過去10年間で,産業サイバーセキュリティリスクに対する懸念の度合いに大きな変化があった.エネルギー,公益事業,製造業の経営幹部は,以前は,重大な安全リスクや環境リスクに対して抱いていたような,潜在的なサイバー攻撃に対して眠れなくなることはなかった.プラント・レベルでは,オペレータは,マルウェアに対する防御はエアギャップと独自技術で十分であり,サイバー・フィジカル・プロセスへの攻撃はほとんどあり得ないと考えていた.
早いもので今日,産業部門はますます急速なスピードでプロセスのデジタル化と自動化を進めている.接続されたシステムは新たな価値をもたらし,生産性を向上させる一方で,サイバーリスクにさらされることになる.世界のリーダーやC-suiteによるサイバー脅威への懸念が加速していることは明らかである:
Nozomi Networks で,当社のテクノロジー・ソリューションは,OT ネットワークとそのリスク・エクスポージャーを完全に可視化することで,重要インフラのサイバー耐障害性と運用信頼性を向上させます.OT
残念ながらサイバー攻撃に伴うレピュテーション・リスクの管理という課題に対処するため,企業のレピュテーション・マネジメントのリーダーであるスタンディング・パートナーシップ社を招き,危機への備えのベスト・プラクティスを共有してもらいました.
リスクを管理し,組織の評判を守るには
危機と無縁な組織はない.
データ漏洩はしばしば潜在的脅威のリストのトップに挙げられる.Standing Partnership/Edison Researchが1,000人以上の経営幹部を対象に行った調査では,34%がITとセキュリ ティの問題が過去に評判の問題になったと回答しており,半数以上が今後も同様の問題が発生すると予 測している.
エネルギー部門は特に脆弱である.ロシアのハッカーが米国のエネルギー企業に対して仕組んだサイバー攻撃に関する最近の暴露は,危機への備えがいかに重要かを強調している.シスコによると,いわゆる分散型サービス妨害(DDoS)攻撃の件数は,2021年までに310万件に増加すると予測されている.
企業は,危機を経験したかどうかではなく,危機にどう対処したかで判断されることが多くなっている.
リスクとクライシスの違いと気にかけるべき理由
クライシスは外的要因と内的要因によって引き起こされる.自然災害はコントロールできない外部からの脅威ですが,それでもスピードと透明性をもって対応することが重要です.
一方,防ぐことができたはずの意図的な悪行や過失(サイバーセキュリティ対策の不備や非倫理的な行動など)に起因するインシデントは,ステークホルダーにとって「乗り越える」のが難しく,多くの場合,風評被害につながります.
すべてのリスクが危機を引き起こすわけではありませんが,知っていて対策を講じるべきだったリスクは,損害を引き起こす可能性が最も高いものです.
例えば,サイバーハッキングは企業がコントロールできない脅威である.しかし,そのリスクを認識することで,組織はIT/OT インフラと運用方針を評価し,抜け穴を特定して閉鎖し,タイムリーで効果的な通信対応の手順を確立することができる.
備えあれば憂いなし
危機への対処を誤ると,その影響は広範囲に及ぶ.
サイバー攻撃による損失は数百万ドルに上ると報告されており,メルク社:7億8000万ドル,マースク社:3億ドル,フェデックス社:3億ドルとなっている.危機への備えに関する取り組みが消極的なものであれば,アクセンチュアが発表したサイバー犯罪の組織あたりのコスト1170万ドルを持ち出してみよう.
危機への備えのベストプラクティス
では,どのように危機に備えればよいのだろうか.何を言うか,どのように言うか,そしてどのようなチャネルを通じて言うかは,顧客やステークホルダーの信頼を高めることも,低下させることもあります.幸いなことに,組織が従うことのできる危機への備えのベストプラクティスがある:
- すべての危機対応計画を整合させる
既存のすべての方針,事業継続計画,業務計画,コミュニケーション計画に加え,組織が直面す るリスクの概要をまとめた報告書をまとめる.それらがどの程度最新であるかを判断し,ギャップをリストアップする.
↪CF_D↩
危機対応チームには,安全,業務,法務,IT/OT ,カスタマーサービス,コミュニケーション,人事など,業種に よっては組織全体の代表者を含める.- 事業や業種によって異なる.本社と遠隔地に事業部門がある場合は,各拠点から誰をチームに参加させるかを決めてください.連絡先が最新であること,各メンバーにバックアップがいることを確認する.
組織に影響を与える可能性の高いシナリオへの対応を盛り込んだ危機対応計画を文書化しておくことが最善である.典型的な計画には,対応チームのリストと責任,重大性の評価基準,意思決定手順,キーメッセージ,連絡チャネルのリスト,社内外へのアナウンス,メディアへの発表,社会的な投稿,プレスリリースなどの連絡事項のサンプルが含まれています.計画があれば,危機発生時に二の足を踏むことがなくなり,対応が迅速になります.
6~12カ月ごとに見直し,更新するのが理想的である.- チームを訓練する
訓練のない計画に大した価値はない.少なくとも年に1回は,部門横断的な危機対応チームを集めてコミュニケーション・プランを実行し,メンバーがストレスの高い状況でもシームレスに実行できるようにする.
組織の評判を守りながらOT のリスクを管理する
OT のリスクを評価・管理し,企業ブランドを守るためには,備えが鍵となる.
