« Europol 世界最大の違法ダークウェブマーケットプレイスを削除 | Main | 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する? »

2021.01.14

英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

こんにちは、丸山満彦です。

U.K. National Cyber Security Centre: NCSC がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を2021.01.13に主催し、180名が参加したようですね。。。

日本で言うと、内閣官房サイバーセキュリティセンターが日本野球機構や各プロ野球球団、日本サッカー協会や各サッカーチーム、相撲協会や各相撲部屋、日本中央競馬会等を集めてサイバーセキュリティの会議を開催する感じですかね。。。

英国ではスポーツ団体の少なくとも70%が12か月ごとにサイバーインシデントにあっている(英国企業平均の2倍以上)とのことですから、すでに影響が出ていると言うことなんでしょうね。日本の状況はよくわかりませんが、少し違うのかもしれませんね。。。

日本でもオリンピックやラグビーの大会についてはイベントと言うことで対策をしていますね。。。また、さらにこれからeSportsも活発になってくると思うので、eSportsに対するサイバーセキュリティは重要でしょうね。。。

 

U.K. National Cyber Security Centre: NCSC

・2021.01.13 (news) Sports clubs gather for summit on the cyber threat

The NCSC is hosting a cyber security meeting to help professional sports clubs and organisations protect themselves against cyber criminals.

興味深いのは、2020.07.23に「The Cyber Threat to Sports Organisations - Ensuring fair play online」と言う報告書をNSCSが出していることですね。。。(私は見逃していましたが・・・)

The NCSC report highlights the cyber threats faced by the sports sector and suggests how to stop or lessen their impact on organisations.

 

スポーツ組織が見直すべき重要な分野として、次の3つをあげていますね。。。

1. メールセキュリティ

電子メールについての先進的な技術的コントロールは、スポーツ分野では日常的には適用されていない。なりすまし対策や多要素認証などの対策を導入することで、サイバーリスクを大幅に減らすことができる。

2. 要員のエンパワーメント

要員にトレーニングを実施している組織は半数以下である。要員は重要な防衛ラインであり、不審な行動を発見した場合には報告を促すことが不可欠である。

3. サイバーリスク管理

スポーツ組織は複雑である。組織は、コンプライアンスだけでなく(例:GDPRだけでなく)、IT資産全体ですべてのサイバーリスクが考慮されていることを保証するために、リスク管理に対する全体的なアプローチを採用することが有益である。

 

Forewords 序文
Executive summary エグゼクティブサマリー
Introduction 序章
Source of statistics 統計の出典
How digitally reliant is sport? スポーツのデジタル依存度は?
Threat overview 脅威の概要
Nature of the threat 脅威の性質
Nation-state involvement 国家の関与
Major events 主なイベント
Attack trends 攻撃の傾向
Trend 1: Business Email Compromise (BEC) トレンド1:ビジネスメール詐欺 (BEC)
Trend 2: Cyber-enabled fraud トレンド2:サイバーを利用した不正
Trend 3: Ransomware トレンド3:ランサムウェア
Venue security 会場のセキュリティ
Attack opportunities 攻撃機会
Implementation of key technical controls 主要な技術的コントロールの実施
Venue security: mitigation 会場のセキュリティ:緩和
Risk management & industry trends リスクマネジメントと業界動向
How important is cyber security and who provides leadership? サイバーセキュリティの重要性、リーダーシップを発揮するのは誰か?
What is driving cyber risk management? サイバーリスクマネジメントを推進しているのは何か?
Risk management guidance リスクマネジメントの手引き

 

Forewords

Sports organisations are reliant on IT and technology to manage their office functions and, increasingly, their security systems at venues. As detailed in this report, cyber attacks can have a wide-range of impacts; from multi-million pound fraud to the loss of sensitive personal data. The NCSC is not just here to look after the IT systems of the UK government. We are committed to supporting the sports sector and we encourage you all to implement the guidance outlined in this report.

Ciaran Martin - Chief Executive Officer, NCSC

 

Cyber security is of ever-increasing importance to sports organisations, from grass roots clubs holding personal data through to national organisations hosting and participating in major international sporting events. Losing access to data, IT or technology can have a significant impact on sports organisations resulting in data breaches, fraudulent loss of funds and disruption to event delivery. Improving cyber security across the sports sector is critical. The British Olympic Association sees this report as a crucial first step, helping sports organisations to better understand the threat and highlighting practical steps that organisations should take to improve cyber security practices.

Rt Hon Sir Hugh Robertson, Chair of the British Olympic Association (BOA)

 

 

Executive Summary

Sport is central to British life. It provides massive health, social and economic benefits to the nation, contributing billions of pounds to the UK economy each year. This power and profile make the sector a target for criminals and other cyber attackers.

 Cyber security is regarded as an important issue by sports organisations. Almost all those surveyed reviewed cyber security measures in preparation for compliance with the General Data Protection Regulation (GDPR). Statistically, this approach appears to have been successful at preventing mass data breaches.

 However, cyber attacks against sports organisations are very common, with 70% of those surveyed experiencing at least one attack per annum. This is significantly higher than the average across UK business.

 The primary cyber threat comes from cyber criminals with a financial motive. Criminal attacks typically take advantage of poor implementation of technical controls and normal human traits such as trust and ineffective password policies.

 There have been a small number of Hostile Nation-state attacks against sports organisations; typically, these attacks have exploited the same vulnerabilities used by criminals.

 The most common outcome of cyber attacks is unauthorised access to email accounts (Business Email Compromise) leading to fraud. Ransomware is also a significant issue in the sector.

 

The survey highlights the following key areas for sports organisations to review:

Email security

Good email technical controls are not routinely applied in the sports sector. Implementing measures such as anti-spoofing and multi-factor authentication can significantly reduce your cyber risk.

Staff empowerment

Under half of organisations provide staff training. Staff are an important line of defence and it is essential to encourage people to report any suspicious activity they spot.

Cyber risk management

Sports organisations are complicated. Survey results indicate that organisations would benefit from a holistic approach to Risk Management, looking beyond compliance (e.g. beyond GDPR) to ensure all cyber risks are considered across the IT estate.

 

|

« Europol 世界最大の違法ダークウェブマーケットプレイスを削除 | Main | 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« Europol 世界最大の違法ダークウェブマーケットプレイスを削除 | Main | 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する? »