A look at Data Breach Statistics in 2020

2020年はあらゆる観点から厳しい1年となったことが証明されました。 COVID-19 パンデミックによってもたらされた健康危機が世界経済を混乱させ、多くの部門を麻痺させたため、サイバーセキュリティは誰の頭の中にもなかったかもしれません。 しかし、多くの悪意ある行為者がこの混乱に乗じて大混乱を引き起こし、サイバーセキュリティへの取り組みの緩和を利用して現金化したのです。

あらゆるビジネス分野で広く普及しているリモートワークのポリシーを急いで採用した結果、サイバーセキュリティに大きなギャップが生じ、セキュリティインシデントが増加しました。 サイバーセキュリティ企業である Malwarebytes の Enduring from Home によると、次のようになります。 COVID-19’s Impact on Business Security」レポートによると、2020年にはリモートワーカーがサイバーセキュリティインシデントの約20％の原因となった。 また、調査に回答した企業のうち、24%が在宅勤務が原因で発生したサイバー攻撃や侵害に直接関連する予期せぬ出費に直面しています。

レポートでは、リモートワーカーの間で、会社支給のデバイスではなく、個人所有のデバイスを使用する心配な傾向も示されています。 回答者の27.7%は、職場から支給されたデバイスよりも個人所有のデバイスを使用していると回答し、さらに31.2%が個人所有のデバイスを仕事に使用することがあると認めています。

リモートワークに関する企業の主な懸念は、権限のない個人がアクセスできる可能性のある自宅でのデバイスの露出、リモートワークのリソースを使用したデバイス管理の困難さ、シャドーIT、およびリモートで実施されるITサポートの有効性の低下に関するものでした。 また、45%の企業が、在宅勤務に移行するために導入したソフトウェアツールのセキュリティおよびオンラインプライバシーの分析を行っていない状況です。

データ侵害の主な原因

17の国と地域の524の組織で働く3200人にインタビューしたIBMとPonemon InstituteのCost of a Data Breachレポート2020によると、データ侵害全体の52%は悪意のある部外者によって、さらに25%がシステム異常、23%が人的エラーによって引き起こされています。 顧客の個人情報（PII）は、全データ侵害の80%を占め、最も多く紛失または盗難にあった記録のタイプでした。 これは、PIIがその機密性から最も価値のあるデータであることを考えると、驚くには値しないことです。

悪意のあるデータ侵害の19%は、侵害された認証情報とクラウドの設定ミスに起因し、サードパーティのソフトウェアの脆弱性がさらに16%を占めました。 また、従業員がデータ漏洩の原因となったのは、人的ミスだけではありません。 悪意のある内部関係者がデータ侵害の7%の根本原因であり、従業員を直接標的としたソーシャルエンジニアリングとフィッシング攻撃がさらに17%を占めています。

従業員の過失が他の分野よりも大きい分野もあることが示されています。 トップはエンターテインメント産業で、全データ侵害の34%が不注意な従業員によるものであり、次いで公共および消費財産業で、データ侵害の28%をヒューマンエラーが占めています。 ヘルスケア分野では、厳しい規制があるにもかかわらず、従業員の過失が全データ侵害の27%を占めています。

GDPR の罰金が増え続けている

米国の HIPAA など、一部のデータ保護規制の施行がパンデミックのために緩和されている一方で、ヨーロッパのデータ保護機関はその業務を妨げられることなく続けています。 今年は、EUの一般データ保護規則への不遵守による罰金を記録する事態が続出しました。

最も大きな打撃を受けたのはGoogleで、フランスのデータ保護機関CNILの5000万ユーロの罰金に対する控訴は同国の最高裁判所により棄却され、スウェーデンのデータ機関は、個人の忘れられる権利に従わなかったとしてこのハイテク大手にさらに700万ユーロの罰金を課した。

2020年10月には、機密情報が開示された従業員との会議を記録し、それを管理職の間で内部共有したとして、ドイツ・ハンブルグのデータ保護局から、GDPRで過去2番目に大きい約3500万ユーロの罰金が科されました。

ブリティッシュ エアウェイズは、サイバーセキュリティ対策の不備により40万人の顧客に影響を与えたデータ侵害を防げなかったとして2200万ユーロの罰金を科されました。

結論

企業が COVID-19 の大流行がもたらす困難に直面する中、サイバーセキュリティを軽視しないことが不可欠です。 悪意のある行為者は常に利益を得る機会をうかがっており、今年もその傾向は変わりません。

これらのことは、数年前までは多くの組織で後回しにされていたサイバーセキュリティが、今やビジネス運営の重要な部分であり、無視することが許される時代はもう来ないということを示しています。