Keeper Security APACは10月10日、「サイバー攻撃による被害調査:インシデント報告と情報開示」に関する調査結果を発表した。今回の調査結果から、サイバーセキュリティ攻撃と侵害の報告において、社内経営層および外部機関の両方において十分な対応が取られていないケースがあることが判明した。

同調査では、サイバー脅威のリスクが増大しているにも関わらず、サイバー攻撃による被害の報告に関する体制が整っていないことが示された。

回答者の74%はサイバー攻撃による組織への影響を懸念していると回答し、40%が何らかの形でサイバー被害を経験したことがあると回答しているものの、多くの場合、社内の経営層および社外の適切な機関に対して侵害の事実が報告されずにいる実態が発覚した。

社外への報告に関しては、回答者の48%は、社外の適切な機関に報告されなかったサイバー攻撃を認識していると回答しており、社内への報告に関しては、サイバー攻撃の41%は社内の経営層に報告されなかったと回答している。

一方で、攻撃や侵害を経営層に報告しなかったことがあると回答した中の75%は、報告しなかったことに罪悪感を感じていると回答している。攻撃や侵害が経営層に報告されなかった理由としては、批判的な反応への恐れ、失念、誤解、不十分なサイバー文化といった要因が挙げられており、中でも「批判的な反応を恐れた」は最も多く43%に上った。

加えて、同調査では、長期にわたる財務的な損失やブランドの評判悪化を招く可能性があるにも関わらず、情報開示と透明性に欠ける慣行が見られる結果となった。報告しなかったことの主な原因は、組織の評判を傷つけることへの短期的な懸念(43%)と財務的な影響への恐れ(40%)となっている。

  • ,引用:サイバー攻撃による被害調査:インシデント報告と情報開示

    引用:サイバー攻撃による被害調査:インシデント報告と情報開示

また回答者は、組織の経営層がサイバーセキュリティ対応に強い関心を持ち、ITおよびセキュリティチームの役割を理解し、チームによる攻撃の報告と対処に必要なリソースとサポートを提供する必要があるとの声を寄せている。

回答者の48%は、「経営層はサイバー攻撃を気にかけていない」(25%)、または「対応しない」(23%)だろうと回答しており、回答者の22%は、情報漏えいを報告するための「体制が整っていない」との回答をしている。