برامج الفدية والدهاء الإلكتروني واتصال الأمان بين القطاعين العام والخاص

نيتين ناتاراجان هو نائب مدير CISA (وكالة الأمن السيبراني وأمن البنية التحتية) ، ولديها خبرة واسعة في مجال الأمن السيبراني ، بما في ذلك الإشراف على البنية التحتية الحيوية لمجلس الأمن القومي الأمريكي ووزارة الصحة والخدمات الإنسانية الأمريكية. 

في هذه المناقشة مع الشريك العام في a16z جويل دي لا غارزا (الذي كان سابقًا كبير مسؤولي الأمن في Box ، وقاد فرقًا أمنية في العديد من المؤسسات المالية) ، يشرح ناتاراجان سبب قيام مشهد تهديد الأمن السيبراني المتطور بإجبار المؤسسات من جميع الأحجام - وكذلك الأفراد - ليصبحوا أكثر ذكاءً على الإنترنت. كما أنه يغطي عددًا من الموضوعات الأخرى ، بما في ذلك كيفية عمل الصناعة والحكومة معًا بشكل أفضل لمشاركة المعلومات والحفاظ على حماية الجميع.

هذه نسخة منقحة من مناقشة مباشرة جرت في مايو. تستطيع استمع إلى المناقشة بأكملها في شكل بودكاست هنا.

---

جول دي لا جارزا: كيف تفكر ، وكيف تفكر CISA ، في تحديد أولويات التهديدات؟ يبدو أن هذا هو مفتاح كل ما تحاول القيام به.

نيتين ناتراجان: عندما ننظر إلى تحديد الأولويات ، فإن الأمر يتعلق بفهم حقيقي لتلك المخاطر النظامية. كيف يمكننا المساعدة في سرد ​​قصة تحليل التأثير المتتالي حتى يتمكن الأشخاص من اتخاذ القرارات بشأن مكان الاستثمار وما هي المخاطر التي يجب الاستثمار في الحماية منها؟ 

أو كيف ننظر إلى الخطر على أنه مقعد ثلاثي الأرجل؟ أعتقد أننا نقضي الكثير من الوقت في الحديث عن تحديد المخاطر. نقضي الكثير من الوقت في الحديث عن تخفيف المخاطر. ننسى تلك المحطة الثالثة ، والتي هي بالنسبة لي كل مخاطرة نحددها ولا نخففها ، نحن نقبلها. ونحن دائما نقبل بعض المخاطرة. أعني ، لقد قدت السيارة إلى هنا. صعدت على خشبة المسرح. لقد خاطرت بالقدوم إلى هنا. سوف أخاطر بالمغادرة وربما السقوط.

ولكن كيف نتأكد من أن أعيننا مفتوحة على مصراعيها لما نقبله؟ وكيف نفهم هذا المشهد من المخاطر ونستخدمه لدفع أولوياتنا؟ ثم كيف ننظر إلى هذا عبر 16 قطاعا حيويا في مستويات مختلفة من النضج؟

حققت الصناعات مثل القطاع المالي عائدًا قابلاً للقياس على الاستثمار من الاستثمار في الأمن السيبراني ، لكن لدينا قطاعات أخرى لم تستثمر لفترة طويلة أو كبيرة في هذا المجال. نريد أن نكون قادرين على معالجة المخاطر بطريقة تقر بوجود الناس في أماكن مختلفة ، وهذا يتحدث إلى الشركات الكبيرة متعددة الجنسيات وكذلك الشركات الصغيرة. عندما ننظر إلى مخاطر سلسلة التوريد ، فإن الكثير من هذه المخاطر لا يكمن في الشركات متعددة الجنسيات الكبيرة ، ولكن في الأعمال التجارية الصغيرة التي تخلق قطعة واحدة صغيرة ، تلك القطعة الواحدة المهمة.

لذا فإن تحديد الأولويات بالنسبة لنا يمثل تحديًا لأننا ننظر عبر الصناعات بأكملها - عموديًا وأفقيًا. لكن ما نريد أن نجربه ونفعله هو أن نفهم حقًا ماهية تلك المخاطر النظامية.

تميل وسائل الإعلام وصناعة الأمن دائمًا إلى الحديث عن نفس التهديدات. ما هي بعض الأشياء التي تشغل بالك ولا نسمع عنها كل يوم؟

أعتقد أن أكبر تهديد هو الرضا عن النفس. كان هناك الكثير من الحديث حول من هو الخصم وكيف يبدو عليه. وكيف نشارك؟ لكن ما يقلقني حقًا هو جعل الناس يفهمون حقًا احتمالية أن يكونوا ضحية ، وكيف يرون أن التهديد هو تهديدهم.

اشياء مثل اختراق خط الأنابيب الاستعماري وحوادث أخرى ساعدت في ذلك ، حيث اعتقد الناس في الماضي ، "لا يمكنني أن أكون ضحية. لن يأتي أحد ورائي: أنا شركة صغيرة ، أو دائرة قضائية ريفية صغيرة ، أو أنا مدرسة ، وماذا لديكم. إنهم ليسوا قلقين علي. إنهم قلقون بشأن مدن نيويورك في العالم ، وهم قلقون بشأن الشركات الكبيرة متعددة الجنسيات ". أعتقد أن ما نراه هو أن الناس قادرون على رؤية أن التهديد حقيقي بالنسبة لهم. 

لقد تعرضنا لحادث مع منطقة تعليمية صغيرة كانت ضحية لبرامج الفدية الضارة. اتصلوا بالرقم وقالوا: "ليس لدينا أي نقود. نحن فقط هذه المنطقة التعليمية الصغيرة. أنت لا تفهم. وقال المهاجمون: "لا ، نحن نعرف مقدار الأموال التي لديك".

كيف تفكر في تحطيم بعض من هذا التخدير أو الرضا عن النفس من جانب عامة الناس؟

أعتقد أنه تعليم. إنها تجعل المستهلك يطرح الأسئلة. لذا ، إذا كنت ذاهبًا إلى أحد البنوك ، على سبيل المثال ، هل يستخدم البنك مصادقة متعددة العوامل؟ تريد أن تبحث عن تلك الأنواع من القدرات ، بالإضافة إلى ما تفعله هذه المؤسسة بمعلوماتك الشخصية ومواردك ، وما هي القيمة الموجودة هناك.

أعتقد أن جعل الناس يفهمون حتى أشياء مثل إنترنت الأشياء، وأننا ندخل الكثير من نقاط الضعف إلى العالم ، أمر مهم. أعني ، لدينا ثلاجات متصلة بالإنترنت. أنا لست ضدها. لا أعرف ما الذي تفعله بشكل مختلف عن ثلاجتي. لكن كل هذه الأشياء تجلب نقاط ضعف جديدة. 

أخبرت شخصًا ما مازحًا في ذلك اليوم أنني أرغب في العودة إلى حياتي القديمة موتورولا ستارتاك أيام. لقد جلبنا الكثير من الإمكانيات والتكنولوجيا إلى أجهزتنا المحمولة. لكن مع ذلك ، جلبنا المخاطر. ولا أعتقد أننا قضينا وقتًا كافيًا في الحديث عن المخاطر ، لأننا نتحدث عن حجم البكسل والقدرة على ممارسة الألعاب.

أعتقد أننا بحاجة أيضًا إلى تثقيف الجيل القادم. يمكن القول ، لقد فقدت. أنا أصدق ما أؤمن به ، كما تعلم ، وكيف تغير رأيي؟ لكني أنظر إلى أطفالي الذين تخرجوا من المدرسة الثانوية ، والناس يقولون ، "أوه ، إنهم كذلك الدهاء السيبراني. " وأنا أقول إنهم ليسوا كذلك - أود أن أعرض عليهم ذلك الدهاء التكنولوجيا. لقد استخدموا أجهزة iPad منذ أن كان عمرهم شهرين ، لكنهم ما زالوا يعلقون كلمة المرور على الجزء الخلفي من iPad أو في الجزء الخلفي من لوحة المفاتيح الخاصة بهم.

لذا ، أعتقد أننا قمنا بالمساواة الدراية التقنية مع البراعة الإلكترونية. نحن بحاجة إلى جعلهم أذكياء في الإنترنت. نحن بحاجة إلى بنائها في الجيل القادم لكي ندمجها حقًا في حياتهم اليومية ، على الصعيدين الشخصي والمهني.

هل هناك تهديدات نكون مهووسين بها وربما تشتت انتباهنا عن الخطر الحقيقي؟

نقضي الكثير من الوقت في النظر إلى المدى القصير. إنها الطبيعة ، بشكل افتراضي. نحن نركز على ما يوجد هنا والآن ، ما هو أمامنا. لكنني لا أعرف ما إذا كنا نقضي وقتًا كافيًا في النظر إلى المدى الطويل - إذا كنا حقًا ، فإننا نبحث حقًا في الشكل الذي تبدو عليه المرونة في 5 سنوات ، 10 سنوات ، 15 سنة. وأعتقد أن السبب هو أنه صعب. لا نعرف أين ستكون التكنولوجيا في غضون 5 أو 10 سنوات ، لذلك من الصعب تحديد مكان التركيز. لذلك نحن نركز على ما يواجهنا على الفور.

أعتقد أننا بحاجة إلى قضاء المزيد من الوقت في تلك المرونة طويلة المدى لأن بناءها سيستغرق وقتًا. عندما أنظر إلى حلول المؤسسات ، أو في الحكومة ، فإن الكثير من هذه الأنواع من الأشياء هي جهود متعددة السنوات. وغالبًا ، على الأقل في عملية الاستحواذ الحكومية ، بحلول الوقت الذي حددنا فيه نطاقنا وقمنا بالاستحواذ ، يكون قد عفا عليه الزمن بالفعل. ونحن فقط نبدأ الدورة مرة أخرى.

أهم شيء هو التواصل معنا. لدينا علاقات كبيرة مع الشركاء التي نعرفها. أكبر ما يقلقني هو أن هناك الكثير من الشركاء لا أعرف.

لنتحدث عن الوضع مع روسيا وأوكرانيا. أحد الأشياء المثيرة للاهتمام للغاية كمراقب سلبي هو أننا لم نشهد نفس الفوضى التي عشناها في الماضي - NotPetya وهذه الأشياء التي تم تصميمها وتطويرها لتعطيل أوكرانيا ولكنها خرجت وعطلت التجارة العالمية. يبدو أنه في هذا التكرار ، كان هناك الكثير من الأضرار الجانبية. 

هل هذا لأننا ارتقينا للتو ونفعل الكثير؟ هل هو عمل معايير الحكومة وإعلام الناس بها؟ لأننا حصلنا على دروع تصل أعلن أن الكثير من المجالس التي أشارك فيها ، والأشخاص الذين أعمل معهم ، أخذوا على محمل الجد. 

أعتقد أن هذا تغير من عدة جوانب. كانت هناك بالتأكيد تغييرات مع الخصم وبعض الأساليب هناك. أعتقد أن هناك بالتأكيد تغييرات من الجانب الحكومي والعمل الذي قمنا به على مدى عدة سنوات لرفع المستوى حقًا. يرجع الكثير من ذلك إلى التعاون مع الصناعة ، والكثير من تلك الأنواع من الأشياء التي ساعدت الصناعة على أن تصبح أكثر مرونة. أعتقد أن الناس يؤمنون بالأمن السيبراني أكثر مما كانوا يؤمنون به قبل عدة سنوات. وهكذا ، كل هذه الأشياء معًا أوصلتنا إلى مكان جيد.

كنت في مجال الصحة العامة لفترة من الوقت ، وكنا نحارب الأوبئة لفترة طويلة. هذا ليس جديدا بالنسبة لنا. وكنا نحارب الأوبئة ، أتذكر عندما ضرب H1N1 - الذي اعتقدنا أنه جائحة -. القليل لم نكن نعرفه. وكما تعلمون ، ما قلناه بالفعل في ذلك الوقت هو أننا لم نتمكن من الذهاب إلى وضع العمل عن بعد أو العمل عن بعد لأن أنظمة تكنولوجيا المعلومات لم تستطع التعامل معها. حسنًا ، تقدم سريعًا لمدة 12 عامًا وقد نجحنا في ذلك. لقد نجحنا في تحقيق ذلك ليس فقط بسبب الانتقال إلى السحابة - فقد قادتنا الكثير من الأشياء إلى ما نحن عليه اليوم.

لذلك أعتقد أننا عندما ننظر إلى NotPetya مقابل الآن ، فإن جزءًا منها هو في الواقع تغييرات على جانب الخصم ، وتغييرات من جانبنا ، وتغييرات في الشراكة والعلاقة. يُعد Shields Up مثالًا رائعًا حيث يمكننا الاعتماد على مزيد من المعلومات ومشاركة الكثير من المعلومات مع شركاء الصناعة ، سواء على المستوى المصنف أو غير المصنف. كيف نحصل على المعلومات هناك؟ كيف نجعل الناس يثقون بالمعلومات التي نطرحها هناك؟

هدفنا في نهاية المطاف ليس تسليم كل وثيقة سرية إلى الجميع أو الحصول على تصريح أمني للجميع. لن نحصل على هذه المعلومات في الوقت المناسب. إنه الحصول على المعلومات بطريقة يمكن للناس الاستفادة منها بالفعل. على مر السنين ، قمت بتطوير نوع من المانترا حول مشاركة المعلومات. بالنسبة لي ، إنه: كيف نحصل على المعلومات الصحيحة إلى الأشخاص المناسبين في الوقت المناسب الذي ينتج عنه أكثر اطلاعا اتخاذ قرار. لذلك على الرغم من أن القرار هو نفسه ، فمن الأفضل على الأقل معرفة ذلك.

وهكذا عندما نظرنا إلى هذا الحدث ، وما رأيناه ، كان لدينا الآليات للحصول على المعلومات هناك. كان لدينا أناس يؤمنون بجودة المعلومات الواردة. أعتقد أيضًا أن هناك قيمة في الميل إلى الأمام والقول إننا لا نملك الكثير من المعلومات. ورأينا بعض الأشياء الفريدة حقًا. كان لدينا الكثير من المعلومات التي تمكنا من الحصول عليها من المساحة السرية إلى المنصة بسرعة كبيرة - في وقت قياسي ، في بعض الحالات - وتمكنا حقًا من استخدام ذلك لدفع الناس لاتخاذ القرار بشأن الإجراءات التي يجب عليهم اتخاذها. لذلك أعتقد أنها كانت استجابة قوية وفعالة.

لكن الأمر كله يتعلق بالتعاون والشراكة ، لأننا لا نضع المعلومات فقط إذا كان لا يمكن الاستفادة منها. وحتى نتمكن من الحصول على التعليقات وبناء تلك الأنظمة حقًا بطريقة تسمح لنا بالعمل معًا ، فإننا لا نغير ذلك وطني المناظر الطبيعية بينما نتطلع إلى البنية التحتية الحيوية.

أنظر إلى أطفالي الذين تخرجوا من المدرسة الثانوية ، والناس يقولون ، "أوه ، إنهم كذلك الدهاء السيبراني. " وأنا أقول إنهم ليسوا كذلك - أود أن أعرض عليهم ذلك الدهاء التكنولوجيا. لقد استخدموا أجهزة iPad منذ أن كان عمرهم شهرين ، لكنهم ما زالوا يعلقون كلمة المرور على الجزء الخلفي من iPad أو في الجزء الخلفي من لوحة المفاتيح الخاصة بهم.

أود الحصول على رأيك في برامج الفدية. لقد أصبحت الإدارة جادة للغاية حيال ذلك. ويصادف أنها تتمركز في الغالب في المناطق التي تقاتل الآن مع بعضها البعض. أشعر بالفضول حيال أسلوبك في التعامل مع برامج الفدية وكيف يمكن تشويه بعض من ذلك. لأنه يبدو أنه ربما يتحسن ...

سأصنع قابس لي موقع برامج الفدية لدينا، حيث حاولنا تجميع كل شيء معًا في موقع ويب مركزي للحصول على المعلومات هناك. لكني أعتقد أن الكثير من الأمور تتعلق بالتعليم. إنه يعلم الناس أنك لن تحصل على مليون دولار عبر البريد الإلكتروني - ستحصل على شيك ورقي كبير ، وسيأتي شخص ما إلى باب منزلك ويقرع الجرس. أعتقد أن الأمر يتعلق بترك الناس يفهمون من هم الضحايا المحتملين.

كان لدينا حادثة بمدرسة صغيرة كانت ضحية لبرامج الفدية الضارة. اتصلوا بالرقم وقالوا: "ليس لدينا أي نقود. نحن فقط هذه المنطقة التعليمية الصغيرة. أنت لا تفهم.

وقال المهاجمون: "لا ، نحن نعرف مقدار الأموال التي لديك. لدينا كشوفات حسابك المصرفي. نحن نعلم كم لديك. ونحن نعلم مقدار المبلغ الذي يمكنك دفعه وما نطلبه منك يتناسب إلى حد كبير مع المبلغ الذي لديك في البنك. لذلك نحن لا نأخذ كل شيء ، بل نترك القليل من الشيء. لكن ، حقًا ، هذا ما نريده ".

وقالت المنطقة التعليمية ، "حسنًا ، أنت تريد Bitcoin. لا أعرف كيف أفعل ذلك ". 

"لدينا مكتب مساعدة. لدينا مكاتب مساعدة بـ 14 لغة مختلفة يمكنها مساعدتك في الحصول على البيتكوين. حسنا كيف نستطيع ان نساعدك؟"

لذلك أعتقد أنه مع برامج الفدية ، نحتاج إلى السماح للأشخاص بفهم نقاط الضعف والمخاطر والأهداف التي يمكن أن تكون ، و الإجراءات التي يجب اتخاذها [راجع اتجاهات برامج الفدية لعام 2021 الاستشارية المشتركة لـ CISA]. والتأثير النقدي. مع هجمات برامج الفدية والأنواع الأخرى من الأشياء التي نراها ، يلاحظها الأشخاص فرد المستخدمين. لكنني أعتقد أيضًا أن الناس بدأوا في الاهتمام. أعتقد أن الناس بدأوا في عدم النقر على كل شيء.

I do تقلق بشأن أشياء مثل الأوبئة وأنواع الأشياء التي تزداد فيها احتمالية الفرص. أو شخص لديه 300 رسالة بريد إلكتروني في صندوق الوارد الخاص به ويحتاج فقط إلى الوصول إليها ، ويقع ضحية لهذه الأنواع من الأشياء. ولذا نحن بحاجة لمواصلة الضغط. نحن بحاجة إلى الاستمرار في إرسال الرسائل. 

ونحن بحاجة إلى جعل جيل الشباب يدرك ذلك أيضًا. لأنني ارتكبت خطأ البحث في البريد الوارد لطلابي في الثانوية. ولا أعرف ما إذا كانوا قد قرأوا رسائل البريد الإلكتروني الخاصة بهم أم ماذا. لا أعرف ما لديهم ... هناك المئات - المئات - من رسائل البريد الإلكتروني. لا أعرف حتى من أين أتوا أو كيف حصلوا عليهم. كيف نثقف الجيل القادم ليكون في مكان أفضل؟

هدفنا في نهاية المطاف ليس تسليم كل وثيقة سرية إلى الجميع أو الحصول على تصريح أمني للجميع. . . . بالنسبة لي ، هو: كيف نحصل على المعلومات الصحيحة إلى الأشخاص المناسبين في الوقت المناسب الذي ينتج عنه أكثر اطلاعا اتخاذ قرار.

سيكون من الرائع أن نفهم كيف يمكننا ، في القطاع الخاص ، المشاركة بشكل أفضل مع الحكومة والمساعدة في تحسين الأمور. لأنه أحد هذه الأشياء الرياضية الجماعية ، حيث نخسر جميعًا معًا إذا لم نفز.

أعتقد أن أهم شيء هو التواصل معنا. لدينا علاقات كبيرة مع الشركاء التي نعرفها. أكبر ما يقلقني هو أن هناك الكثير من الشركاء لا أعرف. لا نعرف أين هم ، أو كيف نصل إلى هناك. CISA هي منظمة متنامية - لدينا قوة ميدانية في جميع أنحاء الدولة من 500 شخص أو نحو ذلك ، ونحن بحاجة إلى الاستمرار في تنمية ذلك - ولكن حتى 500 شخص يمثلون قطرة في بحر. لذلك ، نحن بحاجة إلى معرفة كيفية المشاركة ومن نتعامل معه. وهذا هو المكان الذي أعتقد أن الصناعة يمكن أن تساعد فيه ، لأن هناك الكثير من الفرص لمشاركة الصناعة لجعلنا على تواصل مع هؤلاء الشركاء المناسبين الذين يمكنهم مساعدتنا في رفع مستوى المرونة هذا.

ثم ابقنا صادقين. يبقينا صادقين ويعلمنا. كما تعلم ، نحن نحاول حقًا أن نميل إلى الأمام في الكثير من ارتباطاتنا لأنني أعتقد أنه في الماضي ، كان هناك الكثير من الخوف بشأن كيفية تعاملنا مع الصناعة: "ماذا يمكننا أن نفعل؟" "ماذا يمكننا أن نقول؟" "ماذا لا نستطيع أن نقول؟" 

لقد أنشأنا فريقًا في CISA الآن يميل حقًا إلى الأمام حيث لا نخاف من هذه المشاركة. نعم ، هناك خطوط ، لكن لدينا الكثير من خطوط العرض داخل تلك الخطوط. نحن نحاول حقًا البقاء داخل حواجز الحماية تلك - لا نريد الانهيار والنزول عن الجرف - ولكن طالما بقينا داخل تلك الحواجز ، فنحن بخير.

لذلك أعتقد أن أهم شيء هو إخبارنا بما لا نعرفه. وأنا أعلم أن هناك الكثير لا نعرفه. لكن المساعدة في تثقيفنا حول ماهية هذه الأشياء ، ومساعدتنا في أن نكون مسؤولين عما نفعله أو لا نفعله ، أعتقد حقًا أنه سيساعدنا على المضي قدمًا وتحقيق تلك القفزات المهمة التي نحتاج إلى القيام بها.

تم النشر في 4 يوليو 2022