株主や取引先などさまざまなステークホルダーを抱える事業体として、倫理的にも理屈的にも身代金は支払うべきではないが、その状況にならないとわからないとするセキュリティ責任者が49%にものぼる。事業への影響や復旧の難易度などから、被害に遭った場合には現実問題として難しい判断や対応が求められる。
身代金を支払った場合、そもそも悪事を働いているサイバー犯罪者が約束を守るのかという疑問もあるだろう。インターネット上に機密データが公開されないように、身代金を支払ってデータの削除を要求するという手段もある。身代金が支払われた後にサイバー犯罪者がデータ削除の証拠を被害者に提示してきたケースは58%に止まっている。中には、証拠を提示してきたものの、削除されていたのはごく一部のデータだけだったというケースもある。つまり、バックアップにしても身代金の支払いにしても、正常な状態に戻ることを100%保証できるものではない。
実害発生後の迅速な対応は、事前準備にかかっている
ランサムウェアのように恐喝を行うサイバー犯罪は判断や対応が難しい脅威となる。身代金の支払いは最終的にはビジネス判断となるが、前述のような被害再発の可能性や、犯罪者や制裁対象国への資金提供から法規制に抵触する可能性もある。身代金を支払ったとしても事態が解決しない可能性も十分にある上、社会的に批判の対象となる可能性もあり、総合的な判断が求められる。
事故対応は時間との戦いでもある中で、対応方針に対する考えがステークホルダー間で真っ向から対立して紛糾することも考えられる。身代金支払いに対する方針から対応判断に関する最終的な意思決定者、システム・データ復旧の方法まで、対応方針や体制を平時に整備しておくことが不可欠だ。大規模な震災の続発を受けて整備が進む防災グッズや避難訓練、避難先の決定などと理屈は同じだ。
セキュリティインシデントが発生した際に相談するセキュリティの専門家も、リテーナー契約であらかじめ確保しておくことが肝要で、ランサムウェアの対応にあたっては特に重要になる。事故が発生している最中に支援を要請する先のセキュリティ専門家を評価、検討している時間的余裕、精神的余裕はないだろう。事故や事件に巻き込まれれば110番、火災や急病の場合には119番を呼ぶことと同じ理屈だ。身代金の支払いを検討するにしても、専門知識なしに直接サイバー犯罪者とやりとりすることは危険であり、専門家に対応を任せることが不可欠だ。
サイバー保険を契約している場合には、保険会社が契約しているセキュリティ専門家に支援を依頼することができる。しかし、利用条件やサービス提供開始までに要する時間などの制約がある場合もあり、対応費用がサイバー保険でどこまでカバーされるのかも含め、詳細を事前に把握した上で保険会社の契約先か自社で契約した専門家かを確定させることだ。
