概況
- British Library のランサムウェア攻撃は、文化的公共サービスの継続性テストとなった。2023年10月のインシデントにより、デジタルサービス、カタログ、研究アクセス、スタッフのワークフロー、データ管理が混乱したが、同機関は代替手段により施設、展示、イベント、閲覧室を開放し続けた。
- ネットワークセグメンテーション、バックアップの独立性、デジタルサービスの復旧順序、読者や研究者とのコミュニケーション、コレクションシステムの復元、データ通知、そして攻撃後に文化的公共サービスの継続性が改善されたという証明を、実際に誰が管理していたのか?
- 説明責任の問題は、文化施設が現在、重要なデジタル公共サービスを運営しており、その復旧の証拠はサーバーの復元だけでなく、アクセスの継続性とコレクション管理によって判断されなければならないことである。
- 研究者、読者、職員、出版社、公的資金提供者、文化パートナー、データ主体、デジタル保存チームは、復旧が損傷したシステムを単に交換するのではなく、サービスの回復力を再構築したという証拠を必要としていた。
- 本記事は、British Library のサイバーインシデントレビュー、復旧ページ、年次報告書、サービス可用性資料、NCSC ガイダンス、ICO ガイダンス、法定納本枠組み、議会記録、および選択された報道を、未知のフォレンジックおよび規制詳細に関して明確な境界を持つ公開証拠ファイルとして扱う。
この事例がリスクと説明責任ファイルに属する理由
British Library のランサムウェア攻撃がリスクと説明責任ファイルに属するのは、同機関が単に閲覧室が併設されたウェブサイトではないからである。それは国立図書館であり、研究インフラであり、文化的公共サービスであり、法定納本機関であり、デジタル保存の管理者であり、公共の場であり、他の図書館のパートナーであり、職員と利用者のデータの保持者である。2023年10月にランサムウェアがそのテクノロジー資産を損傷したとき、その被害は暗号化されたサーバーだけで測定されたわけではない。それはカタログアクセス、コレクションの注文、研究の締切、公共貸出ワークフロー、スタッフの代替手段、デジタルコレクション、法定納本プロセス、利用者コミュニケーション、データ主体のリスクで測定された。
British Library の公式復旧ページ(https://www.bl.uk/about/cyber-attack)は、2023年10月のサイバー攻撃により多くのサービスが中断され、復旧が進行中であると述べている。その学習ブログ(https://www.bl.uk/stories/blogs/posts/learning-lessons-from-the-cyber-attack)は、サイバーインシデントレビューを紹介し、この攻撃は実質的に知識へのアクセスに対する攻撃であると説明し、同時に将来の攻撃者を助ける可能性のある詳細を公開することを避けなければならなかったと述べている。公式のサイバーインシデントレビュー(https://cdn.sanity.io/files/v5dwkion/production/99206a2d1e9f07b35712b78f7d75fbb09560c08d.pdf)は、中心的な公的記録を提供している:疑わしい敵対的偵察、2023年10月28日土曜日の大規模ランサムウェア攻撃、約600GB のファイルの流出、サーバー資産の大部分の破壊または暗号化、深刻なサービスへの影響、即座に実行可能なインフラのない実行可能なバックアップ、そして再構築・再生プログラム。
その記録は説明責任の問いを枠づける:ネットワークセグメンテーション、バックアップの独立性、デジタルサービスの復旧順序、読者および研究者とのコミュニケーション、コレクションシステムの復元、データ通知、そして攻撃後に文化的公共サービスの継続性が改善されたという証明を、実際に誰が管理していたのか?これは犯罪者が責任を負うべきかどうかの問題ではない。彼らは攻撃者であった。公共の説明責任の問題は、国家的に重要な文化機関がインシデントの前、最中、後に何を管理していたかに関するものである。
この事例は、公共部門の継続性、データ主権と地域性、ソフトウェアライフサイクルとロックインの交点に位置する。公共部門の継続性は、コレクションアクセスと研究サービスにフォールバック経路があったかどうかを問う。データ主権は、どのような個人データがコピーされたか、データ主体がどのように通知されたか、どのシステムに職員と利用者の情報が含まれていたか、情報コミッショナー事務局(ICO)がどのように関与したかを問う。ソフトウェアライフサイクルとロックインは、なぜ一部の主要システムが攻撃前の形態で復元できなかったのか、それがサポートされていなかったか、新しい安全なインフラと互換性がなかったためであるかを問う。
British Library の2023-2024年次報告書および会計(https://assets.publishing.service.gov.uk/media/66a76368ce1fd0da7b592e51/British_Library_Annual_Report_and_Accounts_2023-2024.pdf)は、より広範なガバナンスの全体像を確認している。サイバー攻撃を深刻な衝撃と表現し、運営と財務に大きな影響があると指摘し、クラウドベースの給与・財務システムは維持されたことを述べ、年度末までに直接追加コストが60万ポンドに上ったことを記録し、約45万6千人の利用者の連絡先詳細および約4300人の現職・元職員の個人データがコピーされ開示されたと述べている。これらの数字は、このインシデントを技術障害から公共サービスおよびデータガバナンスの出来事へと変える。
文化インフラは今やデジタル継続性に依存している
British Library の使命はアクセスに依存している。物理的な建物は開館していても、研究を可能にするデジタルシステムが低下している可能性がある。それがまさにこのインシデントが重要な理由である。レビューによれば、図書館の施設、展示、イベント、閲覧室へのアクセスは維持されたが、研究サービスは最初の2ヶ月間は厳しく制限され、検索可能なメインカタログが2024年1月15日に戻った後も不完全なままであった。この区別は不可欠である。ドアを開け続けることは被害を減らしたが、多くのコレクションおよび研究ワークフローがデジタルシステムに依存しているため、公共サービスを完全に維持したわけではない。
公開復旧ページは、利用者をサービス可用性ガイド(https://bl.libguides.com/whats-currently-available)に誘導し、訪問前に情報を得た上で選択できるようにしている。訪問ページ(https://www.bl.uk/visit)も同様に、復旧は進行中だがすべてが戻ったわけではないと警告している。カタログ(https://catalogue.bl.uk/)および暫定の文書館・原稿カタログ(https://searcharchives.bl.uk/)は、公共アクセスが現在、段階的なデジタル復元に依存していることを示している。これらのページは単なる顧客サービスの便宜ではない。それらは継続性の管理手段であり、研究者に何が可能で何が不可能で、混乱にどう対処するかを伝えるからである。
インシデントレビューは、機関の目的全体にわたる具体的な影響を説明している。管理と研究が最も深刻な打撃を受けた。物理的コレクションはセキュリティと保存のためにほぼ影響を受けなかったが、デジタルコレクションの検証とアクセスは制約された。非印刷法定納本の取り込みは利用できなかった。電子リソース、オンラインジャーナル、データベース、EThOS、オーディオ・ビデオ、その他のデジタルコンテンツは、レビュー時点では完全には利用できなかった。ビジネス、文化、学習、国際の目的は、多くのオンサイトサービスとパートナーシップネットワークが代替手段を通じて継続されたため、影響は少なかった。
このサービスマップは、文化機関におけるランサムウェア復旧が単一のアップタイムパーセンテージで測定できない理由を示している。カタログは検索可能でも完全にトランザクション処理できるわけではない。閲覧室は開館していても遠隔注文は手動または利用不可である。デジタルコレクションはバックアップされていても新しいインフラでまだ検証されていない。スタッフチームはメールに対応できるが、通常問い合わせを追跡するワークフローシステムを失っている。これらの状態はそれぞれ異なる継続性条件であり、異なる公共的影響を持つ。
2003年法定納本図書館法(https://www.legislation.gov.uk/ukpga/2003/28/contents)は法定の側面を加える。British Library は法定納本エコシステムの一部であり、そのデジタルサービスの中断は利便性以上の影響を与える。印刷および非印刷法定納本のワークフローが中断されれば、その結果は国の記録、パートナー図書館、出版社、将来の研究者に影響を及ぼす。したがって、説明責任のある復旧ファイルは、システムが戻るだけでなく、ダウンタイム後に管理責任とアクセス責任が調整されることを示さなければならない。
公式レビューが復旧を公開証拠に変えた
British Library がインシデントレビューを公開する決定は、説明責任の中心である。学習ブログは、この文書が図書館自身の説明であり、助言者から情報を得て内部調査から適応されたものであり、理解と教訓を共有することを目的としていると述べている。レビューは、将来の攻撃を助けたり法執行を妨げる可能性のある詳細を避けると明示している。このバランスは重要である。公共機関は悪用可能なフォレンジック詳細を公開すべきではないが、利用者、資金提供者、同業機関、監督者が何が起こり何が変わるかを理解するのに十分な情報を公開すべきである。
レビューは、最初に検出された可能性が高い不正アクセスポイントを特定している:2020年2月に信頼できる外部パートナーと内部 IT 管理者のアクセスをサポートするためにインストールされたターミナルサーバー。正確な侵入ポイントと方法は、サーバーの深刻な損傷とアンチフォレンジック対策のために特定できないと述べているが、フィッシング、スピアフィッシング、またはブルートフォースによる特権アカウント認証情報の侵害が最も可能性の高い原因であると考えている。また、メール、Teams、Word などのクラウドアプリケーションには MFA が導入されていたにもかかわらず、ターミナルサーバーへのアクセスは MFA の対象ではなかったとも述べている。
この認めることは重要である。なぜなら、技術設計と機関の意思決定を結びつけるからである。ドメインにおける MFA の欠如は特定され、リスクとして指摘されていたが、結果は過小評価されていた。レビューは、その決定は実用性、コスト、進行中のプログラムへの影響、および保留中のインフラ更新によって形成されたと述べている。これはまさに公開説明責任ファイルが必要とするガバナンスの事実である。合理的な機関の制約の中にサイバーリスクがどのように存在し、攻撃者がそれを主要な継続性イベントに変えるかを示している。
レビューはまた、対応ガバナンスを文書化している。技術的重大インシデント管理計画が問題をエスカレートさせ、危機管理計画が9時15分に発動され、ゴールド危機対応チームがメール不在の中で WhatsApp ビデオ通話で招集され、NCSC に相談し、NCC Group を調達し、DCMS と理事会に通知し、ICO およびその他の機関に該当する法定期間内に連絡した。NCSC の対応・復旧ガイダンス(https://www.ncsc.gov.uk/guidance/response-recovery)およびランサムウェアガイダンス(https://www.ncsc.gov.uk/ransomware/home)は、構造化された対応、コミュニケーションの規律、復旧計画が重要である理由の文脈を提供する。
British Library の証拠は、機能した管理と機能しなかった管理の両方を挙げているため、強力である。クラウドベースの財務・給与システムは正常に機能した。建物は開放されたままだった。監視ソフトウェアが一部のアクションに介入した。別のシステムがノートパソコンおよびデスクトップ資産での暗号化を防いだ。サーバー資産上の古い防御ソフトウェアは攻撃に抵抗しなかった。実行可能なバックアップソースは特定されたが、実行可能なインフラの欠如が復旧を遅らせた。このバランスは、完全な失敗と表面的な安心の2つの悪いナラティブを回避し、一般市民に実際のリスクの状況を提供する。
バックアップは必要だが十分ではなかった
British Library のレビューは、バックアップと復元可能性の間で最も明確な公的な区別の一つを示している。デジタルコレクション、ボーンデジタルおよびデジタル化されたコンテンツ、メタデータの安全なコピーが存在し、後にデジタルコレクション、コレクションメタデータ、その他の企業データの実行可能なバックアップソースが特定されたと述べている。しかし、攻撃者が復旧を妨げるためにサーバーを破壊したこと、またデータを復元するための実行可能なインフラの欠如が図書館を妨げたとも述べている。言い換えれば、データの生存はサービスの復旧と等しくなかった。
この区別は核心的な説明責任の教訓である。文化機関はバックアップを持っていても、インフラが破壊され、アプリケーションがサポートされておらず、データベースを検証する必要があり、ネットワークを再構築する必要があり、古いシステムが安全な現代の環境で実行できない場合、迅速にサービスを復旧できない可能性がある。復旧は、アプリケーションの互換性、クリーンなインフラ、データ整合性チェック、スタッフの能力、ベンダーサポート、サービスの優先順位に依存する。バックアップはそのシステムの一部に過ぎない。
レビューは、各データセットを新しいインフラに復元する前に検証する必要があると述べている。それは責任ある姿勢である。公共機関は、破壊的なランサムウェアイベントの後、整合性を検証せずにデジタルコレクションとメタデータを単に再ロードすることはできない。しかし、検証には時間がかかり、時間は研究者にとっての被害面である。したがって、説明責任のある復旧ファイルは、復旧の優先順位を説明すべきである:どのデータセットが最初に戻るか、どのサービスが暫定的な代替手段を得るか、整合性がどのようにチェックされるか、利用者に何がまだ利用できないかがどのように伝えられるか。
NCSC のマルウェアおよびランサムウェア攻撃の緩和に関するガイダンス(https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks)は、準備、バックアップ戦略、復旧計画を重視している。British Library のレビューは、文化的サービスの層を追加している:不変またはエアギャップのバックアップは重要だが、カタログ、図書館サービスプラットフォーム、法定納本の取り込み、コレクション注文ワークフロー、デジタル保存ツール、問い合わせシステム、そして一般市民にサービスを提供するために必要な記録へのスタッフアクセスも重要である。修復の基準は「ファイルを復元できるか」だけでなく、「公共の使命を安全に復元できるか」である。
再構築・再生プログラムはこの問題に直接対処している。レビューは、更新されたインフラには、不変およびエアギャップのコピー、オフサイトコピー、ホットコピー、4/3/2/1モデルによる複数の復元ポイントを備えた堅牢で回復力のあるバックアップサービスが含まれると述べている。また、ベストプラクティスのネットワーク設計、セグメンテーション、ロールベースのアクセス制御、最小特権、統合セキュリティツール、強化された MFA、特権アクセス管理、インシデントおよび脆弱性管理、ライフサイクルポリシー、強化されたガバナンスも含まれる。この記事はすべての実装ステップを検証する必要はないが、レビューがバックアップ復旧をより広範なアーキテクチャに正しく結びつけていることを認識すべきである。
説明責任のある問いは現在、完了である。これらのバックアップ、セグメンテーション、MFA、PAM、ライフサイクル、ガバナンスの改善は実装されたか?訓練を通じてテストされたか?コレクションデータセットは検証されたか?サービス目標は達成されたか?復旧は回復力を改善したか、それともサービスを新しいベースラインに戻しただけか?公的な報告は、利用者と資金提供者が計画された管理と完了した管理の違いを見ることができるまで継続されるべきである。
レガシーシステムがランサムウェアを長期化させた
British Library のレビューは、ソフトウェアライフサイクルリスクについて異例に率直である。主要なソフトウェアシステムは、一部がベンダーによってサポートされなくなったか、新しい安全なインフラで機能しないため、攻撃前の形態で復元できなかったと述べている。影響を受けたシステムの一つとして、カタログ作成、非印刷法定納本資料の取り込み、コレクションアクセス、図書館間貸出をサポートする主要図書館サービスプラットフォームを挙げている。他のシステムは、復元前に修正またはより新しいソフトウェアバージョンへの移行が必要だった。
それがソフトウェアライフサイクルとロックインの教訓である。レガシーシステムは、交換にコストがかかり、リスクが高く、混乱を招くため、何年も運用され続ける可能性がある。それらは専門的なワークフロー、ベンダー契約、メタデータパイプライン、スタッフの習慣、パートナーの期待に埋め込まれている可能性がある。しかし、ランサムウェアが再構築を強制すると、隠れた負債が可視化される。サポートされていないシステムは単に再展開できない。古いオペレーティング環境を必要とするシステムは、現代のセキュリティ管理と互換性がない可能性がある。古いアプリケーション間の手動データ転送は、職員および顧客データのコピーを増やし、露出面を拡大する可能性がある。
レビューは、レガシーの複雑さを影響に結びつけている。図書館の異常に多様で複雑なテクノロジー資産は、多くのコレクション、文化、機能の統合に根ざしており、歴史的に複雑なネットワーク形状は、現代の設計よりも広範な攻撃者アクセスを許したと述べている。また、古いアプリケーションと手動プロセスへの依存が、ネットワーク上に複数のコピーで保持される職員および顧客データの量を増加させたとも述べている。これは単なる IT の不満ではない。それは公共サービスガバナンスの発見である:機関の歴史は、脅威環境が必要とするペースでシステムが更新されない場合、サイバーリスクを生み出す可能性がある。
年次報告書は、サイバー攻撃がリスク環境に影響を与えたことを確認している。デジタルインフラリスクの増加、インシデントから生じる新たなリスク、サイバー攻撃後に改善が必要な部分的な保証という内部監査責任者の意見を記録している。また、リスクと監査証拠の透明性を進める計画についても述べている。これらはガバナンスの声明であり、エンジニアリングの詳細ではない。長い復旧が純粋に技術的な失敗であることは稀であることを意味するため、重要である。それは長年にわたる資金調達、人員配置、調達、リスク選好、優先順位付けを反映している。
したがって、近代図書館サービスプログラムは修復の一部であり、別個の近代化プロジェクトではない。レビューは、現在の図書館サービスプラットフォーム、レガシーカタログ、オンライン読者登録、デジタル保存システム、問い合わせ管理システムを一元化し置き換えると述べている。British Library は後に Clarivate を図書館サービス提供者に選定したが、説明責任の問いはベンダー選定よりも広い。新しいシステムはロックインを減らすか?安全なライフサイクル管理をサポートするか?継続性を改善するか?データはより適切にマッピングされ最小化されるか?機関はゼロから再構築することなく復旧できるか?
同業機関への教訓は直接的である。レガシーシステムは単なる古いソフトウェアではない。それらは安全な環境に復元できない場合の継続性の負債である。そのリスクに対処する時期は、ランサムウェアがすべての交換決定を危機プログラムに強制する前である。
データガバナンスは被害の一部であった
攻撃は個人データをコピーし開示した。サイバーインシデントレビューは、約600GB のファイルが流出し、図書館利用者および職員の個人データを含み、その資料が競売にかけられ、身代金が支払われなかった後にダークウェブに公開されたと述べている。3つのデータコピー方法を説明している:財務、技術、人事チームの記録の一括コピー、機密性の高いファイル名またはフォルダ名のキーワード検索、22のデータベースのバックアップコピーを作成するためのネイティブユーティリティのハイジャック。また、一部の顧客データベースには連絡先詳細が含まれているが銀行詳細は含まれていないと考えられ、PCI DSS 管理がクレジットカードデータの侵害を防いだと述べている。
年次報告書は後のガバナンス数字を提供している:約45万6千人の利用者の連絡先詳細および約4300人の現職・元職員の個人データがコピーされ開示され、ICO は法定期間内に通知され、影響を受けたデータ主体には支援とアドバイスを連絡し、このインシデントは2023-2024年度に図書館が被った唯一の報告可能なデータ侵害であった。公開復旧ページはユーザー向けの境界を追加している:攻撃者は個人のユーザー情報を含む一部のデータを公開し、ユーザーには NCSC のアドバイスを連絡し、攻撃の性質とシステムの利用不能性を考慮すると、図書館はどの情報が侵害されたかを正確に特定できない可能性がある。
その率直さは重要である。データ主体への説明責任はタイムリーな通知を必要とするが、ランサムウェアのフォレンジックはしばしば完全な確実性を提供できない。ICO のガイダンス(https://ico.org.uk/for-organisations/report-a-breach/)およびより広範なデータセキュリティガイダンス(https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/security/)は、個人データを報告し保護する義務を枠づけている。British Library 自身の声明は、システムが深刻に損傷し、データインベントリがレガシーネットワーク、個人ドライブ、データベース、コピーされた抽出物に分散している場合に、それらの義務を果たすことの難しさを示している。
データ主権と地域性は、データの公的な性質に現れる。図書館利用者と職員は、裁量的なマーケティングプラットフォームにのみ情報を提供したわけではない。彼らは国家的な文化機関と交流した。職員記録、読者記録、顧客連絡先詳細、マーケティング抽出物、個人ファイルは、公共の信頼の文脈で保持されている。ランサムウェアがそれらをコピーしたとき、機関の義務には通知、アドバイス、適切な場合の信用監視、規制当局との協力、データの保存と複製方法の変更が含まれる。
レビューの手動プロセスがデータコピーを増加させたという声明は、最も重要な教訓の一つである。データ最小化はしばしばプライバシーコンプライアンスとして議論される。ここではそれはランサムウェアの回復力でもある。重複ファイル、抽出物、個人ドライブのコピー、管理されていないデータセットが多ければ多いほど、攻撃者はより多くを取得でき、機関は何が露出したかを理解するためにより多くの作業を強いられる。したがって、現代の復旧プログラムには、エンドポイントセキュリティだけでなく、データマッピング、保存レビュー、アクセス制御、ストレージ統合、スタッフ教育を含めるべきである。
説明責任の基準は、データ面がより小さく、より管理可能になったという証明である。図書館は重複した職員および顧客データを削減したか?データ分類を改善したか?機密情報の個人ドライブ保存を制限したか?顧客データシステムを約束されたアーキテクチャに統合したか?誰が何にアクセスできるかの記録を改善したか?これらの問いは、プライバシー、継続性、システム設計を結びつける。
サードパーティの特権アクセスは管理境界であった
British Library のレビューは、サードパーティの特権アクセスを可能性の高い管理境界として特定している。ターミナルサーバーは信頼できる外部パートナーと内部 IT 管理者のために使用され、パンデミック中にリモート使用が拡大し、パートナーは監督付きの物理的アクセスから特定のサーバーやソフトウェアへの特権管理者アクセスまで、さまざまなレベルのアクセスを持っていたと述べている。また、サードパーティプロバイダーの使用とアクセス管理の複雑さの増加は2022年後半にリスクとして指摘され、2024年にレビューが計画されていたが、前提条件が完了する前に攻撃が発生したと述べている。
これは一般的な機関の問題である。文化組織は、専門的な図書館システム、保存ツール、デジタル化プラットフォーム、インフラ保守、開発プロジェクトのためにベンダーに依存している。スタッフの能力と技術的専門性により、ベンダーアクセスが必要になることが多い。しかし、ベンダーアクセスは、強力な MFA、セッション監視、ジャストインタイム制御、セグメンテーション、契約上の明確なインシデント義務なしにサーバー、データストア、管理ツールに到達する場合、特権経路になる。
レビューは、最も可能性の高い原因は侵害された特権アカウント認証情報であると述べているが、正確な方法に関する不確実性を注意深く指摘している。その表現は責任あるものである。過剰な主張を避けながら、重要な管理クラスである特権アクセスを特定している。また、更新されたインフラには、特権アクセス管理(PAM)によるサードパーティネットワークアクセスの大幅に強化された管理が含まれると述べている。それは具体的な修復方向である。
NCSC のボードツールキット(https://www.ncsc.gov.uk/collection/board-toolkit)は、特権サードパーティアクセスが純粋に技術的な設定ではなく、取締役会レベルのリスクであるため、関連する。上級リーダーは、どれだけのベンダーアクセスが許容されるか、どのような補償管理が必須か、例外がどのように承認されるか、契約がどのようにインシデント責任を割り当てるか、機関がそれを管理するためのツールとスタッフにどのように資金を提供するかを決定しなければならない。それらの決定がプロジェクトチームに納期のプレッシャーの下で委ねられると、アクセスの乱用が予測可能になる。
サードパーティリスクはまた、公共の説明責任と交差する。公的資金を受ける機関は作業を外部委託できるが、知識へのアクセスと個人データを保護する公共の義務を外部委託することはできない。図書館は、たとえベンダーの認証情報が関与していても、パートナーアクセスがどのように設計され監視されるかについて責任を負い続ける。契約は、MFA、名前付きアカウント、最小特権、アクセス期限、ログ記録、インシデント協力、迅速な失効を要求することによって、その説明責任をサポートすべきである。
インシデント後のテストは、サードパーティアクセスが便利さから証拠に移行したかどうかである。図書館は、すべてのパートナーアカウント、その所有者、目的、特権レベル、有効期限、MFA ステータス、セッションログ、緊急失効経路をリストできるか?パートナーが必要以上のアクセスを持っていないことを証明できるか?アクセスをセグメント化された環境に制限できるか?パートナーアカウントからの異常なデータ移動を検出できるか?これらの回答は文化的公共サービスの継続性の一部である。サードパーティアクセスは、メンテナンス経路が国立図書館の停止になるかどうかを決定できるからである。
コミュニケーションは継続性の管理であった
攻撃中、British Library は通常のチャネルが機能していない中でコミュニケーションを取らなければならなかった。レビューによれば、ウェブサイトとイントラネットが機能しなくなったため、コミュニケーションは最初にソーシャルメディアとスタッフへのメールまたは WhatsApp によるカスケードを使用した。安全が確認された後、図書館は読者、サポーター、公共貸出権利用者などにメールで連絡し、人々を NCSC のセキュリティガイダンスに誘導し、ユーザーフィードバックを利用して FAQ を形成し、企業ブログと暫定ウェブサイトを通じて情報を投稿した。また、スタッフが外部のコミュニケーションを一般より先に見て、ユーザーの問い合わせに答えられるように努めた。
それは継続性の作業であり、広報ではない。ユーザーは、建物が開いているか、閲覧室が使用可能か、カタログが検索可能か、注文が可能か、パスワードが変更可能か、個人データが侵害された可能性があるか、公式の更新情報をどこで見つけるかを知る必要があった。スタッフは、攻撃者を助ける可能性のある詳細を避けながら、ユーザーに何を伝えるかを知る必要があった。研究者は、コレクションアクセスが締切、助成金、旅行、出版スケジュールを決定できるため、計画情報を必要としていた。
復旧ページ(https://www.bl.uk/about/cyber-attack)はユーザー向けの例を示している。パスワード変更のためのシステムがまだ利用できないことを説明し、予防措置として非 British Library サービスで類似のパスワードを変更するようアドバイスし、NCSC の公共セキュリティアドバイス(https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online)を指し示し、データ保護連絡先を提供している。また、図書館はどの情報が侵害されたかを正確に特定できず、要求に即座に対応できない可能性があると述べている。それは厳しいメッセージだが、誤った確実性よりも説明責任がある。
コミュニケーションはまた、公共サービスの可用性をカバーしなければならなかった。British Library のサービスページ、カタログ、文書館インターフェースは復旧記録の一部となった。国際敦煌プログラムの更新(https://idp.bl.uk/blog/idp-new-website-launch/)は復元の一例を示しており、サイバー攻撃がサービスに重大な影響を与えたこと、プロジェクトが復旧中にデジタルコンテンツへのアクセスを回復したことを述べている。このような公開ページにより、ユーザーは特定のサービスが戻るのを見ることができ、広範な機関の保証だけを聞くのではない。
議会質問記録(https://questions-statements.parliament.uk/written-questions/detail/2024-01-25/HL1928)は、この問題が公的監視に達したことを示している。政府の回答は、図書館がサービスの復旧に懸命に取り組んでおり、2024年1月15日に主要サービスの段階的な復旧を開始したと述べている。議会の注目は、国立図書館が利用者だけでなく、公的資金提供者と選挙で選ばれた監視に対しても説明責任を負うため、重要である。
コミュニケーションの教訓は、公共機関が低下したチャネルでのコミュニケーションを事前に計画すべきであるということである。ウェブサイトがダウンした場合、権威あるページは何か?メールが利用できない場合、スタッフはどのように情報を得るか?一般ユーザーがデータアドバイスを必要とする場合、それはどこにあるか?サービスの可用性が毎週変わる場合、誰がガイドを更新するか?憶測が報道に現れた場合、セキュリティを損なわずに何を修正できるか?コミュニケーションは、正確で、タイムスタンプされ、アクセス可能で、実際のサービス状態に結びついている場合、二次的な被害を減らす。
身代金拒否が復旧の枠組みを変えた
British Library のレビューは、図書館は犯罪者に支払いを行わず、いかなる方法でも関与しなかったと述べており、英国の政策としてそのような支払いを行うべきではないと指摘している。その決定は説明責任にとって重要である。支払いを拒否しても被害は回避されない。この場合、データはダークウェブに公開され、サービスは混乱したままだった。しかし、支払いは復旧を保証せず、盗まれたデータを消去せず、将来の攻撃に資金を提供する可能性がある。公共機関はまた、公共部門への攻撃のインセンティブを生み出さないという広範な義務を負っている。
NCSC は一貫して身代金支払いに警告しており、The Guardian の報道(https://www.theguardian.com/technology/2024/mar/17/british-library-did-the-right-thing-by-not-paying-cybercriminals)は、図書館の拒否と透明性に対する NCSC の賞賛を説明している。それは第三者報道であり、核心的なインシデント記録ではないが、政策の文脈を支持している。説明責任のある問いは、無支払いの姿勢が復旧能力によってどのように裏付けられるかである。公共機関が支払いを拒否する場合、拒否が実行可能となるように、バックアップ、セグメンテーション、インシデント対応、サイバー人材、調達の敏捷性、公共サービスの代替手段に投資しなければならない。
British Library のレビューは、拒否を再構築に結びつけている。再構築・再生プログラムには、対応、適応、再生のフェーズがあった。適応フェーズは、暫定ソリューションでサービス、内部プロセス、パートナーシップを復旧することを目的としていた。再生フェーズは、システムをアップグレード、適応、または新規導入することにより、回復力のあるインフラと恒久的なソリューションを創出することを目的としていた。この構造は、無支払いの復旧がスローガンではないことを示している。それには数ヶ月にわたるプログラムガバナンス、資金調達、優先順位付け、変更管理が必要である。
財務記録も重要である。年次報告書は、サイバー攻撃に起因する直接追加コストが年度末までに合計60万ポンドであり、完全な純影響はまだ審査中であり、計画されたデジタル投資の一部が加速されると述べている。報道では、The Guardian の2024年1月の記事(https://www.theguardian.com/books/2024/jan/15/british-library-begins-restoring-digital-services-after-cyber-attack)を含め、はるかに大きな復旧コストが示唆されているが、説明責任のある記事は報道の推定を公式の最終コストとして扱うべきではない。公式のポイントはより狭く、より強力である:復旧は財務とリスク計画を変え、完全な影響には継続的なレビューが必要であった。
無支払いの説明責任はまた、データ主体への支援を必要とする。盗まれたデータが公開された場合、個人はシステムが再構築された後もリスクを負う。図書館は影響を受けた人々に連絡し、アドバイスを提供し、適切な場合には職員および一部の他の人々に信用監視と身元保護を購入したと述べている。その支援は被害軽減の一部である。公共機関の支払い拒否は、データが露出した人々への具体的な支援と対にならなければならない。
最終的な教訓は、身代金の拒否が回復力への負担を移すことである。それは準備によって支えられる場合に正しい政策である。公共機関が必須サービスの復旧、データ主体の保護、組織犯罪への資金提供なしでの再構築ができることを示せる場合、それは信頼できるものとなる。
ガバナンスと資金調達が復旧を修復にするかどうかを決定する
British Library のレビューと年次報告書は両方とも、復旧がガバナンスプログラムであることを示している。理事会は再構築・再生プログラムを承認した。プログラムボードとガバナンス構造が設立された。新しい理事会小委員会であるデジタルポートフォリオ委員会が、他のデジタル作業と並行してプログラムを監督し、外部のサイバー専門知識を募集する。プログラムは、事業継続、正式なテスト、訓練体制、変更管理、および同様の規模のインシデントへの準備をレビューする。
これらの詳細は、サイバー復旧が緊急購入の連続になるのを防ぐために重要である。ツールを購入することは管理を変えることと同じではない。ランサムウェアから復旧する文化機関は、ネットワークセグメンテーション、クラウド移行、バックアップアーキテクチャ、アプリケーション近代化、データガバナンス、サードパーティアクセス管理、スタッフトレーニング、リスク管理、サービス可用性コミュニケーション、法規制フォロースルー、ユーザー向け復旧というポートフォリオを必要とする。ガバナンスはそれらの要素を首尾一貫させる。
資金調達は公共の説明責任の問題である。年次報告書は、図書館がすでにデジタル投資に資金を割り当てており、多くの場合に計画支出を加速し、追加の IT コストと減収を組み込んだ修正された3年財務戦略を理事会に提出すると述べている。また、図書館は予期せぬ問題に備えて定期的に準備金を維持しているが、攻撃とインフレがその状況に影響を与えたと述べている。公的資金提供者は、追加支出がリスクを除去するのか、それとも単に脆弱なサービスを復元するのかを知る必要がある。
文化・メディア・スポーツ省(DCMS)(https://www.gov.uk/government/organisations/department-for-culture-media-and-sport)は、文化団体をスポンサーし、インシデント中に図書館を支援したため、説明責任環境の一部である。公共機関は支出協定、採用制約、調達ルール、国家サイバー政策の範囲内で運営される。理事会は回復力を要求できるが、リソース、サイバー人材、数十年にわたって蓄積された可能性のあるレガシーシステムを廃止する権限も必要である。
レビューの将来のリスク評価は、能力について率直である。技術部門はインシデント前から過剰に負担されており、サイバーセキュリティおよびクラウドエンジニアリングの能力は特に深刻であり、需要の高い IT スキルに対する報酬は再考が必要かもしれないと述べている。これはガバナンスの事実であり、言い訳ではない。公共機関は希少なサイバー人材を競い合う一方、公共部門の給与と予算の制約に直面している。説明責任は、その制約を名指しし、それを管理する方法を決定することを要求する。
したがって、説明責任のある修復ファイルは、資金を管理に結びつけるべきである。主要な支出ごとに、どのリスクを減らすのか?新しい図書館サービスプラットフォームはサポートされていないソフトウェアのリスクを減らすか?クラウド移行はオンプレミスの復旧リスクを減らす一方で、管理されたクラウドリスクを導入するか?PAM はサードパーティアクセスリスクを減らすか?バックアップの再設計は破壊的な復旧リスクを減らすか?データ統合は露出面を減らすか?そのマッピングがなければ、復旧資金は一般的な近代化の霞に消える可能性がある。
証拠は確認された事実、支持された推論、未知のものを区別すべきである
確認された公的事実には、2023年10月のランサムウェア攻撃、危機管理の発動、NCSC への相談、NCC Group の調達、ICO への通知、約600GB のデータ流出、サーバーの暗号化と破壊、身代金不払い、深刻なサービス中断、継続した建物アクセス、再構築・再生による復旧、実行可能なバックアップがあるが即座の復旧インフラが不十分、後の年次報告書の数字(利用者連絡先詳細および職員個人データのコピー・開示)が含まれる。公式情報源は、特にサイバーインシデントレビューと年次報告書において、異常に詳細である。
支持された推論には、MFA のギャップ、サードパーティの特権アクセス、ネットワークセグメンテーション、レガシーアプリケーションの負債、データ重複、バックアップインフラ、復旧順序が中心的な管理対象であったという結論が含まれる。その推論は、レビュー自身の議論によって直接支持されている。また、サービス可用性コミュニケーションが継続性の管理であったと推論することも合理的である。なぜなら、機関は通常システムがダウンしている間に復旧および可用性ページを作成し、代替チャネルに依存したからである。
未知のものは残っている。公的記録は、使用されたすべての認証情報、完全な攻撃経路、すべてのエンドポイントアラート、すべてのマルウェアアーティファクト、すべてのベンダー契約、流出したすべてのデータベースフィールド、すべての法執行調査結果、ICO の最終結論、すべての復旧コスト、すべての再構築・再生管理の完了状況、完全復旧のすべてのサービスレベル目標を明らかにしていない。レビュー自体は、正確な侵入ポイントと方法は確実に述べることができず、一部のデータ分析は復元されたデータベース機能に依存していたと述べている。
それらの未知のものは憶測で埋めるべきではない。公式記録がそう述べていない限り、特定のサードパーティベンダーが攻撃を引き起こしたと主張するのは誤りである。すべてのデジタルコレクションが失われたと主張するのは誤りである。レビューは安全なコピーが存在し、コレクションに検証が必要であると述べている。クラウド移行がサイバーリスクを排除すると主張するのは誤りである。レビューは、クラウドへの移行はリスクを除去するのではなく変換すると明示している。また、年次報告書の60万ポンドという数字を最終総コストとして扱うのも誤りである。報告書は完全な純影響はまだ審査中であると述べている。
選択された報道は、ユーザーが公共の影響を理解するのに役立つが、公式記録が主な重みを負う。The Guardian の2024年1月のカタログ復旧報告は、外部の年表とユーザー向けの文脈に有用である。NISO の要約(https://www.niso.org/niso-io/2024/03/report-british-library-cyber-incident-review)は、セクターの読者をレビューに誘導する。これらの情報源は記事の公共的文脈を支持するが、図書館自身のレビューと報告書を置き換えるものではない。
証拠の境界は説明責任の一部である。なぜなら、同業機関が噂をコピーせずに学ぶのに役立つからである。British Library の公的記録への最も強力な貢献は、すべての詳細が知られていることではない。それは、機関が不快な管理を名指ししたことである:ターミナルサーバーへの MFA の欠如、レガシーの複雑さ、サードパーティアクセスリスク、データ重複、古いサーバー防御、インフラ破壊による遅い復旧、文化的およびガバナンスの変化の必要性。
継続性のテストは回復力のあるアクセスの証明である
最終的な説明責任のテストは、British Library が最終的にサービスを復旧するかどうかではない。テストは、より回復力のある知識へのアクセスを証明できるかどうかである。その証明には、完了したセグメンテーション、強化された MFA、サードパーティアクセス向け PAM、不変およびエアギャップのバックアップ、検証されたデータセット復元、近代化された図書館サービス、削減された重複データ、改善されたインシデント訓練、より強力な変更管理、およびユーザーが行動できるサービス可用性コミュニケーションが含まれるべきである。
研究者にとって、証拠は、カタログ、注文、閲覧室ワークフロー、電子リソース、オンラインジャーナル、デジタルコレクション、文書館、原稿、非印刷法定納本、問い合わせシステムが、大規模インシデントからより少ない混乱で生存または復旧できることを示すべきである。職員にとって、ワークフローがサポートされていないシステムや露出を増やす手動データコピーに依存しないことを示すべきである。データ主体にとって、個人データがマッピングされ、最小化され、保護され、報告可能であることを示すべきである。資金提供者にとって、加速されたデジタル支出が測定可能な回復力を購入したことを示すべきである。
British Library 自身の戦略的文脈が重要である。機関の Knowledge Matters 戦略は、年次報告書および公開ページ(https://www.bl.uk/about-us/)に記載されており、アクセス、近代化された図書館サービス、パートナーシップ、持続可能性、回復力、新しいスペースに焦点を当てている。ランサムウェアの復旧は、その戦略に対して評価されるべきである。安全だがアクセスできない再構築された図書館サービスは使命に失敗する。データガバナンスを変更しないままの復元されたカタログはプライバシーの教訓に失敗する。スタッフ能力と新しいリスク管理を欠くクラウド移行は将来のリスクの教訓に失敗する。
継続性の基準はまた、ユーザーにとって十分に公開されるべきである。研究者はファイアウォール図を必要としない。彼らはどのサービスが利用可能か、何がまだ低下しているか、復旧がいつ期待されるか、ギャップをどう回避するかを知る必要がある。職員はすべてのフォレンジック詳細を必要としない。彼らはトレーニング、明確なチャネル、安全な作業をサポートするシステムを必要とする。同業機関は図書館の機密ログを必要としない。彼らは MFA、サードパーティアクセス、レガシーインフラ、バックアップ、データ重複、危機コミュニケーションに関する教訓を必要とする。
したがって、British Library の事例は単なるランサムウェアの話ではない。それは文化インフラの話である。攻撃者はインシデントを引き起こしたが、公的説明責任ファイルは機関とそのガバナンス環境に属する。なぜなら、彼らが投資、アーキテクチャ、データ管理、サービス優先順位、サードパーティアクセス、公的コミュニケーションを管理するからである。文化機関への教訓は直接的である:デジタルアクセスは今や公共の使命の一部であり、回復力はカタログ、閲覧室、デジタルコレクション、データ主体通知、職員ワークフロー、資金計画で証明されなければならない。復旧は、これらの面が攻撃前よりも脆弱でなくなったときにのみ修復となる。

