ノルウェーのオスロに本社を置くノルスク・ハイドロ(以下、ハイドロ)が2019年3月、サイバー攻撃を受けて社内のコンピューターがウイルスに感染しました(図1)。同社はノルウェーでトップのアルミニウムのメーカーで、世界でも5本の指に入ります。40カ国に3万5000人の従業員がいます。
図1●サイバー攻撃被害を発表したノルスク・ハイドロのリリース
ノルスク・ハイドロはノルウェーのアルミニウムメーカー。2019年3月18日にランサムウエアに感染し、その翌日には同社のWebサイトで感染被害に関するリリースを出した。
[画像のクリックで拡大表示]
これほど大きな企業なので、1社が受けたサイバー攻撃の被害とはいえ、利害関係者、いわゆるステークホルダーは少なくとも数十万人はいると思われます。こうしたステークホルダーに、ハイドロは積極的に情報を公開しました。
ウイルス感染の被害を受けたことは褒められるものではありません。しかしこの情報公開の方法は、好感が持てるものでした。今後、万が一被害を受けた企業や組織が情報を公開する上で、参考になる話が多いと感じました。
今回は、このハイドロの情報公開を取り上げます。
攻撃を受けた翌日に発表
ハイドロがサイバー攻撃を受けてから1カ月間に行った情報公開で、参考にしてほしいと思ったポイントが5つあります(図2)。
図2●ハイドロの情報公開において参考になる5つのポイント
サイバー攻撃の被害企業が、利害関係者(ステークホルダー)に向けてここまで積極的に情報を公開した事例は、筆者の知る限り初めてである。
[画像のクリックで拡大表示]
1つめは、サイバー攻撃による被害を明らかにした時期です。
図1に示した最初のリリースは、同社がサイバー攻撃を受けた翌日に発表されました。非常に早い時期のリリースだと思います。
もちろん情報漏洩のように、被害を受けた企業や組織だけでなく、その関係者も2次被害を受けるような場合は、すぐに発表する必要があります。特に個人情報の漏洩は迅速に発表する必要があります。
しかし今回、ハイドロが感染したウイルスはランサムウエア▼の「LockerGoga」だったとされています。ランサムウエアなので、情報漏洩の可能性はないと判断していたかもしれません。にもかかわらず、ハイドロは攻撃を受けた翌日には被害を発表しました。
