サイバー攻撃や情報漏えいによって、英国のミッドマーケット企業は年間300億ポンド(約4兆円)以上の被害を受けているが、企業は自社のサイバーセキュリティ対応能力を過信しており、ハッカーやサイバー犯罪に対するリスクを拡大してしまっている可能性があるという。
ビジネスや財務のほかサイバーセキュリティなどに関するアドバイザリー業務を提供している会計事務所Grant Thorntonは、年商1500万~10億ポンド(約20億~1300億円)のミッドマーケット企業を対象とした調査を実施した。公開されたレポートは主に英国のビジネスリーダー約500人に対して実施したインタビューに基づいている。この調査では、サイバー攻撃の脅威が大きくなっているにも関わらず、企業の取締役会は、そのリスクを十分に管理できていないことが明らかになった。
同社のレポート「Cybersecurity: the Board Report」で調査対象となった企業の半数以上(53%)は、サイバー攻撃や情報漏えいによって、売上高の3%~10%に相当する被害が発生したと回答している。しかし、被害がさらに大きくなる場合もある。回答企業の6%は、インシデントが発生した結果、売上高の11%~25%に及ぶ被害が発生したと答えた。
サイバー攻撃によって被害が発生する危険があることは認識しているにも関わらず、3分の2近く(63%)の企業は、サイバーセキュリティを担当する取締役を置いていなかった。
また、ほぼ同じ数の企業が取締役会ではサイバーセキュリティのリスクと管理について正式にレビューしていないと述べており、半数以上(59%)の企業は、サイバー攻撃に対するインシデント対応計画を策定していなかった。
それに加え、2018年にすべての従業員に対してサイバーセキュリティに関する意識を高めるトレーニングを行っていた企業は、3社に1社(36%)だけだった。
それにも関わらず、回答企業の70%近くは、自社のサイバー攻撃対応能力に自信を持っていた。これは、企業が自社のインシデント対応能力を過信している可能性があることを意味している。
