概要
- 確認された公的記録:2019 年 12 月 31 日頃に始まったランサムウェア攻撃により、Travelex はシステムをオフラインにせざるを得なくなり、2020 年 1 月の通貨サービスが中断された。公の報道では、Sodinokibi/REvil による犯行声明、身代金要求、データ窃取の疑惑が報じられた一方、Travelex は顧客データが侵害された証拠はないと述べたとされる。Travelex の後の再編発表と PwC の管理資料は、深刻な取引圧力の後、2020 年に事業が大規模な債務再編と管理手続きに入ったことを示している。 (Guardian 2020 年 1 月の報道,Guardian 紙の請求書に関する報道,Travelex 再編発表,PwC 管理資料)
- 依存関係の問題:Travelex は単なる小売両替所ではなかった。パートナー銀行や小売ブランドに旅行資金サービスを提供していたため、その停止は、銀行やスーパーと取引していると思っていた顧客にも影響を及ぼした。パートナーとのコミュニケーション、返金処理、店舗での代替措置、顧客対応の経済性がインシデントの一部となった。 (BBC 2020 年 1 月の報道,Guardian サービス再開報道)
- パッチ適用の限界:公の報道とその後のセキュリティ解説は、この攻撃を未修正の Pulse Secure VPN の脆弱性(CVE-2019-11510)の悪用と結びつけている。CISA は 2020 年 1 月、未修正の Pulse Secure VPN サーバーが悪用されており、犯罪者がそのようなシステムに対して REvil/Sodinokibi ランサムウェアを使用しているというメディア報道に言及し、警告を発していた。これは脆弱性管理の説明責任の問題を裏付けるが、公的記録には、Travelex が公開したフォレンジック報告書がなく、初期アクセスの全段階を証明するものは依然として存在しない。 (CISA Pulse Secure 勧告,CVE-2019-11510 レコード)
- 評価:犯罪者が恐喝を制御していた。Travelex はエクスポージャー管理、復旧、パートナーの代替策、直接コミュニケーションを制御していた。銀行と小売パートナーは顧客向けの約束と返金を制御していた。債権者と管財人はその後の再編の道筋を制御していた。旅行者、支店スタッフ、中小の取引先は、財務再編によって事業継続性の失敗が企業形態として可視化される前に、不確実性の多くを吸収した。
通貨サービスは、停止するまでは小さく見える
外貨両替サービスは、便利なレイヤーのように見えることがある。トラベルマネーのウェブサイト、キオスク、空港カウンター、プリペイドカード、銀行ブランドの注文ページ、スーパーの受け取り場所など。そのイメージは依存関係を過小評価している。Travelex は、多くの目に見える顧客インターフェースの背後に存在していた。そのシステムがオフラインになったとき、顧客はこの停止を純粋に Travelex の問題として経験しなかった。ある者は銀行の問題として、スーパーの問題として、返金の問題として、支店の問題として、旅行の問題として、あるいは旅行の始まりに現金の問題として経験した。
これが、2020 年のランサムウェアインシデントがリスクと説明責任のシリーズに属する理由である。問われるのは、Travelex がネットワークにマルウェアを持っていたかどうかだけではない。どれだけの組織が、専門プロバイダーのシステムが危機の間、利用可能で、パッチが適用され、復旧可能で、コミュニケーションが取れるという前提で、旅行資金の約束を構築していたかである。
インシデントは暦の境目に始まった。2019 年の大晦日、Travelex はサイバー攻撃を受けてシステムをオフラインにした。1 月初旬には、同社のウェブサイトやオンラインサービスが停止したままで、公の報道では支店やパートナーの混乱が伝えられた。The Guardian は、Sodinokibi ランサムウェアグループを名乗る攻撃者が支払いを要求し、盗んだと主張するデータを公開すると脅したと報じた。Travelex は、その時点では個人データや顧客データが侵害された証拠はないと述べたとされる。(Guardian 1 月 7 日の報道)
運用上の影響は露骨だった。一部の拠点では、ウェブサイトが停止したままの間、スタッフが紙の請求書を使用していると報じられた。銀行や小売パートナーの顧客は、利用できない旅行資金サービスに遭遇した。パートナーブランドは、自らが直接引き起こしたわけではないが、自社の顧客に対して露呈した停止を説明しなければならなかった。(Guardian 紙の請求書報道,BBC 報道)
旅行者にとって、通貨注文の停止は抽象的には存続の危機ではない。しかし、その瞬間には高くつき、ストレスになることがある。顧客は、カードの受け入れが不均一な目的地のための現金、子供のためのプリペイドカード、出発前の返金、または銀行を通じて行った注文の証明が必要かもしれない。従業員にとっては、停止はツールの劣化、手動プロセス、心配する顧客、不明確な指示を意味した。パートナー銀行や小売業者にとっては、コールセンターの負荷、風評被害、代替策を意味した。Travelex の債権者にとっては、既に負債を抱え、その後 COVID-19 による旅行崩壊に見舞われた事業への、もう一つの圧力となった。
年表はインシデント対応と公的圧力を混ぜ合わせた
公の年表は、2020 年 1 月の Travelex の多くの公式インシデント更新情報が、もはや単一の信頼できるアーカイブとして扱いにくいため、ノイズが多い。最も強固な永続的記録は、同時代の信頼できる報道、CISA の脆弱性警告、Travelex の 8 月の再編発表、PwC の管理資料を組み合わせたものである。
2020 年 1 月 7 日、The Guardian は、Travelex がランサムウェアに攻撃され、ウェブサイトがダウンし、攻撃者がデータをコピーしたと主張し、同社が個人情報や顧客データの侵害の証拠はないと述べたと報じた。BBC は同日、身代金要求とサービス停止について報じ、このインシデントを Travelex とそのパートナーに影響を与える問題として特定した。(Guardian 1 月 7 日の報道,BBC 報道)
1 月 8 日、The Guardian は、ウェブサイトがオフラインのままの間、スタッフが紙の請求書を使用したこと、影響を受けた銀行や小売チャネルを特定したと報じた。この報道は、実際に劣化した代替策を示しているため重要である。手動の代替策は一部の取引を継続させることができるが、エラー率、照合作業、不正対策、顧客待ち時間、従業員の作業負荷も変化させる。(Guardian 紙の請求書報道)
1 月 13 日、The Guardian は、ランサムウェア攻撃後、店舗内サービスの一部を含め、一部の Travelex サービスが再開したが、すべてのシステムが正常に戻ったわけではないと報じた。この日付が重要なのは、復旧が単なるスイッチの切り替えではないことを示しているからだ。サービスは不均一に再開する可能性がある。あるチャネルは復旧し、別のチャネルは保留中、あるパートナーは再接続され、別のパートナーは自社の顧客通知を処理する。(Guardian サービス再開報道)
1 月 10 日、CISA は Pulse Secure VPN の脆弱性 CVE-2019-11510 の継続的な悪用に関する勧告を発行した。勧告は、組織が影響を受けるシステムに直ちにパッチを適用するよう警告し、サイバー犯罪者が未修正の Pulse Secure VPN サーバーを標的にして REvil/Sodinokibi ランサムウェアをインストールしているというメディア報道に言及した。(CISA Pulse Secure 勧告) この勧告は Travelex のフォレンジック報告書ではない。それでも、公に議論された脆弱性を同じ時間枠とランサムウェアのエコシステムに位置づける点で中心的である。
2020 年 8 月までに、インシデントはより広範な財務再編の記録の一部となっていた。Travelex Finance Plc は債務再編の完了を発表し、負債総額が 3 億 8500 万ポンド以上から 1 億 6000 万ポンドに削減され、新グループは 8400 万ポンドの新たな流動性を受け取るとした。発表は COVID-19 による旅行崩壊を強調したが、サイバー攻撃がすでにサービスの可用性と信頼を弱めていた年の後に出された。(Travelex 再編発表)
PwC の管理資料には、Travelex Banknotes Limited が 2020 年 7 月 21 日に管理手続きに入り、他のいくつかの Travelex 事業体が再編の一環として 2020 年 8 月 6 日に管理手続きに入ったことが記録されている。また、債権者のためのそれらの事業体のその後の管理、および管理後のプロセスも記録している。(PwC 管理資料,PwC 初日発表 PDF)
したがって、年表には 2 つの層がある。1 つ目はインシデント対応:システム停止、手動の代替策、パートナーの混乱、身代金の圧力疑惑、段階的復旧。2 つ目は財務的継続性:深刻な混乱に見舞われた旅行資金事業が、同じ年に再編と管理手続きに入ったこと。ランサムウェアだけが再編を引き起こしたと言うのは不注意であろう。COVID-19 による旅行崩壊は大規模な独立したショックだった。しかし、ランサムウェアインシデントを事業継続性の記録から消し去るのも同様に不注意である。
アウトソーシングによりパートナーブランドが停止の一部となった
Travelex の停止は、ホワイトラベル依存の教訓であった。顧客は銀行やスーパーのウェブサイトから旅行資金を注文し、そのブランドを責任あるサービスプロバイダーと認識するかもしれない。舞台裏では、専門の通貨サービスプロバイダーが価格設定、注文処理、履行、在庫、決済、支店や配送のワークフローを提供している可能性がある。専門家が失敗すると、目に見えるブランドが依然として顧客の信頼を負う。
The Guardian と BBC の記事は、いくつかのパートナーチャネルの顧客の混乱を特定した。詳細はパートナーによって異なったが、一貫したパターンがあった:Travelex と直接のセキュリティ関係を持たない顧客が、Travelex のシステムがオフラインであることの影響を受けたのだ。(BBC 報道,Guardian 紙の請求書報道)
これにより、この停止は委託されたオペレーショナルレジリエンスの実践的なテストとなった。銀行や金融機関は機能を委託できるが、顧客への説明責任を委託することはできない。現代の英国金融規制は、後にこの点をオペレーショナルレジリエンスの期待を通じて明確にした。それによると、企業は重要な事業サービスを特定し、影響許容度を設定し、サードパーティの依存関係を管理することが求められる。FCA のオペレーショナルレジリエンス資料は、Travelex やそのパートナーに関する遡及的調査結果ではないが、委託されたサービスが許容可能な限度内で失敗する可能性があるかどうか、顧客向け企業が理解しなければならないという教訓を捉えている。(FCA オペレーショナルレジリエンス,FCA PS21/3)
Travelex インシデントはまた、真の問題がプロバイダーにある場合のパートナーのステータスページやカスタマーサービススクリプトの弱点を露呈した。銀行は顧客にトラベルマネーの注文が利用できないと伝えることができるが、プロバイダーのシステムが数時間、数日、数週間で戻るかどうかは分からないかもしれない。カスタマーサービス担当者は返金や代替案を提供できるが、プロバイダーのプラットフォームがダウンしている場合、取引の詳細にアクセスできないかもしれない。パートナーは原因や復旧を証明できなくても、症状について透明性を持たせることができる。
その依存関係はインシデント前にモデル化されるべきだった。パートナー契約には、脆弱性管理の証拠、テスト済みのインシデント対応、最大停止期間、手動履行手順、データ保護通知、侵害コミュニケーションのタイムライン、返金権限が要求される可能性がある。一部の契約はそうしていたかもしれないが、公の記録はパートナーごとの継続性スコアカードを示していない。目に見える結果は、あるプロバイダーによって引き起こされた混乱を説明するブランドのネットワークだった。
パッチ適用の問題は証拠に裏付けられているが、依然として限定的である
Travelex インシデントについて最も繰り返される技術的主張は、攻撃者が未修正の Pulse Secure VPN 脆弱性 CVE-2019-11510 を悪用したというものである。CVE レコードは深刻な Pulse Connect Secure の欠陥を説明している。CISA の 2020 年 1 月の勧告は、未修正の Pulse Secure VPN サーバーが悪用されており、そのようなシステムに対して REvil/Sodinokibi が展開されているというメディア報道に言及し、警告した。(CVE-2019-11510 レコード,CISA Pulse Secure 勧告)
この公的証拠は脆弱性管理の説明責任の問題を支持する。それ自体は、Travelex が公開した事後分析の代わりにはならない。責任ある説明は、公の報道とセキュリティコメントが攻撃を未修正の VPN 脆弱性に結びつけ、CISA が同じ期間に同じ種類の悪用について警告したと言うべきである。主要なフォレンジック記録がそう言わない限り、すべての認証情報、ホスト、ラテラルムーブメントの経路や復旧の決定を知っていると主張すべきではない。
パッチ適用の問題は依然として極めて重要である。境界デバイスの脆弱性は、そのデバイスがエンタープライズシステムへのリモートアクセスを仲介する場合、軽微な管理上の失敗ではない。パッチや緩和策が利用可能で広く警告されている場合、企業は資産インベントリ、露出スキャン、緊急変更承認、補償的統制、認証情報のリセット、フォレンジックレビューを管理しなければならない。また、どのサードパーティシステムやマネージドサービスが脆弱な製品に依存しているかを知らなければならない。
公の教訓は、「より速くパッチを適用する」ではなく、「より速く露出を証明する」である。通貨サービスプロバイダーにおいて、脆弱なリモートアクセスアプライアンスは単なる IT 資産ではない。それはインターネット露出とトランザクションシステム、パートナーサービス、ファイル共有、ID ストア、顧客データ、復旧遅延との間の蝶番になり得る。責任ある管理は、資産の存在を知り、それが露出していることを知り、修正を適用し、修正を検証し、侵害のログを確認し、認証情報をローテーションし、リスクをパートナーに伝達するという、脆弱性管理ループ全体である。
NCSC と CISA のランサムウェアガイダンスは、より広範な用語で同じ点を指摘している。優れたランサムウェア対策には、パッチ適用、アクセス制御、バックアップ、テストされた復旧、インシデント対応計画、ネットワークセグメンテーション、ログ記録、コミュニケーションが含まれる。(NCSC ランサムウェアガイダンス,CISA StopRansomware ガイド,FBI ランサムウェアガイダンス) これらの対策は装飾的ではない。それらは、エクスプロイトが封じ込められたイベントになるか、事業停止になるか、連鎖的なサービス障害になるかを決定する。
手動の代替策は部分的にしか機能しなかった
Travelex インシデントで印象に残ったイメージは、身代金要求書ではなかった。紙だった。スタッフが紙の請求書を書いているという報道は、同社が劣化モードで取引する能力をある程度保持していたことを示した。それは完全な停止よりは良い。また、デジタルシステムが中心的であったため、劣化モードが顧客の目に見えるようになった証拠でもある。(Guardian 紙の請求書報道)
手動の代替策はしばしば誤解される。紙のフォームは取引を保存できるが、現代の通貨プラットフォームを完全に再現することはできない。ライブレート、制裁スクリーニング、在庫、決済、注文ステータス、顧客本人確認、カード処理、返金、支店の照合、不正監視、パートナー報告、財務システムに接続できない可能性がある。また、後で再入力しなければならないバックログを作成し、エラーリスクと従業員の疲労を引き起こす可能性もある。
Travelex にとって、代替策はチャネルにも依存した。空港のデスクでは手動で通貨を販売できるかもしれない。銀行ブランドのオンライン注文ページではできないかもしれない。パートナーのコールセンターでは返金を発行できるが、注文を履行できないかもしれない。プリペイドカードや送金ワークフローには特定のデジタルサービスが必要かもしれない。両替所の支店は限られた商品のみ継続できるかもしれない。したがって、復旧はチャネルごとに起こり、単一の企業状態ではなかった。
正しい説明責任の問題は、代替策が実際の依存関係チェーンのために設計されていたかどうかである。銀行パートナーはテストされたプレイブックを持っていたか?Travelex のスタッフはいつ紙のフォームを使用し、それらをどのように照合するかを知っていたか?不正対策は適応されたか?顧客はどの商品が利用可能で、どれが利用不可能かを知らされたか?返金は目に見えるパートナーに委任されたのか、それとも Travelex に保持されたのか?小規模な旅行代理店、空港デスク、地元パートナーは、大手銀行と同じ明確さを受け取ったか?
公の報道は完全な答えを提供しない。手動作業が行われ、サービスが段階的に再開したことを示している。テストされた事業継続計画、顧客の待ち行列データ、返金量、パートナーの請求、照合エラー、従業員の残業時間は示していない。この不在は、委託サービス停止の繰り返しパターンである。公衆は停止と再開を見るが、その間の作業コストを見ない。
異なる商品が異なる損害を生み出した
「トラベルマネー」というフレーズは、異なる故障モードを持つ複数の商品を隠している。店舗受け取り用に注文された現金は、自宅配送用に注文された現金と同じではない。プリペイドトラベルマネーカードは、両替所のカウンターでの交換と同じではない。企業向け卸売銀行券注文は、消費者への返金と同じではない。パートナーブランドのオンライン注文は、Travelex の直接支店取引と同じではない。レジリエントなプロバイダーは、これらの商品のうちどれが手動で運用できるか、どれが安全に一時停止できるか、どれがライブ決済を必要とするか、そして旅行日の直前に失敗した場合に最も高い顧客被害を生み出すかを知らなければならない。
現金はタイミングの被害を生み出す。旅行者は代わりにカードを使えるかもしれないが、常にそうではない。カードの受け入れが不確かな目的地に行くため、到着後すぐに少額紙幣が必要なため、扶養家族と一緒に旅行しているため、または外国の ATM 手数料に不信感があるために現金を欲しがる顧客もいる。事前注文の現金受け取りが出発前日に失敗した場合、返金だけではサービスの約束を回復しない。顧客は別のプロバイダーを見つけ、より悪いレートを支払い、別の支店に移動するか、希望するバッファーなしで出発しなければならないかもしれない。
カードとオンライン注文は異なる被害を生み出す。プリペイドトラベルカードは、アカウントアクセス、ローディング、残高、PIN、モバイルアプリ、カード再発行、顧客認証を伴う可能性がある。ウェブサイトの停止は、物理的な現金が存在する場合でも、顧客がステータスを確認したり、注文を完了したりするのを妨げる可能性がある。パートナー銀行は、見ることができない注文について質問に答えなければならないかもしれない。プロバイダーのシステムがオフラインの場合、目に見えるパートナーは、問題を解決するのに十分な事実がないまま、苦情のルーターになる可能性がある。
卸売およびビジネス顧客は別のレイヤーを作り出す。銀行、旅行会社、空港、小売パートナーは、決済ファイル、在庫予測、支店割り当て、照合報告書に依存している可能性がある。これらが遅延すると、インシデントは単なる小売の不便ではなく、財務および運用の問題になる。小規模なパートナーは即時のカスタムアップデートを要求するための影響力が少ないかもしれないが、それでもカウンター越しに顧客と向き合っている。
これらの違いは説明責任にとって重要である。なぜなら、「サービスが再開した」はあまりにも広範な復旧指標だからだ。ある製品ラインは戻ってきても、別のラインは依然として機能不全のままかもしれない。あるパートナーは注文を再開しても、別のパートナーは認証やバックログのクリーンアップを待っているかもしれない。あるチャネルは新規取引を受け付けても、返金は依然として遅いままかもしれない。優れた継続性報告書は、それらの状態を分離し、最初の公の復旧の見出しの後も、どの顧客が露出したままかを説明するだろう。
パートナーの代替策は、ガバナンス設計の問題だった
パートナーの代替策は、停止前に設計されるべきである。最も難しい決定は乏しい情報の下で行われるからだ。通貨サービスプロバイダーに依存する銀行は、プロバイダーのプラットフォームが 1 日、3 日、または 2 週間オフラインになった場合に何が起こるかを事前に知っておくべきだ。その計画には、銀行が新規注文を一時停止するか、代替プロバイダーを使用するか、自動的に返金するか、顧客を支店に誘導するか、既存のレートを守るか、データリスクの不確実性を伝達するか、または差し迫って旅行する脆弱な顧客をエスカレーションするかが書かれるべきである。
Travelex インシデントは、それが一般的な危機言語に任せられない理由を示した。銀行パートナーはプロバイダーのランサムウェア対応を制御できないかもしれないが、自社のウェブサイト、アプリ通知、支店スクリプト、コールセンターガイダンス、返金権限を制御する。また、プロバイダー依存についてどこまで開示するかも制御する。顧客が銀行ブランドのサービスを通じて入った場合、技術的な失敗が Travelex にある場合でも、顧客は銀行が解決を所有することを合理的に期待できる。
Travelex にとって、パートナーの代替策には異なる規律が必要だった。同社は、主要パートナーに一貫したステータス更新、データリスクの表現、チャネル別の復旧見積もり、商品の可用性、手動処理ルールを提供する方法を必要としていた。また、他で尊重できない約束を 1 つのパートナーに与えることを避ける必要もあった。ホワイトラベルネットワークでは、情報格差が自らのリスクになる。なぜなら、顧客は通知を比較し、隠蔽か混乱のいずれかを推測するからだ。
ここで、小規模な取引先が圧迫される可能性がある。大手銀行や小売業者は、直接のエスカレーションライン、法務チーム、交渉されたサービス条件を持っているかもしれない。小規模なアウトレット、旅行代理店、地域パートナーは、一般的な更新情報や地元の連絡先に依存するかもしれない。プロバイダーの注意が最大の取引先に集中すると、中小企業は不確実性、顧客の怒り、照合作業の不均衡なシェアを負う可能性がある。
オペレーショナルレジリエンスの枠組みは、後にこの考え方の多くを正式化したが、実践的な教訓は 2020 年 1 月にすでに見えていた。目に見える顧客サービスを委託するには、共有の停止スクリプト、共有の返金ルール、共有のデータ通知閾値、共有のエスカレーショントリガー、テスト済みの手動手順が必要である。さもなければ、ランサムウェアインシデントの最初の数日間は、誰が顧客を所有するかについての生きた実験になる。
証拠の質は不確実性を明示することにかかっている
Travelex の記録が有用なのは、まさにそれが不完全だからである。単一の公のフォレンジック報告書ではなく、報道記事、脆弱性警告、後の破産文書、再編発表を組み合わせている。つまり、本記事は証拠を層状に扱わなければならない。サービス停止と手動の代替策は、同時代の報道によって強く裏付けられている。管理手続きと再編は、Travelex と PwC の記録によって裏付けられている。脆弱性説は、公の報道と、Pulse Secure VPN サーバーの悪用に関する CISA の一般的勧告によって裏付けられているが、Travelex が執筆した攻撃チェーンの公表物によってではない。
その層状の証拠基準は、顧客と読者を 2 つの反対の誤りから守る。1 つの誤りは、攻撃者の主張が劇的で具体的だったために事実として受け入れることである。もう 1 つは、攻撃者の主張が犯罪者からのものだったために完全に無視することである。責任ある中間点は、犯罪者がデータ盗難を主張し金銭を要求したこと、Travelex は顧客データ侵害の証拠はないと述べたと報じられたこと、そして大衆はどちらの声明も完全な最終的説明に変えるのに十分なフォレンジック証拠を受け取らなかったことを言うことである。
同じ基準が復旧にも適用される。サービスが再開し始めたという報道は、完全な運用復旧を証明するものではない。支店は営業していても、オンライン注文は依然として機能不全のままかもしれない。パートナーは新規注文を受け付けても、返金は依然として遅いままかもしれない。システムは復旧しても、手動の請求書は依然として照合が必要かもしれない。委託サービスについては、公衆は企業がオンラインに戻ったという声明だけでなく、商品、チャネル、パートナー別の復旧証拠を求めるべきである。
攻撃者はシステムだけでなく注目も悪用した
Travelex インシデントの虐待接触の経済学は異常に可視的だった。攻撃者は単にシステムを暗号化しただけではなかった。彼らは公的圧力を使用した。彼らはジャーナリストに接触し、データを盗んだと主張し、身代金要求額を挙げ、公開を脅したと報じられた。これにより、インシデントはプライベートな復旧問題から公的な交渉環境にシフトした。(Guardian 1 月 7 日の報道,CyberScoop 報道)
その戦術は顧客接触の経済学を変える。攻撃者によるすべての公的主張は、銀行への電話、Travelex へのメール、規制当局からの質問、メディアの要請、従業員の不安、パートナーのエスカレーション、顧客の返金要求を増加させ得る。攻撃者が誇張しても、企業は答えなければならない。企業があまりに少なく答えると、信頼が損なわれる。フォレンジックが完了する前にあまりに多く答えると、後で記録を修正しなければならないかもしれない。犯罪者はその不確実性を悪用する。
二重恐喝ランサムウェアはこの圧力に依存している。データ盗難の主張は、データが検証される前であってもプライバシーと風評リスクを生み出す。顧客は攻撃者がデータを持っていると主張するのを聞き、即時の安心を求める。パートナーは自社の顧客に通知しなければならないかどうかを知りたがる。規制当局は法定報告基準が満たされたかどうかを知りたがる。従業員は自分の記録が関与しているかどうかを知りたがる。攻撃者は、それらすべての接触チャネルが高価になることを強制することで利益を得る。
Travelex は、顧客データが侵害された証拠はないと述べたと報じられた。それは重要な保証だったが、独立したフォレンジック報告書を公開することと同じではなかった。責任ある基準は、「その時点で証拠がない」と「データ露出がなかったことが証明された」を区別することである。前者は調査中に真実で責任を持って言明されるかもしれない。後者には、大衆が完全には受け取らなかった証拠が必要である。
ここに、顧客向けパートナー独自の説明責任があった。銀行やスーパーは、自社の顧客のために何をすべきかを決定せずに、単にプロバイダーの不確実性を繰り返すことはできなかった。注文を一時停止するか、返金を提供するか、顧客を支店に誘導するか、代替プロバイダーを使用するか、フィッシングについて警告するか、ステータス更新を提供するかを選択しなければならなかった。パートナーはランサムウェア侵入に責任はないが、インシデントが一般ユーザーにとってどれほど高価で混乱を招くものになるかを決定する顧客接触層を制御していた。
財務再編は継続性の問題を可視化した
2020 年 8 月、Travelex は、財務上の負債を削減し、再編されたグループに新たな流動性を提供する債務再編の完了を発表した。発表では、ニューTravelex が大幅にデレバレッジされ、既存の関係銀行との提携を継続すると述べた。また、特定の英国事業体のプリパック管理売却と経営陣の変更についても説明した。(Travelex 再編発表)
PwC の管理資料は、管理任命と再編の文脈を確認している。また、債権者管理資料、通知、進捗報告書、債権証明、事業体名変更の長い尾も示している。(PwC 管理資料)
再編をサイバー因果関係の主張に矮小化すべきではない。COVID-19 は 2020 年に国際旅行を壊滅させ、旅行資金収入は旅行に依存している。負債構造とパンデミック状況が主要な推進要因だった。Travelex の発表は COVID-19 と持続可能な資本構造の必要性を強調した。ランサムウェアインシデントはむしろ、信頼を枯渇させ、現金を消費し、パートナーを混乱させ、事業がそのサービス役割に必要なほどのレジリエンスを持たないことを示した早期の運営ショックとして理解されるべきである。
その区別は重要である。なぜなら、企業の失敗の後に説明責任が誇張され得るからだ。企業がサイバーインシデントの数ヶ月後に管理手続きに入った場合、サイバーインシデントが管理手続きを引き起こしたと言いたくなる。証拠はその単純な線を支持しない。より良い結論は、ランサムウェアが、レバレッジの効いた旅行依存型の事業内部の継続性の弱点を露出し悪化させ、その後パンデミックによる需要崩壊に直面したということである。
従業員や債権者にとっては、その区別は学術的に感じられるかもしれない。彼らは雇用不安、事業体の移転、請求プロセス、事業の不確実性を経験した。PwC の資料は、その後の正式な管理機構を示している。リスク分析にとって、教訓はより明確である:デジタルレジリエンスと財務レジリエンスは結びついている。企業はシステムを復旧できても、事業の地位を回復するのに必要な流動性、信頼、運営滑走路を依然として欠く可能性がある。
規制当局とパートナーが学ぶべきだったこと
Travelex は、英国のオペレーショナルレジリエンス実装の最も強い段階に先立つものだったが、このイベントはそれらのルールのケーススタディのように読める。重要な事業サービスは、漠然とした意味での「外国為替」ではなかった。それは、複数の可視ブランドの顧客が許容可能な時間内に旅行資金を注文、収集、受領、返金、管理する能力だった。サードパーティの依存関係は専門家には隠されていなかったが、多くの顧客には隠されていた。
FCA のオペレーショナルレジリエンスの枠組みは、企業に重要な事業サービスを特定し、影響許容度を設定し、深刻だがもっともらしい混乱の間、それらの許容度内にとどまる能力をテストするよう求めている。(FCA オペレーショナルレジリエンス) Travelex を利用する銀行にとって、そのテストには、プロバイダーのランサムウェア、プロバイダーのデータ不確実性、プロバイダーのウェブサイト停止、手動返金処理、パートナーブランドのコミュニケーション、代替サプライヤーが含まれるべきである。Travelex にとって、テストにはリモートアクセスセキュリティ管理の失敗、トランザクションシステムの喪失、データ恐喝の主張、パートナー接触負荷、段階的復旧が含まれるべきであった。
NIST のサイバーセキュリティフレームワークは、同じ教訓のためのセクター横断的な構造を提供する。ガバナンス、特定、保護、検知、対応、復旧のすべてが Travelex の物語に現れる。ガバナンスは、取締役会と経営陣が露出と委託された依存関係を理解していたかを問う。特定は、インターネットに面した資産とパートナーサービスが棚卸しされていたかを問う。保護は、パッチ、MFA、セグメンテーションが整っていたかを問う。検知は、悪用がランサムウェアの前に発見されたかを問う。対応は、顧客とパートナーが明確な更新情報を受け取ったかを問う。復旧は、許容できない手動のバックログやデータ不確実性なしにサービスが戻ったかを問う。(NIST サイバーセキュリティフレームワーク)
イングランド銀行、PRA、FCA は後に、サードパーティリスクや重要な事業サービスを含む、金融セクター全体のオペレーショナルレジリエンスを強調した。(イングランド銀行のオペレーショナルレジリエンス,FCA PS21/3) Travelex は、その文言がコアバンキングを超えてなぜ重要かを示している。専門プロバイダーは、表面上は周辺的なサービスを、一度に多くの顧客向けブランドにわたって失敗させ得る。
中小企業や小規模な取引先にとって、教訓はより厳しい。大手銀行は詳細な継続条件を交渉できるかもしれない。小規模な旅行代理店、地元パートナー、支店運営者は標準条件を受け入れ、実際の混乱を負うかもしれない。最大のパートナーだけを保護するリスクプログラムは、小規模なユーザーに弱い交渉力と乏しい可視性を残す。だからこそ、サービス継続性の証拠は、秘密のブリーフィングの下での最大の顧客だけでなく、影響を受けるすべての取引先を支援するのに十分に公開されるべきである。
未だに不明なこと
公の記録には大きなギャップが残っている。Travelex は、初期アクセス経路、タイムライン、攻撃者の滞留時間、影響を受けた資産、暗号化範囲、データアクセスの結論、身代金交渉履歴、復旧シーケンスを確立する完全なフォレンジック報告書を公開しなかった。公の報道は、インシデントを Sodinokibi/REvil と Pulse Secure VPN の脆弱性に結びつけたが、公の一次証拠はインターネット露出から企業停止までの完全な攻撃チェーンを提供していない。
データ記録も不完全である。攻撃者はデータをコピーしたと報じられた。Travelex は顧客データが侵害された証拠はないと述べたと報じられた。公の記録は、最終的な独立したデータインベントリ、評価された個人の数、レビューされたデータのカテゴリー、フォレンジック手法、または通知の決定を提供していない。それはデータが確実に盗まれたことを意味しない。それは、公衆が保証を独立して検証できないことを意味する。
継続性の記録も不完全である。我々は、パートナーごとの停止タイムライン、返金総額、顧客苦情件数、手動取引件数、照合エラー率、従業員残業時間の見積もり、支店レベルのサービスマップ、代替プロバイダー計画を持っていない。どのパートナーがテストされた代替策を持っていて、どのパートナーが即興で対処したかはわからない。何人の顧客が手動で対応され、何件の注文がキャンセルされたかもわからない。
財務記録はより明確だが、それでも限られている。Travelex の 8 月の再編発表と PwC の資料は、再編と管理の経路を示している。それらは、ランサムウェアのコストをパンデミックによる収入減、負債負担、債権者との交渉、経営判断から分離していない。管理手続きをランサムウェアだけに帰する記事は主張しすぎである。ランサムウェアを偶発的と扱う記事は、継続性の記録を読み込み不足している。
説明責任はサービスの約束に従う
Travelex インシデントはパッチ適用の失敗として語られやすく、パッチ適用は中心的である。公の脆弱性の説明が正しければ、既知のリモートアクセスの欠陥が、多くの可視的な顧客サービスを支えるシステムを持つプロバイダーへの経路となった。しかし、説明責任はパッチで止まらなかった。それは資産インベントリ、緊急変更管理、セグメンテーション、認証情報のリセット、バックアップ復旧、手動の代替策、パートナー通知、顧客サポート、不正管理、返金権限、取締役会レベルの財務レジリエンスにまで及んだ。
犯罪者は恐喝と虐待を制御した。彼らはランサムウェア、データ盗難の主張、メディア圧力を使用して遅延のコストを引き上げた。Travelex は露出した環境、対応、復旧、可能にしたパートナーメッセージ、公表したまたはしなかった証拠を制御した。銀行と小売パートナーは、顧客の約束、返金、代替チャネル、ステータス更新を制御した。債権者は、事業のどの部分が前進し、どの部分が古い構造に残るかを決定する再編交渉を制御した。規制当局は、これらの依存関係を無視しにくくした後の基準を制御した。
このインシデントの永続的な教訓は、委託サービスレジリエンスは、プロバイダーの最終的な復旧声明からではなく、顧客の最初の失敗した取引から測定されなければならないということである。トラベルマネーを収集できない銀行顧客は、プロバイダーがそれを内部のサイバーインシデントと呼ぶかどうかを気にしない。紙の請求書を使用する支店従業員は、ランサムウェアグループ名の綴りが正しいかどうかを気にしない。債権者は、停止が IT または運用に分類されるかどうかを気にしない。各アクターは、自分たちが依拠したサービスの約束を通じて結果を感じる。
したがって、Travelex は、ランサムウェアが依存関係の経済学を明らかにした事例として、説明責任の記録に属する。攻撃者はシステムと注目を悪用した。プロバイダーは復旧とコミュニケーションに苦労した。パートナーはホワイトラベルサプライヤーの運用上の重みを発見した。従業員と顧客は手動作業と不確実性を背負った。その後の再編は、デジタル信頼、流動性、継続性が別々の主題ではないことを示した。通貨サービスにおいて、サイバー停止は、顧客接触危機、パートナーガバナンスのテスト、財務レジリエンスイベントのすべてが一度に起こり得る。

