英国が重要インフラのサイバー防御を強化する新法を導入
英国は、病院、エネルギーシステム、水道供給、交通網をサイバー攻撃から守るための新たな法案を導入しました。これらのサイバー攻撃による年間被害額は、約150億ポンド(約196億ドル)に上るとされています。
11月12日に英国議会に提出された「サイバーセキュリティ・レジリエンス法案」は、既存の2018年ネットワーク・情報システム(NIS)規制を基盤とし、英国の重要サービス保護へのアプローチを根本的に見直すものです。この法案は、11,000件以上の医療予約に影響を与えたNHS(国民保健サービス)の大規模な混乱や、国防省の給与システム侵害など、増大する脅威に対応することを目的としています。
科学・イノベーション・技術省は水曜日、「病院、エネルギー、水道供給、交通網は、本日(11月12日)議会に提出される新法の下で、サイバー攻撃の脅威からより良く保護されるだろう」と述べました。また、「増大するサイバー脅威に直面し、この法案は混乱を防ぎ、水道を供給し、電気を点灯させ、英国の交通サービスを動かし続けると同時に、重要なサービスを提供する企業がより強固なサイバー保護を持つことを確実にします」と付け加えました。
サイバーセキュリティ・レジリエンス法案の主な内容
この法案では、中規模および大規模なIT管理、ヘルプデスクサポート、サイバーセキュリティサービスプロバイダーに対し、初めて義務的なセキュリティ基準の遵守を求めています。
- これらのマネージドサービスプロバイダーは、効果的な対応計画を策定し、重大なサイバーインシデントを24時間以内に国家サイバーセキュリティセンター(NCSC)および規制当局に報告する義務があります(完全な報告は72時間以内)。
- 規制当局は、医療診断プロバイダーや水道会社の化学品供給業者など、重要なサプライヤーを指定し、サプライチェーンの脆弱性に対処するために最低限のセキュリティ基準を満たすよう義務付けることができます。
- 技術担当大臣は、国家安全保障が脅かされる場合、テムズ・ウォーターやNHSトラストなどの規制当局や組織に対し、強化された監視やシステム隔離などの措置を講じるよう指示する権限を持ちます。
新法には、重大な違反に対する売上高に基づく罰則も含まれており、コンプライアンスを怠るよりも遵守する方が費用対効果が高くなるように設計されています。また、データセンターや電気自動車充電ポイントなどのスマートエネルギーインフラを管理する組織にも保護が拡大されます。
サイバー攻撃による経済的影響とその他の取り組み
英国政府のプレスリリースで強調された新たな独立調査によると、英国における平均的な「重大なサイバー攻撃」のコストは19万ポンド以上であり、年間合計で約147億ポンドに達し、これは国のGDPの0.5%に相当します。
- 例えば、9月にジャガー・ランドローバー(JLR)を襲い、英国の自動車メーカーにシステム停止を余儀なくさせたサイバー攻撃は、「英国史上最も高額なサイバー攻撃」と評され、推定19億ポンド以上の損害をもたらしました。
- 英国予算責任局は、重要インフラへの攻撃が政府融資の一時的な増加を300億ポンド以上引き起こす可能性があると推定しています。
先週、詐欺対策を目的とした政府との新たなパートナーシップの下、英国最大の携帯電話会社は、1年以内に詐欺師が電話番号を偽装する能力を排除するためにシステムをアップグレードすることを約束しました。今年初めには、英国はランサムウェア攻撃後の身代金支払いを、重要インフラおよび公共部門の組織に対して禁止する計画を発表しています。