「今セキュリティに投資すれば後々大きな節約になる」その理由

本稿は2部構成でお送りするブログ シリーズの第2回です。サイバーセキュリティ インシデントへの対応にかかるコストと、インシデントの予防にかかるコストを細かく比較していきます。サイバーセキュリティの価値と、賢いお金の使い方を学びましょう。

従業員トレーニング

従業員、プロセス、テクノロジの中で、従業員は組織のセキュリティ対策において常に最も脆弱な要素です。組織には非常に詳細なセキュリティ対策プロセスと一流の技術ソリューションがあっても、従業員が適切なトレーニングを受けていなければ、セキュリティはほとんど無意味です。洗練され、新しく、業界に関連するサイバーセキュリティのトレーニング教材を従業員に提供してください。シンプルな資料や古いPowerPointスライドで十分であった時代は過ぎました。年次トレーニングや、従業員が入社時に修了する必要があるトレーニングを提供するだけでなく、組織文化にセキュリティ意識を確実に浸透させます。毎月、新しいモジュールの修了を要求し、頻繁にフィッシング キャンペーンを実施します。つまり、悪意のある電子メールを適切に報告した従業員に少額のインセンティブを提供することにより、動機付けを与えます。サイバーセキュリティの意識向上と従業員の全体的な知識に投資することは、長期的なセキュリティ体制を向上させるための最善の方法です。

規制要件の理解

時間をかけて、自社のビジネスが遵守しなければならない規制要件を理解します。組織がサイバーセキュリティ攻撃の被害を受けた場合、知らなかったと主張しても、CCPAやGDPRなどの規制に関連する高額な罰金を免れることはできません。自社のビジネスが特に複雑な環境を有し、多数の顧客情報や個人医療情報(PHI)を扱っている場合、最高プライバシー責任者またはvCISO (virtual CISO)を採用することが有益な場合があります。この責任者は、顧客データが適切に保護され、すべての適用される規制要件がビジネスによって確実に遵守されることに、特に重点を置く必要があります。

インシデント レスポンス手順の反復的な演習

「継続は力なり(practice makes perfect)」という言葉がありますが、インシデント レスポンスも例外ではありません。インシデント レスポンス計画をテストした組織のデータ侵害コストとテストを実施しなかった組織のコストを比較すると、平均約200万ドルのコスト削減が生じることが判明します。

しかし、多くの組織は、高速道路を時速100マイルで運転しながら、自動車を組み立てているような状況です。このような組織は事故に遭い、誰もどのように対応すべきかを知りません。

• インシデント レスポンス計画を3年間更新しなかった。
• 担当者の電話番号が正確ではない。
• サイバーセキュリティ保険に加入していなかった。
• 報告要件が明確になっていない。

このように、状況が悪くなる可能性は無限にあります。

サイバーセキュリティ インシデントに対するトリアージ作業は、極めてストレスの大きい体験です。少なくとも年2回の机上演習またはシナリオに基づく対話セッションを通じてインシデント レスポンス計画をテストすることにより、ストレスを軽減し、コストを節約してください。テスト演習の直後に必ず「教訓」について話し合い、適切に機能したインシデント レスポンス方法と見直しが必要な項目を特定します。最後に、対策を講じ、現行のインシデント レスポンス プロセスに対して提案された拡張または変更で、インシデント レスポンス計画および関連するポリシーを確実に更新します。

自らの弱点を知る

影響を受けやすいことを認識していない脅威から自らを保護することはできません。組織全体でサイバーセキュリティ リスクの評価を毎年実施して、従業員、プロセス、テクノロジについて検討します。米国国立標準技術研究所(NIST)やCybersecurity Framework (CSF)などの確立された業界フレームワークに基づいて、詳細なサイバー リスク評価を専門とする外部ベンダーの活用についても検討してください。特定されたリスクは、関連するリスクを十分に修復または軽減するために実施できる詳細な推奨事項に関連付ける必要があります。ほとんどの場合、評価結果と推奨事項は、優先順位の指定または戦略的実装ロードマップに組み込まれます。これらは、現在のセキュリティ体制に対して最も影響をもたらす方法を決定するために使用できる貴重なツールです。

攻撃に備えて復元可能なバックアップを作成する

本レポートで前述したように、ランサムウェアは2019年に第1位の攻撃手法でした。復元可能なバックアップがなければ、文字どおりビジネスの生殺与奪の権をサイバー犯罪者の手に渡すことになります。Unit 42が作成した2020年のインシデント レスポンスおよびデータ侵害レポートによると、増加しているインシデントには、バックアップの削除や無効化が含まれています。バックアップを定期的に作成してテストし、バックアップの復元プロセスについて十分に精通してください。最も重要な点は、ネットワークに接続されていない場所にバックアップを保管して、適切なセキュリティ対策で保護することです。これにより、アクセスした攻撃者がバックアップを無効化または削除して、復元を阻止することが不可能になります。

専門家の採用

すべてを単独で行う必要はありません。サイバーセキュリティ コンサルタントや社外パートナーと契約することは、組織がセキュリティに固有な専門知識を手に入れるための優れた方法です。サイバーセキュリティ コンサルタントは、現在のベスト プラクティスと業界トレンドに詳しいことが多いため、この分野で現在効果的なテクノロジに関して新しい洞察を提供できます。組織のセキュリティ ソリューションの強化を目指しているか、業界のベスト プラクティスに関して外部の観点を取り入れることだけを求めているかにかかわらず、社外の専門家との関係を築くと、強力なネットワークを利用できるようになります。

最終考察

セキュリティ侵害は、想定以上の被害をもたらす可能性があります。サイバーセキュリティ機能に先行投資する初期費用は高コストに思われるかもしれませんが、長期的には組織で多額のコストが削減される可能性が高くなります。サイバーセキュリティに対する戦略的な先行投資は、今日の複雑で危険なサイバー環境で成功することを望んでいる組織には不可欠です。

サイバー インシデントの予防・対策に関する支援が必要な場合は、infojapan@paloaltonetworks.comまでご相談ください。

このシリーズの第一回、サイバーセキュリティインシデントの本当のコスト: 問題編

資料

2020年情報漏えい時に発生するコストに関する調査

Unit 42が作成した2020年のインシデント レスポンスおよびデータ侵害レポート

Best Practices to Backing Up Data(データのバックアップに関するベスト プラクティス)

正式なインシデント レスポンス計画を策定する際の重要な検討事項

Proactively Investing in Cybersecurity Now Can Save Money Later

This is the second blog in a two-part series, breaking down the cost of dealing with an incident versus the cost of investing in cybersecurity to prevent an incident. Learn the value of cybersecurity and how to invest your money wisely.

Power-Up Your People

When it comes down to people, process and technology, people will always be the weakest link in an organization’s metaphorical security fence. Your organization may have the most detailed, security-forward processes and top-notch technical solutions, but if your workforce is not appropriately trained, your security might as well be non-existent. Equip employees with polished, emerging and industry-relevant cybersecurity training materials. Gone are the days when a simple handout or outdated PowerPoint deck is sufficient. Instead of issuing an annual training, or one that must only be completed when an employee is first hired, ensure that security awareness is built into your organization’s culture. Require a new module to be completed monthly. Run frequent phishing campaigns. Create excitement by offering small incentives for folks who successfully report malicious emails. Investing in cybersecurity awareness and overall knowledge of your workforce is the number one way to elevate your long-term security posture.

Understand Your Regulatory Requirements

Take the time to understand what regulatory requirements must be met by your business. If your organization becomes the victim of a cybersecurity attack, claiming ignorance will not save you from the monumental fines associated with regulations such as CCPA and GDPR. If your business has an especially complex environment with a large amount of customer information or Personal Health Information (PHI), it may be worth hiring a Chief Privacy Officer or vCISO. This individual should specifically focus on ensuring that customer data is appropriately protected, and that all applicable regulatory requirements are fulfilled by the business.

Practice, Practice, Practice Incident Response Procedures

They say that “practice makes perfect,” and Incident Response is no exemption to this rule. There is a savings of approximately $2,000,000 on average when comparing the data breach costs of an organization that tested their Incident Response Plan versus those who did not complete testing.

However, many organizations end up building the car while they are driving down the highway at 100 miles per hour. They are hit with an incident and no one has any idea what to do:

• The Incident Response Plan hasn’t been updated in three years.
• No one’s phone number is accurate.
• Cybersecurity insurance was never set up.
• Reporting requirements are not defined.

The possibilities of how things can go wrong are truly endless.

Triaging a cybersecurity incident is an incredibly stressful experience. Alleviate some of that stress and save money by testing your Incident Response Plan via Tabletop Exercises or interactive scenario-driven sessions, at least two times a year. Make sure to include a “Lessons Learned” hot wash after any testing exercises to identify what Incident Response methods worked well, and what could use some work. Finally, take action and ensure proposed enhancements or changes to current Incident Response processes are updated within the Incident Response Plan and associated policies.

Know Your Weaknesses

You can’t protect yourself against the threats that you do not know you are susceptible to. Execute an annual cybersecurity risk assessment across your organization, accounting for people, process and technology. Consider leveraging an external vendor that specializes in conducting in-depth cyber risk assessments against a respected industry framework, such as the National Institute of Standards and Technology (NIST) and Cybersecurity Framework (CSF). Identified risks should be associated with an in-depth recommendation that can be implemented to either fully remediate or mitigate the associated risk. In most cases, findings and recommendations are accommodated by a priority designation or strategic implementation roadmap—these are invaluable tools you can use to determine how to make the most impactful mark on your current security posture.

Don’t Get Caught Without Viable Backups

As mentioned earlier in this report, ransomware was the number one compromise method of 2019. Without viable backups, you are quite literally putting the livelihood of your business into the hands of cyber criminals. According to Unit 42’s 2020 Incident Response & Data Breach Report, an increasing number of incidents have included the deletion or disablement of backups. Regularly create and test backups. Be intimately familiar with the backup restoration process. And most importantly, ensure that backups are stored off-network and are protected by appropriate security measures, so threat actors cannot gain access and disable or delete backups to prevent recovery.

Bring in the Experts

You don’t have to do it all alone. Engaging a cybersecurity consultant or external partner is a great way to introduce security-specific expertise into your organization. Cybersecurity consultants are often privy to best practices and industry trends of the moment, so they will be able to offer new insights regarding what is currently working in the field. Forming relationships with outside experts will equip you with a strong network to tap into whether you are looking to bolster your organization’s security solutions or just gain an outside perspective regarding industry best practices.

Final Thoughts

Breaches are expensive, and likely more expensive than you thought they would be. While the up-front costs of proactively investing in cybersecurity capabilities may seem expensive, they are likely to save organizations significant amounts of money in the long run. Strategic proactive cybersecurity investments are imperative for organizations that wish to flourish in today’s complex and dangerous cyber landscape.

To get help preventing and combating cyber incidents, contact the Unit 42 Incident Response team.

Read the first part of this series, The True Cost of Cybersecurity Incidents: The Problem.

Resources

Cost of a Data Breach Report 2020

2020 Unit 42 Incident Response & Data Breach Report

Best Practices to Backing Up Data

Key Considerations When Building a Formal Incident Response Plan