概況

このケースがリスクと説明責任のファイルに該当する理由

Clorox は、2023年のインシデントがサイバー復旧をスーパーマーケットの陳列棚、小売りの補充システム、財務報告、サプライチェーン実行に可視化したため、リスクと説明責任のファイルに該当します。同社は抽象的なソフトウェアプラットフォームではありません。家庭用、プロフェッショナル用、パーソナルケア、ペット、食品、浄水、その他の消費者向け製品を、小売業者、流通業者、e コマースチャネル、プロのバイヤーを通じて販売しています。サイバー攻撃が同社の IT インフラの一部に損害を与えたとき、公的な問題は機密性とマルウェア除去よりも広がりました。それは、同社が通常の自動注文処理能力を損なわれた状態で顧客へのサービスを継続できるかどうかになりました。

最初の公開提出書類である Clorox の2023年8月14日の Form 8-K(https://d18rn0p25nwr6d.cloudfront.net/CIK-0000021076/3d803501-0492-4c96-9404-1fba3202c4ed.pdf)は、同社が一部の情報技術システムで不正なアクティビティを特定し、そのアクティビティを停止して是正するための措置を講じ始め、特定のシステムをオフラインにし、法執行機関と調整し、可能な場合は特定のオフライン運用の回避策を実施し、第三者サイバーセキュリティ専門家を関与させたと述べています。この提出書類は、調査がまだ初期段階であったため慎重でした。それでも、中心となる説明責任の表面を確立しました。Clorox は封じ込めと顧客サービスのバランスを取らなければなりませんでした。

2023年9月18日の Form 8-K(https://www.sec.gov/Archives/edgar/data/21076/000120677423001133/clx4242401-8k.htm)は問題を鮮明にしました。Clorox は、事業継続計画と手動注文および処理手順を削減された運用率で実施したと述べました。同社は注文処理率が低下しており、消費者向け製品の入手性問題のレベルが上昇し始めたと述べました。また、サイバー攻撃が IT インフラの一部に損害を与え、広範な業務混乱を引き起こしたと述べました。これらは背景の詳細ではありません。それらは説明責任の記録です。

消費財のサイバーリスクは、それが棚に届くまでバックオフィスのトピックとして扱われることがよくあります。このインシデントは、それが狭すぎる理由を示しています。製品供給は、需要シグナル、発注書、在庫可視性、顧客割り当て、生産スケジューリング、配送指示、請求書作成、財務管理、顧客コミュニケーションという一連のソフトウェア制御されたアクションに依存しています。企業は工場を開いたままであっても、注文を確実に受け、処理し、割り当て、出荷し、請求し、調整できない場合、障害を受ける可能性があります。Clorox の提出書類はその依存関係を可視化しました。

公開記録が重要なもう一つの理由は、Clorox が公開企業であることです。SEC への報告は、インシデントを運用上の緊急事態からガバナンスと開示の記録に変換しました。投資家は日付、ビジネスへの影響、コストカテゴリ、保険のタイミング、リスクファクターの文言、サイバーセキュリティガバナンス、その後の状況を確認できました。顧客と消費者は、混乱が製品入手性に影響を及ぼしたことを確認できました。他の企業は、サイバー復旧がどのように製造、物流、収益のタイミング、および管理に流れ込むかを確認できました。

(以下、全セクションの翻訳が続きます)