あなたはランサムウェアの攻撃を受けました：さて、どうしますか？

不確実な時代に確かなことが1つあります。それは、ランサムウェアのリスクが高まり続けていることです。 調査によると、検出された攻撃は前年比で715％増加しています。

これらの暴行の潜在的な被害は甚大です。ランサムウェアは、「身代金」が支払われるまで、ユーザーをITシステムから締め出します。 それでも、リスクにもかかわらず、多くの組織は依然としてランサムウェアに対するベストプラクティスの対応を作成することに苦労しています。

このようにする必要はありません。 ランサムウェアは脅威ですが、攻撃に効果的に対応できないリスクを冒す必要はありません。次に示すのが、あなたのビジネスが取るべき5つの即時のステップです。

1.回復して再開します

適切なリカバリソリューションにアクセスできるということは、壊滅的な状況が数時間で解消される可能性があることを意味します。数週間または数か月間閉鎖されたままになるのではなく、ビジネスは迅速に回復し、高レベルのビジネス継続性を維持できます。

ただし、アナリストのForresterによると、ランサムウェア攻撃から迅速に回復する準備ができている企業は4分の1未満です。研究者は、問題は多くの場合、従来のバックアップおよびリカバリ製品がサイロ化されたデータと不適切なリカバリプロセスを作成することであると述べています。

では、適切なリカバリソリューションはどのように見えますか？機械学習などの新しい技術を使用してバックアップデータの異常を検出するサービスを探してください。また、組織がデータスナップショットを大規模に回復できるようにするクラウドベースのバックアップも探してください。

専門家は、すべての組織がシステムを定期的にバックアップし、リカバリ計画の一部としてそれらのバックアップをテストする必要があることを認識しています。次に、ランサムウェアがネットワークに侵入した場合、サイバー犯罪者にお金を払うことなく、データを復元する方法があります。

2.何が起こったかを診断

何が起こったのかわからないとどうするか決めることができません。それは簡単なアドバイスのように聞こえるかもしれませんが、直面したランサムウェア攻撃の性質をしっかりと把握できる組織がいかに少ないかは驚くべきことです。

2017年のWannaCryランサムウェア攻撃は、150カ国で20万台以上のコンピューターに影響を与えたと推定されており、急速に広まったため、多くの組織が何が彼らをさらしたのか気づいていませんでした。よくあることですが、マイクロソフトの最新のセキュリティ更新プログラムをインストールしていない組織が攻撃の影響を受けました。

企業は、セキュリティの分析と診断により多くのリソースを割り当てる必要があります。ガートナーは、攻撃対象領域と、攻撃を防御するためのツール、プロセス、スキルの観点からセキュリティの回復力と準備の現状を判断するために、リスク評価と侵入テストを実施するよう企業にアドバイスしています。最新のデータ管理プラットフォームでは、セキュリティの脆弱性を管理者に事前に報告する機能を備えているものもあります。これにより、チームの時間を節約し、他のタスクに積極的に取り組むことができます

そして、考えられないことが起こった場合は、損傷を修復してその回復を開始し、それがどのように起こったかを理解するために、数歩先に進むことになります。

3.内部の利害関係者に警告する

診断の後には、一定期間の関与が必要です。 重要な情報が適切な利害関係者にタイムリーに届きます。 英国のGCHQインテリジェンスサービスのサイバーセキュリティ部門であるNationalCyber Security Center（NCSC）は、内部および外部の通信戦略を開発することの重要性を指摘しています。

コンサルタントEYは、組織にはIT、法務、コンプライアンス、人事、運用、コミュニケーションなど、適切なすべての利害関係者を含める必要があると述べています。 対応計画は、責任を明確に定義し、利害関係者が危機において効果的に主導できるようにする必要があります。

攻撃が発見されたらすぐに法律顧問を雇うことが特に重要です。 これらの専門家は、あなたが行う調査が精査に耐えることを保証し、組織がデータ保護とプライバシー規制に準拠し続けるのを助けます。

4.データ規制当局に通知する

実行する必要のあるアクションの種類は、インシデントの場所によって異なります。 さまざまな地域のデータ規制当局によって制定された法律に関連するさまざまな法定要件があります。 迅速に措置を講じることで、ビジネスが法的、財務的、評判への影響を制限するのに役立つ可能性があります。

組織は、個人を特定できる情報が影響を受けるかどうか、影響を受ける場合はその方法を理解する必要があります。 データが侵害された場合は、法律上の助言を求め、情報が失われたかどうかを評価する必要があります。 EUの一般データ保護規則などの主要な法律の対象となるように、規制当局や顧客に通知する必要性を考慮する必要があります。

ランサムウェア攻撃にハッカーが暗号化されていないデータを確認して取得し、システムがしばらく無効になっている場合、組織は規制当局と影響を受ける個人の両方にインシデントを報告する必要があります。

5.顧客とのコミュニケーション

ランサムウェア攻撃の潜在的な経済的および法的影響は十分に重大ですが、顧客とのコミュニケーション戦略を誤ると、顧客ベースとの関係に取り返しのつかない損害を与えるリスクがあります。

調査によると、ランサムウェア攻撃による信頼の打撃の程度は非常に重要であるため、影響を受ける企業の文化は二度と同じになることはありません。それでも、ランサムウェアの影響を受けた組織でさえ、顧客がインシデントを透過的、有能かつ効率的に処理する限り、顧客を維持することができます。

ランサムウェア攻撃が成功すると、電子メールやインターネットベースのVoIPネットワークなどの主要な通信チャネルの一部が閉鎖される可能性があります。モバイルデバイスを介してカスタマーサービスラインに人員を配置するなど、顧客に情報を提供し続ける方法を見つけることは、顧客の懸念の一部を軽減するのに役立ちます。一方、ソーシャルメディアツールを使用して、定期的な更新をプッシュできます。

オープンで正直であることは最善のアプローチです。ランサムウェア攻撃中に最も効果的に通信する企業は、これらのタイプのシナリオに対する緊急対策をすでに検討、計画、および特定している企業です。

まとめ

ランサムウェア攻撃が成功すると、組織とその利害関係者および顧客との関係に大混乱が生じます。 ただし、損傷は深刻な場合がありますが、回復不能である必要はありません。 適切な手順を迅速に実行することで、組織は考えられていたよりも早く稼働することができます。