府職員の 70%が、少なくともリモートワークの時間帯を持っていると推定され、サイバー・リスクが間違いなく高まっていることを考えると、ますます深刻な事態になっていると判断できる。
政府機関も、セキュリティ・テストに失敗している。Ivanti によると、雇用主が必須のトレーニングを提供していると答えたケースは平均で僅か 39%であり、パートナーやベンダーに対してトレーニング受講を義務付けていないケースは 29% になる。
さらに、17% の職員が、自分が犯したミスをセキュリティ・チームに報告することに抵抗感を持っていると回答している。また、5% の職員は、リンクのクリックや送金といったフィッシング被害に遭ったことがあると答えており、この影響は既に出ている。
Ivanti の Chief Product Officer である Srinivas Mukkamala は、政府職員がアクセスできる機密データを考慮した上で、この状況を緊急事態であると表現している。
彼は、「世界中の政府指導者は、この緊急性を認識し、ランサムウェアや誤った情報に対抗するために、重要な資産やインフラも保護を推進している。チームワークとしてのサイバー・セキュリティを重視し、適切なエクスペリエンスを可能にするプロアクティブなセキュリティ対策を提供しなければ、セキュリティ・チームと政府は、苦しい戦いに直面し続けるだろう」と述べている。
各国の政府職員を対象とする、とても興味深い調査が行われたようです。その結果が PDF レポートで提供され、ダウンロードも可能になっていますので、ぜひ、ご参照ください。業界全体とか、特定分野とか言われても、そこで目標とされる指標が分かりにくい場合がありますが、それが政府となると、誰もがイメージしやすいと思います。なお、文中のマップに示されるように、調査対象とされる 800人のうち 5% (40人) は日本政府の職員だと思われますが、レポート内に Japan が登場するのは、ここだけなのです。国別の統計グラスなども複数あるのですが、どこにも日本はいません。なぜなんだろうと、考えてしまいます・・・
IoT OT Security News 
You must be logged in to post a comment.