大企業に対するランサムウェア攻撃は、サイバー犯罪者に大儲けのチャンスをもたらす可能性がありますが、追加の課題も生み出します。高度なサイバーセキュリティソフトウェアから大規模なITチームやセキュリティコンサルタントまで、大企業はランサムウェア攻撃を防止して対応するためのツールとリソースを備えています。ところが、中小企業はそうではありません。そのために、中小企業は非常に有望なターゲットになっています。
中小企業がランサムウェア攻撃に対して脆弱である理由
サイバーセキュリティは準備がすべてですが、Infrascaleの報告によると、中小企業の32%がランサムウェアソリューションを調査する時間やリソースがないと述べており、32%はITリソースが限界に達していると述べています。サイバー犯罪者にとって、これ以上好都合なことはありません。
さらに、Infrascaleによると、被害を受けた中小企業の73%が身代金の支払いを認めています。これは、非常に大きな数字であり、サイバー犯罪者にとって強力な動機になります。しかしながら、ランサムウェアの支払いは、損害全体から見ると、簡単で安価な部分です。
Dattoがまとめた2020年 State of the Channel Ransomware report(チャネルランサムウェアの現状に関する報告書)によると、中小企業のダウンタイムのコストは2020年に274,000ドルに達し、前年度から94%増加しました。サイバー保険で身代金の支払い費用をカバーすることができるため、多くの中小企業がこれによって攻撃から迅速に回復できると信じています。しかし残念ながら、ハッカーが約束どおりに復号キーを提供するとは限りません。復号化キーが提供されても、役に立たないことがよくあります。最後に、サイバー保険では、ダウンタイムに関連するものを含む、他のビジネス上の損失が補償されない可能性があります。
認識vs現実
Dattoによると、ランサムウェアを懸念しているのは、中小企業では30%にとどまる一方で、MSPの84%が「非常に懸念している」とのことです。 この断絶により、MSPは、ランサムウェアの脅威を真剣に受け止めるように中小企業を説得するという苦しい戦いに直面しています。ただし、中小企業クライアントがランサムウェア攻撃を受けた場合、脅威を軽減する責任はMSPにあります。
2020年は、MSPはまさにその責任を果たすことに必死でした。Dattoによると、MSPの60%が中小企業に対するランサムウェア攻撃を報告し、11%が1日に複数の攻撃を報告しました。ヨーロッパと北米のMSPは、他のどの地域よりも報告率が高く、それぞれ85%と77%となりました。
MSPの課題
ConnectWiseの調査によると、中小企業の43%が2020年にサイバーセキュリティを外部委託しました。ランサムウェアを懸念している中小企業はわずか30%であるため、MSPとMSSPは中小企業に脆弱性があることを納得させなければなりません。これも課題です。
楽観バイアスは、悪い結果よりも良い結果を体験することになるだろうと人々に信じ込ませる心理的な反応です。これは「脆弱性の錯覚」として知られており、中小企業がサイバー攻撃に対して脆弱ではないと信じる原因となっています。商談では、MSPがサイバーセキュリティへの投資を勧めると、中小企業は次のような一般的な反対意見を示します。
- うちの会社は、規模が小さすぎて標的にはならない。
- サイバーセキュリティは高額過ぎる。
- ハッカーが欲しがるものなんて、うちには何もない。
ランサムウェア攻撃に対して脆弱であることを中小企業に納得させることは、攻撃を防ぐために重要です。あらゆる面での賛同がなければ、攻撃を阻止できる可能性は低くなります。テクノロジーは考慮すべき事柄の一部に過ぎません。ハッカーたちがセキュリティレイヤーを突破する時やそれを試みる時、人々が対策を強化しなければなりません。
会社の首脳陣から正規のスタッフまで、すべての人が攻撃の可能性を認識し、問題ではなく解決策の一部となるために必要なトレーニングとサポートを受ける必要があります。したがって、MSPは、クライアントを保護するだけでなく、サイバーセキュリティの認識を高めて、それを最高レベルに維持するために必要な教育とツールを提供する責任があります。
ランサムウェア攻撃をしかけるのに小さすぎる企業はありません。サイバーセキュリティは安価ではありませんが、ランサムウェア攻撃が成功した時にかかる費用よりも安価です。最後に、すべてのビジネスはデジタルビジネスであり、データは通貨です。中小企業にとって、自分たちがターゲットではないと信じることは脆弱性の錯覚です。それによって、中小企は非常に目立つ存在になり、簡単に侵入できる標的になります。
