米国証券取引委員会(SEC)が提出した報告書から、当該企業はデータ漏洩やサービスの停止などの攻撃を適切に検出および対応し、情報を開示する対策を策定していなかったことが明らかになりました。
米国証券取引委員会(SEC)が先月末に提出した最新の報告書には、RRDは「2021年11月29日から12月23日の間に発生したランサムウェアによるネットワーク侵入に対して、適切に対応していなかった」と記載されています。RRDが利用しているマネージドサービスプロバイダーから20件を超えるアラートが通報されていましたが、RRDのセキュリティチームに報告されたアラートはわずか3件でした。
米国証券取引委員会は報告書でRRD側が対応を怠ったいくつかの事項を具体的に指摘しています。
これらの情報があったにも関わらず、RRDが報告されたアラートに対応したのは1か月後であり、その時には既に手遅れでした。
KnowBe4のデータドリブンディフェンスエバンジェリストであるRoger Grimes(ロジャー・グライムス)は次のようにコメントしています。「SECが、顧客データや情報の保護が不十分であると考えられる企業に対して罰金や罰則を科す可能性が高まっています。3つのタイプの組織が存在します、サイバーインシデントの報告など必要十分要件すら満たさない、必要なことを行なっていない組織、法規制をただ文面通りに守っている組織、法規制の要件を認識していないか意図的に無視している組織。注意しましょう。」
これらの過失が株主に与えた影響により、SECはこの企業に対して212万5,000ドルの罰金を科しました。このことからも、企業は以下について適切な管理とプロセスを確立する必要があります。
さらに、攻撃におけるフィッシングの役割を考えると、フィッシングやソーシャルエンジニアリングにユーザーが騙されて、マルウェア、認証情報の詐取、および攻撃を継続するために必要な悪意のあるアクションを実行することがないように、セキュリティ意識向上トレーニングを導入することをお勧めします。
KnowBe4は全ての従業員がセキュリティ上、適切な判断をできるようにお手伝いします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年7月16日発信 https://blog.knowbe4.com/sec-fines-publicly-traded-company-ransomware-attack