Ransomware, Cyber-Savviness og den offentlig-private sikkerhedsforbindelse

Nitin Natarajan er vicedirektør for CISA (Cybersecurity and Infrastructure Security Agency), og har stor erfaring inden for cybersikkerhedsområdet, herunder at føre tilsyn med kritisk infrastruktur for US National Security Council og US Department of Health and Human Services. 

I denne diskussion med a16z generalpartner Joel de la Garza (som tidligere var sikkerhedschef hos Box og har ledet sikkerhedsteams hos adskillige finansielle institutioner), forklarer Natarajan, hvorfor det udviklende landskab for cybersikkerhedstrusler tvinger organisationer i alle størrelser – såvel som enkeltpersoner - for at blive mere cyberkyndige. Han dækker også en række andre emner, herunder hvordan industrien og regeringen bedst kan arbejde sammen om at dele information og holde alle beskyttede.

Dette er en redigeret version af en live diskussion, der fandt sted i maj. Du kan lyt til hele diskussionen i podcastform her.

---

JOEL DE LA GARZA: Hvordan tænker du, og hvordan tænker CISA om at prioritere trusler? Det virker som en nøgle til alt, hvad du prøver at gøre.

NITIN NATARAJAN: Når vi ser på prioritering, handler det om virkelig at forstå, hvad disse systemiske risici er. Hvordan kan vi hjælpe med at fortælle historien om cascading impact analyse, så folk kan træffe beslutninger om, hvor de skal investere, og hvilke risici de skal investere i at beskytte mod? 

Eller hvordan ser vi på risiko som en trebenet skammel? Jeg tror, ​​vi bruger meget tid på at tale om risikoidentifikation. Vi bruger meget tid på at tale om risikobegrænsning. Vi glemmer det tredje ben, som for mig er det enhver risiko, vi identificerer og vi ikke afbøder, accepterer vi. Og vi accepterer altid en vis risiko. Jeg mener, jeg kørte herop. Jeg gik op på scenen. Jeg tog en risiko ved at komme herop. Jeg vil tage en risiko ved at forlade og muligvis falde.

Men hvordan sikrer vi os, at vores øjne er vidt åbne for det, vi accepterer? Og hvordan forstår vi dette risikolandskab og bruger det til at drive vores prioritering? Og hvordan ser vi så på dette på tværs af 16 kritiske sektorer, der er på forskellige niveauer af modenhed?

Industrier som den finansielle sektor har haft et kvantificerbart investeringsafkast fra at investere i cybersikkerhed, men vi har andre sektorer, der ikke har investeret så længe eller så meget i det område. Vi ønsker at være i stand til at håndtere risici på en måde, der anerkender, at folk er forskellige steder, og som taler til store multinationale selskaber såvel som små virksomheder. Når vi ser på forsyningskæderisiciene, ligger en stor del af denne risiko ikke i store multinationale selskaber, men i den lille virksomhed, der skaber den ene lille brik, den ene widget, der er kritisk.

Så prioritering for os er en udfordring, fordi vi ser på tværs af hele brancher - vertikalt og horisontalt. Men det, vi vil prøve og gøre, er virkelig at forstå, hvad den systemiske risiko er.

Medierne og sikkerhedsindustrien har en tendens til altid at tale om de samme trusler. Hvad er nogle af de ting, der er øverst i sindet for dig, som vi ikke hører om hver dag?

Jeg tror, ​​den største trussel er selvtilfredshed. Der har været meget snak derude om, hvem modstanderen er, og hvordan modstanderen ser ud. Og hvordan engagerer vi os? Men det, jeg virkelig bekymrer mig om, er at få folk til virkelig at forstå potentialet for, at de kan blive et offer, og hvordan de opfatter truslen som deres.

Ting som Colonial Pipeline hack og andre hændelser har hjulpet på det, hvor folk tidligere har tænkt: ”Jeg kan ikke være et offer. Ingen vil komme efter mig: Jeg er en lille virksomhed, eller jeg er en lille jurisdiktion på landet, eller jeg er en skole, og hvad har du. De er ikke bekymrede for mig. De er bekymrede for verdens New York-byer, de er bekymrede for store multinationale selskaber." Jeg tror, ​​at det, vi ser, er, at folk er i stand til at se, at truslen er reel for dem. 

Vi havde en hændelse med et lille skoledistrikt, der var offer for ransomware. De ringede til nummeret og sagde: "Vi har ingen penge. Vi er bare dette lille skoledistrikt. Du forstår det ikke." Og angriberne sagde: "Nej, vi ved, hvor mange penge du har."

Hvordan tænker du om at nedbryde noget af enten følelsesløshed eller selvtilfredshed fra offentlighedens side?

Jeg tror, ​​det er uddannelse. Det får forbrugeren til at stille spørgsmål. Så hvis du for eksempel skal i en bank, bruger banken så multifaktorgodkendelse? Du ønsker at lede efter den slags muligheder, samt hvad den institution gør ved dine personlige oplysninger og dine ressourcer, og hvad er værdien der.

Jeg tror, ​​at få folk til at forstå selv ting som f.eks Tingenes internet, og at vi introducerer mange flere sårbarheder i verden, er vigtigt. Jeg mener, vi har køleskabe forbundet til internettet. Jeg er ikke imod det. Jeg ved ikke, hvad den gør anderledes end mit køleskab. Men alle disse ting bringer nye sårbarheder ind. 

Jeg fortalte spøgefuldt en anden dag, at jeg ville elske at gå tilbage til min gamle Motorola StarTAC dage. Vi har bragt en masse kapacitet og teknologi ind i vores mobile enheder. Men dermed bragte vi risiko. Og jeg synes ikke, vi har brugt nok tid på at tale om risikoen, for vi taler om pixelstørrelsen og muligheden for at spille spil.

Jeg tror, ​​vi også skal uddanne den næste generation. Jeg er uden tvivl fortabt. Jeg tror, ​​hvad jeg tror, ​​du ved, og hvordan ændrer du min mening? Men jeg ser på mine børn, der kommer ud af gymnasiet, og folk siger: "Åh, de er så cyberkyndige." Og det vil jeg sige, at de ikke er - jeg vil tilbyde, at de er det tech-kyndige. De har brugt iPads, fra de var to måneder gamle, men de taper stadig adgangskoden på bagsiden af ​​iPad’en eller på bagsiden af ​​deres tastatur.

Så jeg tror, ​​at vi har sat lighedstegn teknisk forstand med cyberviden. Vi er nødt til at gøre dem cyberkyndige. Vi er nødt til at bygge det ind i den næste generation, så de virkelig kan bygge det ind i deres daglige liv, både personligt og professionelt.

Er der trusler, som vi bare er alt for besat af og sandsynligvis distraherer os fra den reelle risiko?

Vi bruger meget tid på at se på kort sigt. Det er naturen, det er som standard. Vi fokuserer på, hvad der er her og nu, hvad der er foran os. Men jeg ved ikke, om vi bruger nok tid på at se på længere sigt – hvis vi virkelig, virkelig ser på, hvordan modstandskraft ser ud om 5 år, 10 år, 15 år. Og jeg tror, ​​det er, fordi det er svært. Vi ved ikke, hvor teknologien vil være om 5 eller 10 år, så det er svært at vurdere, hvor vi skal fokusere. Så vi fokuserer på det, der umiddelbart står over for os.

Jeg tror, ​​vi skal bruge mere tid på den langsigtede modstandskraft, fordi det vil tage tid at opbygge den. Når jeg ser på virksomhedsløsninger eller i det offentlige, er mange af den slags ting flerårige indsatser. Og ofte, i det mindste i regeringsopkøbsprocessen, er det allerede forældet, når vi har fastsat vores omfang, og vi har gennemført opkøbet. Og vi starter bare cyklussen igen.

Det største er at engagere sig i os. Vi har gode relationer til partnerne som vi ved. Min største bekymring er, at vi har mange partnere ved det ikke.

Lad os tale om situationen med Rusland og Ukraine. En af de ting, der har været meget interessant som passiv observatør, er, at vi ikke har haft det samme kaos, som vi havde tidligere — NotPetya og disse ting, der blev designet og udviklet til at forstyrre Ukraine, men kom ud og forstyrrede den globale handel. Det ser ud til, at der i denne iteration har været meget mindre sideskader. 

Er det fordi, vi lige har nået et niveau, og vi laver meget? Er det regeringens arbejde med at køre standarder og fortælle folk det? Fordi vi fik Skjolde op meddelelse om, at mange af de bestyrelser, jeg er i, og de mennesker, jeg arbejder med, tog meget alvorligt. 

Jeg tror, ​​det har ændret sig på flere sider. Der var absolut ændringer med modstanderen og nogle af tilgangene der. Jeg tror bestemt, at der er ændringer fra regeringens side og det arbejde, vi har gjort i løbet af de mange år for virkelig at hæve niveauet. Meget af det skyldes samarbejde med industrien, og mange af den slags ting, der har hjulpet industrien med at blive mere robust. Jeg tror, ​​at folk tror mere på cybersikkerhed, end de gjorde for flere år siden. Og så, alle de ting tilsammen har fået os til et godt sted.

Jeg var i det offentlige sundhedsområde i et stykke tid, og vi har bekæmpet pandemier i lang tid. Dette er ikke nyt for os. Og vi kæmpede mod pandemier, jeg kan huske, da H1N1 - hvad vi troede var en pandemi - ramte. Lidt vidste vi. Og, du ved, det, vi faktisk sagde dengang, var, at vi ikke kunne gå til en fuldstændig fjernarbejds- eller telearbejdsstilling, fordi it-systemerne ikke kunne håndtere det. Nå, spol 12 år frem, og vi klarede det. Det lykkedes ikke kun på grund af overgangen til skyen – mange ting førte os til, hvor vi er i dag.

Så jeg tror, ​​at når vi ser på NotPetya versus nu, er en del af det virkelig både ændringer på modstanderens side, ændringer på vores side og ændringer på partnerskabet og forholdet. Shields Up er et godt eksempel, hvor vi er i stand til at læne os fremad og dele meget mere information med branchepartnere, både på klassificeret niveau og uklassificeret niveau. Hvordan får vi information derude? Hvordan får vi folk til at stole på den information, vi lægger derude?

Vores mål i slutningen af ​​dagen er ikke at få alle klassificerede dokumenter ud til alle eller at få alle godkendt med en sikkerhedsgodkendelse. Vi får aldrig den information derude rettidigt. Det er at få informationen derude på en måde, så folk rent faktisk kan bruge dem. Gennem årene har jeg udviklet et slags mantra om informationsdeling. For mig er det: Hvordan får vi den rigtige information til de rigtige personer rettidigt, der resulterer i mere informeret beslutningstagning. Så selvom beslutningen er den samme, er den i det mindste bedre informeret.

Og så da vi så på denne begivenhed, og hvad vi så, havde vi mekanismerne til at få information derud. Vi havde folk, der troede på kvaliteten af ​​den information, der kom ud. Jeg tror også, der er værdi i at læne sig frem og sige, at vi ikke har meget information. Og vi så nogle virkelig unikke ting. Vi havde en masse information, som vi var i stand til at få fra det klassificerede rum til podiet ret hurtigt - på rekordtid, i nogle tilfælde - og var virkelig i stand til at bruge det til at drive folks beslutningstagning om, hvilke handlinger de skulle tage. Så jeg synes, det har været et stærkt og effektivt svar.

Men det handler om samarbejdet og partnerskabet, for det er ikke kun os, der lægger information ud, hvis det ikke kan udnyttes. Og indtil vi kan få feedback og virkelig bygge disse systemer på en måde, der giver os mulighed for at arbejde sammen, ændrer vi ikke på det nationale landskab, mens vi ser på kritisk infrastruktur.

Jeg ser på mine børn, der kommer ud af gymnasiet, og folk siger: "Åh, de er så cyberkyndige." Og det vil jeg sige, at de ikke er - jeg vil tilbyde, at de er det tech-kyndige. De har brugt iPads, fra de var to måneder gamle, men de taper stadig adgangskoden på bagsiden af ​​iPad’en eller på bagsiden af ​​deres tastatur.

Jeg vil meget gerne have dit bud på ransomware. Administrationen er blevet meget seriøs omkring det. Og det er bare sådan, at det mest er centreret i de områder, der nu kæmper med hinanden. Jeg er nysgerrig efter din tilgang til håndtering af ransomware, og hvordan du måske defanger noget af det. For det ser ud til, at det måske er blevet bedre...

Jeg laver mit stik til vores ransomware-side, hvor vi forsøgte at samle alt på en central hjemmeside for at få informationen ud. Men jeg tror, ​​at meget handler om uddannelse. Det er at oplyse folk om, at du ikke får en million dollars via e-mail - du får en stor papircheck, nogen kommer til din dør og ringer på klokken. Jeg tror, ​​det handler om at lade folk forstå, hvem de potentielle ofre er.

Vi havde en hændelse med et lille skoledistrikt, der var offer for ransomware. De ringede til nummeret og sagde: "Vi har ingen penge. Vi er bare dette lille skoledistrikt. Du forstår det ikke."

Og angriberne sagde: "Nej, vi ved, hvor mange penge du har. Vi har dine kontoudtog. Vi ved, hvor meget du har. Og vi ved, hvor meget du kan betale, og hvad vi beder dig om, er ret rimeligt med, hvor meget du har i banken. Så vi tager ikke alt, vi efterlader lidt af noget. Men i virkeligheden er det det her, vi ønsker."

Og skoledistriktet sagde: "Nå, du vil have Bitcoin. Jeg ved ikke, hvordan man gør det." 

"Vi har en helpdesk. Vi har helpdeske på 14 forskellige sprog, der kan hjælpe dig med at få bitcoin. Så hvordan kan vi hjælpe dig?”

Så jeg tror, ​​at vi med ransomware skal lade folk forstå sårbarhederne, risiciene, hvem målene kunne være, og de handlinger, der skal tages [se CISA joint advisory 2021 Ransomware Trends]. Og den monetære indvirkning. Med ransomware-angreb og med andre typer ting, vi ser, er folk individuel brugere. Men jeg tror også, at folk begynder at være opmærksomme. Jeg tror, ​​folk begynder ikke at klikke på alt.

I do bekymre dig om ting som pandemier og den slags ting, hvor vi har et øget potentiale. Eller en med 300 e-mails i deres indbakke og bare skal igennem dem, som bliver offer for den slags ting. Og så skal vi holde presset. Vi er nødt til at holde beskeden i gang. 

Og det skal vi også få den yngre generation til at indse. Fordi jeg begik den fejl at kigge min gymnasieelevs indbakke igennem. Og jeg ved ikke, om de læser deres e-mails, eller hvad. Jeg ved ikke, hvad de har … der er hundredvis – hundredvis – af e-mails. Jeg ved ikke engang, hvor de er fra, eller hvordan de har fået dem. Hvordan uddanner vi den næste generation til at være et bedre sted?

Vores mål i slutningen af ​​dagen er ikke at få alle klassificerede dokumenter ud til alle eller at få alle godkendt med en sikkerhedsgodkendelse. . . . For mig er det: Hvordan får vi den rigtige information til de rigtige personer rettidigt, der resulterer i mere informeret beslutningstagning.

Det ville være fantastisk at forstå, hvordan vi i den private sektor bedre kan engagere os med regeringen og hjælpe med at gøre tingene bedre. For det er en af ​​de her holdsportsting, hvor vi alle taber sammen, hvis vi ikke vinder.

Jeg tror, ​​det største er at engagere sig i os. Vi har gode relationer til partnerne som vi ved. Min største bekymring er, at vi har mange partnere ved det ikke. Vi ved ikke, hvor de er, eller hvordan vi kommer dertil. CISA er en organisation i vækst - vi har en feltstyrke i hele landet på omkring 500 mennesker, og vi skal fortsætte med at vokse - men selv 500 mennesker er en dråbe i bøtten. Så vi skal vide, hvordan vi skal engagere os, og hvem vi skal engagere os med. Og det er her, jeg tror, ​​industrien kan hjælpe, fordi der er mange flere muligheder for brancheengagement for at få os i forbindelse med de rigtige partnere, der kan hjælpe os med at hæve den bar af modstandsdygtighed.

Og så hold os ærlige. Hold os ærlige og uddanne os. Du ved, vi prøver virkelig at læne os fremad i mange af vores engagementer, fordi jeg tror, ​​at der tidligere har været megen frygt for, hvordan vi engagerer os i industrien: "Hvad kan vi gøre?" "Hvad kan vi sige?" "Hvad kan vi ikke sige?" 

Vi har opbygget et team hos CISA nu, der virkelig er fremadrettet, hvor vi ikke er bange for det engagement. Ja, der er linjer, men vi har en masse breddegrader inden for disse linjer. Vi prøver virkelig at holde os inden for disse autoværn - vi ønsker ikke at styrte igennem og gå ud over klippen - men så længe vi bliver inden for disse autoværn, har vi det fint.

Så jeg tror, ​​det største er at fortælle os, hvad vi ikke ved. Og jeg ved, at der er meget, vi ikke ved. Men at hjælpe med at uddanne os om, hvad det er, hjælpe os med at holde os ansvarlige for, hvad vi gør eller ikke gør, tror jeg virkelig vil hjælpe os med at komme videre og tage de væsentlige spring, vi skal tage.

Offentliggjort 4. juli 2022