長年にわたりITの中でもニッチな問題と見なされてきたサイバーセキュリティは、今や世界中の取締役会で話し合われるほどの、大きな課題となっています。だからといって、サイバーリスク対策に関して、役員全員で話し合っている訳ではありません。私のようなCFOは、攻撃により財務的な莫大な影響が組織に与えられうるにもかかわらず、重要なセキュリティの決定に関して発言権を与えられていないことが多いのです。
この問題をより定量的に把握するため、私たちはSapio Researchに依頼し、英国に拠点を置くビジネスリーダーや意思決定者がサイバーリスクをどのように捉えているか、またランサムウェアの支払いなどの重要問題において、リーダー達がどのような役割を果たしているかを調査しました。
その結果、管理職のリスクに対する見方やコミュニケーションにおいて、非常に危険な断絶があることが浮き彫りになりました。
セキュリティに関する重要な意思決定において、CFOは関与する必要がないのでしょうか。
私たちの調査で明らかになった顕著な傾向の1つは、CFOがサイバーリスクに関する重要な戦略的決定にほとんど関与しておらず、しばしばセキュリティ予算を承認するだけの役割となっていることです。サイバーリスクの決定や、脅威から組織を守るための計画に積極的に関与していると答えたCFOは、わずか12%でした。
CFOの存在感の薄さは、ランサムウェアに関しては特に顕著です。身代金を支払うかどうかの判断は、企業にとってとても難しいセキュリティ上の判断の1つであり、企業のモラルに大きな影響を与え、銀行の残高にも大きな影響を与えます。しかし、金銭的な影響があるにもかかわらず、支払うかどうかの最終決定に関与しているCFOはわずか14%でした。
CFOが関与しないことは、サイバー脅威の財務リスクの算出に影響を及ぼします。さまざまな職務に携わる全回答者の38%は、自社のデジタル資産とその侵害による財務的影響に金銭的価値を見出すことができると確信していました。しかし、半数近く(48%)の回答者は、自分の評価がどの程度正確かわからない、あるいはリスクを正確に評価していないなどの理由で、自信がないと回答しました。
この調査では、会社のリスクへの備えのとらえ方にも大きな隔たりがあることもわかりました。CFOのわずか14%のみが、自社のビジネスがサイバー攻撃に耐える十分な準備が整っていると回答しました。これとは対照的に、CEOと企業経営者の63%は、自社のセキュリティ能力に自信を持っていました。
Sapien CyberのCEOであるGlenn Murrayがセキュリティ雑誌に寄稿したこの見解は、このトレンドの断絶の危険性を浮き彫りにしています。
「セキュリティチームやその幹部が、予算に対する支出の削減に基づいて報酬を受けることは珍しくなく、毎年小銭を稼ぐという憂慮すべき文化が醸成されています。このような短期的な思考は、組織を危険にさらし、データ漏洩からシステム ハッキングに至るまであらゆるリスクにさらされているのです。CFOを含む役員は、サイバー攻撃が財政的にも評判的にも壊滅的な影響を与えることを認識し、この新しい時代のサイバー犯罪者から「王冠の宝石(収益性の高い事業部門や重要資産を指す)」を守るために、より良い立場に立つことができるでしょう。」
ほとんどの企業は身代金への備えができていない
ランサムウェアは、このリスクに対する意識と信頼感のミスマッチを示す最も顕著な例の一つでした。回答者の61%が、自社がランサムウェアの攻撃を受けたことを認めており、56%が身代金要求を支払っています。
身代金を支払った回答者の多くは、不愉快な思いをしています。回答者は、システム復旧のために平均して約76万ポンド支払うと回答していますが、実際に支払った人の平均は300万ポンド強でした。さらに悪いことに、要求に応えた組織のうち、攻撃者からすべてのデータを取り戻せたのは32%の組織にすぎませんでした。
より興味深いインサイト
組織もサイバー犯罪者同様に、利益を上げることに執着しています。深刻なサイバー攻撃を受けると、莫大な身代金要求の可能性を考慮する前でさえも、顧客や業務時間の損失、規制当局への罰金、インシデント対応費用など、莫大なコストが発生します。
CFOがサイバーセキュリティの専門家である必要はありませんが、組織のサイバー脅威への対応、潜在的な侵害の財務的影響、企業のリスクレベルを正確に把握するためには、CFOも同じテーブルにつき、関わる必要があるのです。
詳細については、このレポート(英語)の調査結果をご覧ください。