要約
- Deloitte の2017年のメールシステム侵害報告は、クライアントデータ通知の説明責任テストとなった。公開報道によると、攻撃者はクライアントの通信や添付ファイルを含む Deloitte のメールプラットフォームにアクセスしたが、Deloitte は影響を受けたクライアントはごくわずかで、業務の混乱は発生しなかったと述べた。
- 特権メールアクセス、管理者認証、クライアントデータの範囲特定、影響を受ける当事者への通知、監査証拠、およびプロフェッショナルサービスの機密性が侵害を乗り越えたことの証明を、実質的に誰が管理していたのか?
- 説明責任の問題は、規制対象、戦略的、および商業的記録が共有メールシステムを通過する場合、プロフェッショナルサービス企業が内部メール管理をクライアント機密管理に変えるということである。
- クライアント、監査人、規制当局、パートナー、従業員、調達チーム、およびセキュリティレビュー担当者は、露出した資料、通知対象者、および修復手順が検証可能な事実によって境界付けられているという証拠を必要としていた。
- この記事は、The Guardian のレポート (https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails) および (https://www.theguardian.com/business/2017/oct/10/deloitte-hack-hit-server-containing-emails-from-across-us-government) を主要な公開報道として扱い、KrebsOnSecurity (https://krebsonsecurity.com/2017/09/source-deloitte-breach-affected-all-company-email-admin-accounts/) および Reuters 再掲載報道 (https://uk.finance.yahoo.com/news/deloitte-hacked-says-very-few-clients-affected-052609557--sector.html) を追加の公開記録として、NIST、CISA、Microsoft、ICO、Companies House の資料を管理またはエンティティコンテキストとして扱い、Deloitte のプライベートフォレンジック成果物の証明としては扱わない。
この事例がリスクと説明責任ファイルに属する理由
Deloitte は、インシデントがプロフェッショナルサービスの信頼をメール管理問題の中に置いたため、リスクと説明責任ファイルに属する。差し迫った技術的質問は、攻撃者がどのようにプラットフォームにアクセスしたかであった。説明責任の質問はより広範であった:機密のクライアント通信、監査資料、戦略文書、取引記録、セキュリティ図、規制データ、および特権的助言を保持する企業が、共有メール環境が侵害されたときに何が露出したかを証明できるかどうか。

