2024年7月のサイバーセキュリティトップニュース記事

2024年の半分が過ぎましたが、すでに多くの侵害やランサムウェア攻撃が発生しています。過去とは異なり、これらの攻撃は組織だけでなく一般の人々にも被害をもたらしています。

セキュリティチームは、強さを保ち、業務を保護するためのより良い方法を見つけなければならないというプレッシャーにこれまで以上に直面しています。政府や規制機関は、デジタル世界を安全に保つためにはより強力なセキュリティ対策が必要であることに気づき始めています。

今月のニュースでは、サイバーセキュリティの専門家による以下に関する洞察を取り上げています。

• 新しいLockBitランサムウェア攻撃がフィンテック業界にセキュリティリスクをもたらした経緯

• 英国の重要なインフラの強化を目的とした新しいサイバーセキュリティおよびレジリエンス法案

• サイバーセキュリティ人材を増やすために米国政府ができること

LockBitランサムウェアがフィンテック業界を攻撃

有名なランサムウェアグループであるLockBitが最近、大手フィンテック企業を攻撃しました。ルイス・コロンバスは、この侵害とそれが業界に与える影響について、VentureBeatの記事で次のように書いています。 LockBitの最新の攻撃は、フィンテックがより多くのゼロトラストを必要とする理由を示しています。

ロックビット 6月26日、フィッシングメールを使ってフィンテック企業をハッキングしました。同社は身代金を支払わないことに決めたため、LockBitは33テラバイトのデータをダークウェブにダンプしました。これには、名前、社会保障番号、口座情報などの個人情報が含まれていました。また、同社はオンラインバンキングサービスを一時的に停止する必要もありました。

この違反は、同社のクライアントに大きな影響を及ぼしました。のビッグネーム 銀行および金融セクター 潜在的な詐欺について顧客に警告し、システム障害に対処する必要がありました。

「ランサムウェア攻撃は、リスクにさらされている組織がいかにフィンテックのエコシステム全体を危険にさらす可能性があるかを示しています」とコロンバス氏は述べています。

LockBitの攻撃は、フィンテックにおけるより強力なサイバーセキュリティの必要性を示しています。ランサムウェアグループは混乱を引き起こし、より高い身代金を要求します。次のような取り締まりがあったとしても クロノス作戦 それがロックビットの活動を混乱させたが、グループは新たな犠牲者を探し続けている。

コロンバスは、リスクを軽減し、より強くなるためには、テクノロジーシステムから信頼を奪うことが重要だと考えています。ゼロトラストの創設者であり、イルミオのチーフ・エバンジェリストでもあるジョン・キンダーヴォーグ氏に、権限の少ないアクセスを使い、古いセキュリティシステムを置き換えることがなぜ重要なのかについて話しました。

Kindervagは次のように説明しています。「テクノロジーから始めるわけではなく、それが誤解です。保護面から始めて、それから考え出していくのです。」

つまり、組織は信頼レベルを下げるセキュリティ計画を作成する必要があります。そのためには、基本的なサイバー衛生対策を講じるか、セキュリティ技術を変更する必要があります。そうすれば、次のLockBit攻撃が他のフィンテック企業の業務に深刻な損害を与える必要がなくなります。強力な組織が迅速に対処できる小さな問題であってもかまいません。

英国のサイバー防御を強化するための新しいサイバーセキュリティおよびレジリエンス法案は可能でしょうか？

アレックス・スクロクストンは、州議会開会式での国王の演説で導入された新しい英国のサイバーセキュリティおよびレジリエンス法案について報告しました。彼のコンピューター・ウィークリーの記事では、 英国のサイバー法案、ランサムウェア報告義務を公表、彼は、この法案はデジタルサービスを保護し、ランサムウェアの報告を義務化することを目的としていると説明しています。

現在の英国のサイバー法は、更新が必要な古い欧州連合の規制に基づいています。英国政府は、NHSや国防省などの必要不可欠なサービスや重要な国家インフラがサイバー攻撃に対して脆弱であることを認識し始めています。

サイバー専門家は政府のサイバーセキュリティへの取り組みを称賛していますが、規制の強化は公的機関への資金提供が増える場合にのみ有効であると警告する人もいます。

スクロクストンは、イルミオの重要インフラ担当ディレクター、トレバー・ディアリングにこのトピックについて話しました。「サイバー・レジリエンスの構築には、規制当局への権限と報告の強化が不可欠です。しかし、規制が成功するのは、公的機関への追加資金が伴わなければ成り立ちません。そうでなければ、規制によって非現実的な目標が生まれ、その実施には法外な費用がかかる、ということになります。」

Dearingはまた、強力なサプライチェーンセキュリティの必要性を強調しました。「第三者プロバイダーは政府機関の生命線です。サイバー犯罪者は常に、より価値のあるシステムにアクセスしようとして、チェーン内の最も弱い部分を狙います。」

業界全体として、サイバーセキュリティ規則の更新は良いことであり、国の重要なインフラをサイバー攻撃から守るのに役立つという点で意見が一致しています。

米国政府はより多くのサイバー人材を採用する必要がある

過去1年間で、米国保健社会福祉省（HHS）などの重要なシステムに対するサイバー攻撃が増えました。攻撃が増加しているにもかかわらず、攻撃に対処するサイバー専門家は依然として不足しています。

Illumioの主任連邦ソリューションアーキテクトであるGary Barletは、この問題について語り、新しいDark Readingの記事でいくつかの解決策を提供しています。 政府におけるサイバー人材の採用の必要性。

Barletによると、71% の組織が オープンサイバーセキュリティジョブ 時代遅れのトレーニング、高額な認定資格、そしてこの業界は参入しにくいという考えのためです。これにより、サイバーセキュリティ要員に大きなギャップが生じており、国家安全保障を守るためにこれを修正する必要があります。

これは米国連邦政府にとって大きな問題であり、政府機関は優秀なサイバー人材を求めて民間企業と競争するのに苦労しています。Barlet 氏は、政府機関は競争力のある給与や福利厚生を提供できず、最新テクノロジーを扱う機会も提供できないことが多いと述べています。

「連邦政府は依然としてひどく準備が整っていない」とバーレットは説明した。

では、政府は何ができるのでしょうか？バーレット氏は、政府はインセンティブを提供し、人材の採用と奨励の方法を工夫する必要があると言います。「政府は、将来の従業員に民間部門から連邦政府機関の職にスキルを移転するよう強制するインセンティブを提供するまで、サイバーセキュリティ人材のギャップを埋めるつもりはない」と同氏は述べている。

Barletは、リモートワークのオプション、融資免除、税額控除、Thrift Savings Plan（TSP）への寄付のマッチングなど、人材を引き付けるための即時かつ短期的な特典を提供することを提案しています。また、政府と民間セクターのパートナーシップは素晴らしい学習体験を提供できるとも考えています。バーレット氏は、空軍の Education with Industry（EWI）のようなプログラムについて言及しました。EWI（EWI）では、最新のテクノロジーとベストプラクティスを活用した実践的な学習が行われています。

「我が国への脅威はかつてないほど高まっています」とバーレットは言いました。「政府がサイバー戦場を平準化するためには、サイバーセキュリティ人材の採用をより積極的かつ意図的に行う必要があります。」

今すぐお問い合わせ次に起こりそうな侵害やランサムウェア攻撃に対して組織のレジリエンスを維持するために、イルミノがどのように役立つかを学びましょう。