データ漏えいが発覚。さてどうする?
立ち止まって考える
データ漏えいについて発表する際にはIR(投資家向け広報活動)チームと連絡を取り合って明確かつ正確な言葉遣いを心がけてほしい。業務のリーダーがあやふやな態度を見せたり、パニックに陥ったりした場合、データ漏えいは小さなセキュリティ問題であったとしても大事件となりかねない。その結果、情報が一人歩きし、現実的なレベルに影響を封じ込めたり、事態を沈静化することが難しくなる可能性もある。
データ漏えいに関する事実だけに集中し、広報部門や法務部門と速やかに連携し、顧客と報道機関に対する発表方法を決定するのがよいだろう。
発表に先立つ作業
セキュリティ侵害の発表に先立ち、ネットワーク上で不正だと疑われたアクティビティの性質とともに、それによる潜在的な影響を確認する必要がある。そして事実を文書化し、次にとるべき行動を確定し、復旧と改善に向けたタイムラインを確立してほしい。また、対応チームがそれまでに抱えていた作業を一旦保留にするということも重要だ。彼らが他の作業に気を取られてしまうと、ネットワークのセキュリティ強化に必要以上に時間がかかってしまう。
利害関係者の管理と情報共有
データ漏えいが発生した場合には、利害関係者に連絡する必要もある。彼らをおびえさせるのではなく、事態を正しく把握してもらうために、共有すべき情報を明確に伝えるようにしてほしい。不正確な言葉を使用した場合、Dillon氏の言葉を借りると「幹部や法務部門を震え上がらせることになる」のだ。
また、セキュリティ侵害に関連する件で利害関係者と幹部を味方につけるには、技術的な専門用語を避け、業務で使う言葉を使用するようにしてほしい。
米ZDNetがDillon氏に対して、サイバー保険について質問し、企業はデータ漏えいに備えて保険に加入すべきかどうかを問いかけたところ、サイバー保険が「この分野の成長に伴う自然な流れ」であり、保険に加入するのは脅威とその結果に対する保護として現代では重要な要素になるだろうという答えが返ってきた。