2021年10月25日

業界データのリスクが高まり、「能動防衛」でセキュリティ問題を解く

医療業界のデータ漏洩の平均総コストは最大713万ドルで、データ漏洩要因の74%が内部関係者と関連している

近年、クラウド・コンピューティング、人工知能などの新興技術の発展に伴い、データの価値の発見と流通が加速し、データのセキュリティ問題も顕在化している。

2020年1月にはイギリス政府が未成年者2800万人のデータを流出させ、2020年4月にはドイツ政府がコロナウイルスをテーマとしたフィッシング攻撃で数千万ユーロの損害を受け、2020年6月にはアメリカの200以上の公的機関が96 gbのデータファイルを流出させ、2020年10月にはギリシャの大手通信会社がハッキングされた。ユーザーの個人情報が大量に流出し、2021年4月にはアップルのファクトリー「quanta」が国際的なハッカー集団revilの攻撃を受け、量産が予定されているmacbook proの図面を含む各種機密文書データをハッキングし、暗号化された身代金(約3億2000万元)を要求した。これらは、国民と社会の公益に脅威と損害を与えるだけでなく、関連する政府部門と業界の名声を著しく損なう。

全国政治協商会議委員、上海市情報セキュリティ業界協会名誉会長の談jianfeng氏は、データに価値があればリスクがあるが、程度や影響の結果が違うだけで、これは共通性であり普遍性の問題だと述べた。

では、業界の視点から見ると、現在、医療、金融、エネルギー、産業などのさまざまな業界では、どのようなデータセキュリティのリスクが存在し、どのような保護措置をとってリスクをコントロールすることができますか?

医療データは敏感性が高く、エネルギーや産業データは価値が高い

近年、データに対する脅威とリスクは急速に高まっており、米通信大手verizon社が発表した、81カ国が調査に参加した「2020年データ漏洩調査報告」(以下、リーク報告)によると、データセキュリティ事件の被害者の72%が大企業で、70%が外部からの侵入によるものだという。

業界によって、データの特徴や価値が異なるため、セキュリティリスクは異なる特徴を示し、被害の程度も異なる。中関村ネットワークセキュリティ及び情報化産業連盟理事、連盟データ及び情報セキュリティシンクタンク専門家の柳遵梁氏によると、業界のデータセキュリティリスクの大きさは2つの基本的な要素に依存し、1つはデータの価値の高さだ。2つ目は、データ漏えいの深刻さです。

例えば、医療業界、北京師範大学の法治の国際ネットワークセンター呉沈括執行主任は、医療業界の特徴は、その大量保有患者の健康のデータによると、これらのデータの敏感性が強いとプライバシー性、データの流出すれば、後続診療に影響を及ぼしかねない、が患者の生活や仕事にも悪影響を及ぼす。

広東工業大学の劉文印教授は次のように述べている。「データ流出に加えて、データ恐喝も医療業界でよく見られるデータセキュリティのリスクであり、深刻な脅威になるだろう」。この漏えい報告によると、ヘルスケア分野のランサムウェア攻撃が2年連続で全マルウェアの70%以上を占めています。

また、エネルギーと工業業界では、呉沈括氏は、エネルギーは国家の基礎的な戦略資源であるため、エネルギー業界のデータは、実際に国家の戦略的安全に関系していると指摘した。産業分野では、産業がますます製造生産性、競争力、革新力を向上させる重要産業となるにつれて、産業データの高価値性の特徴がますます顕著になり、産業データもハッキングの重点ターゲットとなっている。

今年5月、ランサムウェア攻撃で米国最大のパイプラインが閉鎖された。ハッカーは、暗号化してコロニア・パイプライン社のコンピュータ・システムをロックし、機密書類を盗み、ロック解除を条件に身代金を要求しようとした。同社は一時、エネルギーネットワーク全体の閉鎖を余儀なくされ、米国東海岸の燃料などのエネルギー供給に大きな影響を及ぼした。

産業・情報化部が発表した「産業ビッグデータの発展に関する指導意見」によると、中国のネットワークに接続された産業機器の34%に高リスクの脆弱性が存在し、これらの機器のメーカー、モデル、パラメータなどの情報が悪意のある手口で探知され、2019年上半期だけで5151万件に達した。

談剣前線氏によると、エネルギーと工業分野は比較的復雑で、それらは純粋な情報システムではなく、制御システムは物理世界と密接に相互作用しており、ひとたび制御システムが攻撃を受けると、軽い場合は品質事故や生産停止を引き起こし、重い場合は人身傷害さえも直接に現実社会における重大な災害や集団事件につながる。そのため、制御システムの生産データを安全に保つことは、エネルギーと工業企業にとって重要なこととみなされている。また、談剣鋒氏は次のように指摘した。近年、新興技術の台頭に伴い、スマートファクトリー技術が絶えず成熟しているため、これまで閉鎖的だったデータの壁が必然的に破られ、工業分野のデータセキュリティ圧力が急激に高まり、セキュリティ管理の挑戦がますます大きくなっている。

データ漏えいの85%は人的要因によるもので、ヘルスケア業界では従業員の不注意によるデータ漏えいが23%を占めています

では、これらの業界におけるデータセキュリティのリスクは何が原因なのか。全体的に見ると、外部からの侵入と内部リスクに分けられる。外部からの侵入は主に侵入者が十分な動機、エネルギー、機会を持っているため、一方で大きな利益を得ることができます。一方で、各業界のネットワークは比較的開放的であるため、外部からの侵入者にチャンスを与えている。

内部のリスクは、主に内部の人々は、外部のデータを提供することによって、利益を得るために危険なので、さまざまな誘惑を受けることができる、柳遵梁氏は述べた。

さまざまな業界では、データの特性によってセキュリティリスクの原因が異なり、85%のデータ漏洩が原因となっています。これには外部要因もあるが、それ以上に内部要因がある。

まさに、堅固な砦は内部から攻め込まれることが多いと語る。すでに開示されている事例を見ると、内部の人為的要因が74%を占めている。一方で、従業員の不注意による意図的な違反も重要な原因となっている。例えば、2020年のエンターテインメント業界におけるデータ漏洩の34%は従業員の不注意によるものである。ヘルスケア業界では、規制が厳しいにもかかわらず、従業員の不注意によるデータ漏えいが23%にも上っています。

一方で、個人の利益や腹いせのために故意に違反することもあります。ここ数年、個人の利益のためにデータが流出するケースが増えてきており、個人の怒りが噴出するケースも頻発しています。極端な表現は「パンククリッカロード」です。

ibmが発表した「2020年データ漏洩コストレポート」(以下コストレポートという。本報告書における年次は公表年を意味する。2020年レポートで分析したデータ漏えいは、2019年8月から2020年4月の間に発生しています。悪意のある攻撃によるデータ漏洩の割合が最も高いのは、テクノロジー、交通、小売、金融業界である。研究・公共部門では、人的ミスによるデータ流出の割合が最も高かった。また、システム障害は、環境保護や消費者業界におけるデータ・ホールの根本原因にもなります。

刘文印氏は次のように指摘した。企業にとって、データセキュリティのリスク事件が発生すれば、ユーザーに賠償するだけでなく、政府から罰金を払わなければならない。また、事後の法的コストやprコストもある。

刘文印氏によると、gdpr (generaldata protection regulation)の関連規定によると、データのプライバシー漏洩による違法な罰金は世界売上高の4%(最高2000万ユーロ)に達する。中国で近日中に発表される「個人情報保護法」の意見聴取稿では、企業の罰金は5%(最高5000万人民元)に達する。さらに個人責任者の責任と罰金を追加し、最高100万人民元までとする。

業界によって特徴が異なるため、データセキュリティリスクに対するコストは異なります。コストレポートによると、医療業界ではデータ侵害の被害が最も大きく、平均総コストが最も高いことが示されています。次に、エネルギーや金融サービス業もデータ価値が大きいです。

さらに、ヘルスケア、エネルギー、金融サービス、製薬などのように、より厳しい規制を受けている組織では、データ侵害の平均コストは、ホテル、メディア、リサーチなどの規制の少ない業界よりも著しく高くなっています。

情勢の変化に伴い、データセキュリティリスクの原因と原因も復雑化している。全体的に職場環境が開放的になると、ネットワークや情報システムの安全性や柔軟性が求められますが、これはある程度、新しいデータセキュリティの問題をもたらし、問題の原因分析を難しくします。

「積極的防御」こそが、業界におけるデータセキュリティの問題を解く鍵です

では、さまざまな業界がデータセキュリティのリスクに直面してどのような措置をとるべきかは、業界のデータセキュリティ問題の重要な課題でもあります。刘文印氏によると、現在、各業界ではデータ漏洩に対する解決策として、頭を痛めたり足を痛めたりすることが多く、データリスクが特定された場合に対応する解決策を講じることになっている。これらの「受動的防御」は遅れているし、システムや仕組みの問題を根本的に解決することはできない。

コストレポートのデータによると、業界ごとにリスクの特定には時間がかかり、その長さはまちまちです。金融業界ではリスクの特定に最短で177日かかりますが、ヘルスケア業界では最長で236日かかります。また、リスクが特定されてから、リスクをコントロールするのにも50日から100日程度の時間がかかります。

報告されたデータによると、各業界は、データリスクの識別から制御まで、基本的に200 ~ 350日の範囲内で、この時間が長いほど、データリスクがもたらす危害は大きくなります。一方、データ侵害に最もコストがかかる医療業界では、リスクの特定と管理に最長の時間が必要です。

そのため、リスクを発見して識別し、リスクをコントロールする従来のサイバーセキュリティ制御方式は通用しなくなった。中関村ネットワークセキュリティ及び情報化産業連盟副理事長、データセキュリティガバナンス専門委員会主任の劉暁韜氏は、データセキュリティのリスク問題を解決するには、事後に発生してから追跡するのではなく、業界の特徴に基づいて、標的を定めた「主体的」な防御手段を取るべきだと述べた。

例えばヘルスケア業界では、データに対して敏感性が高く、ハッカー攻撃を受けやすいという問題があり、データベースファイアウォールやデータセキュリティゲートウェイなどの対策で保護を強化することができる。医療データの価値が高く、データのゆすりに脆弱だったり、管理者の不注意からデータが流出したりするような問題に対しては、データ脱感作などの技術的手法が用いられます。

「たとえばエネルギー業界では、ナショナルネットのプラットフォームでデータが共有されているが、データのインターネット化は新たなリスクをもたらす」劉曉韜氏は次のように述べた。この問題について劉氏は、まずこれらのデータを整理し、データ状況認識やデータ管理運用プラットフォームを通じてプラットフォーム化した措置を運用し、さらにデータの暗号化やファイアウォールの手段を組み合わせることで、特別な保護を行うことができると考えている。

技術的な手段に加えて、データセキュリティの保護は管理されなければならない。データセキュリティは「3点で技術に依存し、7点で管理に依存する」。管理問題が重点であり、難点でもある。

谈の指摘が、防護データ安保リスク管理の面で、三から着手できる、一は政府のデータの安全に対する産業の育成や規制強化、二単位は政企貫くインターネット保安法、データの保安法および個人情報保護法など、関連法律を制定緻密详细なデータを安全管理制度を厳しく執行、データの階層分権管理をきちんと実施し、コアデータ漏洩のリスクを最小化する。第三に、企業は全員のネットワークの安全意識の教育訓練を強化し、従業員の関連意識と技能を向上させ、データの安全と防護の仕事を確実に行う。

新京報王春蕊

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です