Ransomware, Cyber-Savviness et la connexion de sécurité public-privé

Nitin Natarajan est le directeur adjoint de CISA (Cybersecurity and Infrastructure Security Agency), et possède une vaste expérience dans le domaine de la cybersécurité, y compris la supervision d'infrastructures critiques pour le US National Security Council et le US Department of Health and Human Services. 

Dans cette discussion avec l'associé général d'a16z, Joel de la Garza (qui était auparavant directeur de la sécurité chez Box et a dirigé des équipes de sécurité dans de nombreuses institutions financières), Natarajan explique pourquoi l'évolution du paysage des menaces de cybersécurité oblige les organisations de toutes tailles - ainsi que particuliers — pour devenir plus avertis en matière de cybersécurité. Il couvre également un certain nombre d'autres sujets, notamment la meilleure façon dont l'industrie et le gouvernement peuvent travailler ensemble pour partager des informations et protéger tout le monde.

Ceci est une version éditée d'une discussion en direct qui a eu lieu en mai. Tu peux écoutez toute la discussion sous forme de podcast ici.

---

Joël de la Garza : Comment pensez-vous, et comment CISA, pensez-vous à hiérarchiser les menaces ? Cela semble être la clé de tout ce que vous essayez de faire.

NITIN NATARAJAN : En ce qui concerne l'établissement des priorités, il s'agit de vraiment comprendre quels sont ces risques systémiques. Comment pouvons-nous aider à raconter l'histoire de l'analyse d'impact en cascade afin que les gens puissent décider où investir et contre quels risques investir pour se protéger ? 

Ou comment considérons-nous le risque comme un tabouret à trois pieds ? Je pense que nous passons beaucoup de temps à parler de l'identification des risques. Nous passons beaucoup de temps à parler de l'atténuation des risques. On oublie cette troisième étape, qui pour moi est celle chaque risque que nous identifions et que nous n'atténuons pas, nous acceptons. Et nous acceptons toujours un certain risque. Je veux dire, j'ai conduit jusqu'ici. Je suis monté sur scène. J'ai pris un risque en venant ici. Je vais prendre un risque en partant et éventuellement en tombant.

Mais comment s'assurer que nos yeux sont grands ouverts sur ce que nous acceptons ? Et comment comprenons-nous ce paysage de risques et l'utilisons-nous pour orienter notre hiérarchisation ? Et ensuite, comment regardons-nous cela dans 16 secteurs critiques qui sont à différents niveaux de maturité ?

Des industries comme le secteur financier ont eu un retour sur investissement quantifiable en investissant dans la cybersécurité, mais nous avons d'autres secteurs qui n'ont pas investi aussi longtemps ou autant dans ce domaine. Nous voulons être en mesure d'aborder le risque d'une manière qui reconnaisse que les gens se trouvent à des endroits différents et qui s'adresse aux grandes sociétés multinationales ainsi qu'aux petites entreprises. Lorsque nous examinons les risques de la chaîne d'approvisionnement, une grande partie de ce risque ne réside pas dans les grandes sociétés multinationales, mais dans la petite entreprise qui crée ce petit élément, ce gadget qui est essentiel.

La priorisation est donc un défi pour nous, car nous examinons des secteurs entiers, verticalement et horizontalement. Mais ce que nous voulons essayer de faire, c'est vraiment comprendre ce qu'est ce risque systémique.

Les médias et l'industrie de la sécurité ont tendance à toujours parler des mêmes menaces. Quelles sont les choses qui vous tiennent à cœur et dont nous n'entendons pas parler tous les jours ?

Je pense que la plus grande menace est la complaisance. On a beaucoup parlé de qui est l'adversaire et à quoi il ressemble. Et comment s'engage-t-on ? Mais ce qui m'inquiète vraiment, c'est d'amener les gens à vraiment comprendre le potentiel pour eux d'être une victime et comment ils perçoivent la menace comme étant la leur.

Des choses comme Piratage du pipeline colonial et d'autres incidents ont contribué à cela, où les gens ont pensé dans le passé : « Je ne peux pas être une victime. Personne ne viendra après moi : je suis une petite entreprise, ou je suis une petite administration rurale, ou je suis une école, et ainsi de suite. Ils ne s'inquiètent pas pour moi. Ils s'inquiètent pour les villes de New York dans le monde, ils s'inquiètent pour les grandes multinationales. Je pense que ce que nous voyons, c'est que les gens sont capables de voir que la menace est réelle pour eux. 

Nous avons eu un incident avec un petit district scolaire qui a été victime d'un ransomware. Ils ont appelé le numéro et ont dit : « Nous n'avons pas d'argent. Nous ne sommes qu'un petit district scolaire. Vous ne comprenez pas. Et les assaillants ont dit : « Non, nous savons combien d'argent vous avez.

Comment pensez-vous briser une partie de cet engourdissement ou de cette complaisance du côté du grand public?

Je pense que c'est l'éducation. C'est amener le consommateur à poser des questions. Donc, si vous vous rendez dans une banque, par exemple, la banque utilise-t-elle l'authentification multifacteur ? Vous voulez rechercher ces types de capacités, ainsi que ce que cette institution fait à vos renseignements personnels et à vos ressources, et quelle en est la valeur.

Je pense qu'amener les gens à comprendre même des choses comme le Internet des Objets (IoT), et que nous introduisons beaucoup plus de vulnérabilités dans le monde, est important. Je veux dire, nous avons des réfrigérateurs connectés à Internet. Je ne suis pas contre. Je ne sais pas ce qu'il fait différemment de mon réfrigérateur. Mais toutes ces choses apportent de nouvelles vulnérabilités. 

J'ai dit en plaisantant à quelqu'un l'autre jour que j'aimerais retourner à mon ancien Motorola StarTAC journées. Nous avons apporté beaucoup de capacités et de technologies dans nos appareils mobiles. Mais avec cela, nous avons apporté un risque. Et je ne pense pas que nous ayons passé assez de temps à parler du risque, car nous parlons de la taille des pixels et de la possibilité de jouer à des jeux.

Je pense que nous devons également éduquer la prochaine génération. Sans doute, je suis perdu. Je crois ce que je crois, tu sais, et comment peux-tu me faire changer d'avis ? Mais je regarde mes enfants qui sortent du lycée, et les gens me disent : "Oh, ils sont tellement cyber-intelligent.” Et je dirais qu'ils ne sont pas - je dirais qu'ils sont technophile. Ils utilisent des iPad depuis l'âge de deux mois, mais ils enregistrent toujours le mot de passe à l'arrière de l'iPad ou à l'arrière de leur clavier.

Donc, je pense que nous avons assimilé maîtrise de la technologie avec cyber-savoir-faire. Nous devons les rendre cyber-savvy. Nous devons l'intégrer à cette prochaine génération pour qu'elle l'intègre véritablement dans sa vie quotidienne, tant sur le plan personnel que professionnel.

Y a-t-il des menaces sur lesquelles nous sommes trop obsédés et qui nous détournent probablement du risque réel ?

Nous passons beaucoup de temps à regarder à court terme. C'est la nature, c'est par défaut. Nous nous concentrons sur ce qui est ici et maintenant, ce qui est devant nous. Mais je ne sais pas si nous passons suffisamment de temps à regarder à plus long terme - si nous regardons vraiment, vraiment à quoi ressemblera la résilience dans 5 ans, 10 ans, 15 ans. Et je pense que c'est parce que c'est dur. Nous ne savons pas où en sera la technologie dans 5 ou 10 ans, il est donc difficile de savoir où se concentrer. Nous nous concentrons donc sur ce qui nous attend immédiatement.

Je pense que nous devons consacrer plus de temps à cette résilience à plus long terme, car il faudra du temps pour la construire. Quand je regarde les solutions d'entreprise, ou au gouvernement, beaucoup de ces types de choses sont des efforts pluriannuels. Et souvent, du moins dans le processus d'acquisition du gouvernement, au moment où nous avons défini notre portée et que nous avons fait l'acquisition, c'est déjà dépassé. Et nous recommençons simplement le cycle.

La chose la plus importante est de s'engager avec nous. Nous avons d'excellentes relations avec les partenaires que nous savons. Ma plus grande préoccupation est qu'il y a beaucoup de partenaires que nous ne sais pas.

Parlons de la situation avec la Russie et l'Ukraine. L'une des choses qui a été très intéressante en tant qu'observateur passif, c'est que nous n'avons pas connu le même chaos que par le passé — NotPetya et ces choses qui ont été conçues et développées pour perturber l'Ukraine mais qui sont sorties et ont perturbé le commerce mondial. Il semble que, dans cette itération, il y ait eu beaucoup moins de dommages collatéraux. 

Est-ce parce que nous venons de monter de niveau et que nous faisons beaucoup de choses ? Est-ce le travail du gouvernement d'imposer des normes et d'informer les gens? Parce que nous avons obtenu le Boucliers annonce que bon nombre des conseils d'administration dont je fais partie et des personnes avec lesquelles je travaille ont pris très au sérieux. 

Je pense que cela a changé de plusieurs côtés. Il y a certainement eu des changements avec l'adversaire et certaines des approches là-bas. Je pense qu'il y a certainement des changements du côté du gouvernement et le travail que nous avons fait au fil des années pour vraiment relever la barre. Cela est dû en grande partie à la collaboration avec l'industrie et à beaucoup de ces types de choses qui ont aidé l'industrie à devenir plus résiliente. Je pense que les gens croient plus à la cybersécurité qu'il y a quelques années. Et, donc, toutes ces choses ensemble nous ont amenés à un bon endroit.

J'étais dans le domaine de la santé publique pendant un certain temps et nous luttons contre les pandémies depuis longtemps. Ce n'est pas nouveau pour nous. Et nous luttions contre des pandémies, je me souviens quand le H1N1 - ce que nous pensions être une pandémie - a frappé. Nous ne le savions pas. Et, vous savez, ce que nous avons en fait dit à l'époque, c'est que nous ne pouvions pas passer à une posture complète de travail à distance ou de télétravail parce que les systèmes informatiques ne pouvaient pas le gérer. Eh bien, 12 ans plus tard, nous avons réussi. Nous avons réussi non seulement grâce à la transition vers le cloud, mais beaucoup de choses nous ont amenés là où nous en sommes aujourd'hui.

Donc, je pense que lorsque nous regardons NotPetya par rapport à maintenant, une partie de cela est vraiment à la fois des changements du côté de l'adversaire, des changements de notre côté et des changements sur le partenariat et la relation. Shields Up est un excellent exemple où nous pouvons nous pencher en avant et partager beaucoup plus d'informations avec des partenaires de l'industrie, à la fois au niveau classifié et au niveau non classifié. Comment faire circuler l'information? Comment amener les gens à faire confiance aux informations que nous diffusons ?

En fin de compte, notre objectif n'est pas de distribuer tous les documents classifiés à tout le monde ou de faire en sorte que tout le monde obtienne une habilitation de sécurité. Nous n'obtiendrons jamais cette information en temps opportun. Il s'agit de diffuser l'information de manière à ce que les gens puissent réellement l'utiliser. Au fil des ans, j'ai développé une sorte de mantra sur le partage de l'information. Pour moi, c'est : Comment pouvons-nous transmettre les bonnes informations aux bonnes personnes en temps opportun, ce qui se traduit par plus informé la prise de décision. Alors même si la décision est la même, au moins elle est mieux informée.

Et donc, alors que nous regardions cet événement, et ce que nous avons vu, nous avions les mécanismes pour diffuser des informations là-bas. Nous avions des gens qui croyaient à la qualité de l'information qui sortait. Je pense aussi qu'il est utile de se pencher en avant et de dire que nous n'avons pas beaucoup d'informations. Et nous avons vu des choses vraiment uniques. Nous avions beaucoup d'informations que nous avons pu faire passer assez rapidement de l'espace classifié au podium - en un temps record, dans certains cas - et nous avons vraiment pu les utiliser pour guider la prise de décision des gens sur les actions à entreprendre. Je pense donc qu'il s'agit d'une réponse forte et efficace.

Mais tout est une question de collaboration et de partenariat, car il ne s'agit pas seulement de diffuser des informations si elles ne peuvent pas être utilisées. Et jusqu'à ce que nous puissions obtenir les commentaires et vraiment construire ces systèmes d'une manière qui nous permette de travailler ensemble, nous ne changerons pas cela national paysage alors que nous examinons les infrastructures essentielles.

Je regarde mes enfants qui sortent du lycée et les gens me disent "Oh, ils sont tellement cyber-intelligent.” Et je dirais qu'ils ne sont pas - je dirais qu'ils sont technophile. Ils utilisent des iPad depuis l'âge de deux mois, mais ils enregistrent toujours le mot de passe à l'arrière de l'iPad ou à l'arrière de leur clavier.

J'aimerais avoir votre avis sur les rançongiciels. L'administration est devenue très sérieuse à ce sujet. Et il se trouve que c'est principalement centré sur les zones qui se battent maintenant les unes contre les autres. Je suis curieux de connaître votre approche de la gestion des ransomwares et de la façon dont vous en supprimez peut-être une partie. Parce qu'il semble que ça s'est peut-être amélioré...

je vais faire ma prise pour notre site de rançongiciels, où nous avons essayé de tout rassembler sur un site Web central pour diffuser les informations. Mais je pense que beaucoup se résume à l'éducation. Il s'agit d'éduquer les gens sur le fait que vous n'allez pas recevoir un million de dollars par e-mail - vous allez recevoir un gros chèque papier, quelqu'un va venir à votre porte et sonner à la porte. Je pense qu'il s'agit de faire comprendre aux gens qui sont les victimes potentielles.

Nous avons eu un incident avec un petit district scolaire qui a été victime d'un logiciel de rançon. Ils ont appelé le numéro et ont dit : « Nous n'avons pas d'argent. Nous ne sommes qu'un petit district scolaire. Vous ne comprenez pas.

Et les assaillants ont dit : « Non, nous savons combien d'argent vous avez. Nous avons vos relevés de compte bancaire. Nous savons combien vous avez. Et nous savons combien vous pouvez payer et ce que nous vous demandons est assez proportionnel à ce que vous avez en banque. Donc on ne prend pas tout, on laisse un peu de quelque chose. Mais, vraiment, c'est ce que nous voulons.

Et le district scolaire a dit: «Eh bien, vous voulez Bitcoin. Je ne sais pas comment faire ça. 

« Nous avons un service d'assistance. Nous avons des centres d'assistance dans 14 langues différentes qui peuvent vous aider à obtenir des bitcoins. Alors, comment pouvons-nous vous aider ? »

Je pense donc qu'avec les ransomwares, nous devons permettre aux gens de comprendre les vulnérabilités, les risques, qui pourraient être les cibles, et les gestes à poser [voir avis conjoint CISA 2021 Ransomware Trends]. Et l'impact monétaire. Avec les attaques de rançongiciels et avec d'autres types de choses que nous voyons, les gens sont individuel utilisateurs. Mais je pense aussi que les gens commencent à faire attention. Je pense que les gens commencent à ne plus cliquer sur tout.

I do s'inquiéter de choses comme les pandémies et de ce genre de choses où nous avons un potentiel d'opportunité accru. Ou quelqu'un avec 300 e-mails dans sa boîte de réception et qui a juste besoin de les parcourir, qui est victime de ce genre de choses. Et donc il faut maintenir la pression. Nous devons maintenir le message. 

Et nous devons amener la jeune génération à s'en rendre compte également. Parce que j'ai fait l'erreur de regarder dans la boîte de réception de mon lycéen. Et je ne sais pas s'ils lisent leurs e-mails, ou quoi. Je ne sais pas ce qu'ils ont… il y a des centaines — des centaines — de courriels. Je ne sais même pas d'où ils viennent ni comment ils se les sont procurés. Comment éduquons-nous cette prochaine génération pour qu'elle soit dans un meilleur endroit?

En fin de compte, notre objectif n'est pas de distribuer tous les documents classifiés à tout le monde ou de faire en sorte que tout le monde obtienne une habilitation de sécurité. . . . Pour moi, il s'agit de : comment transmettre les bonnes informations aux bonnes personnes en temps opportun, ce qui se traduit par plus informé la prise de décision.

Ce serait formidable de comprendre comment nous pouvons, dans le secteur privé, mieux collaborer avec le gouvernement et aider à améliorer les choses. Parce que c'est un de ces sports d'équipe, où nous perdons tous ensemble si nous ne gagnons pas.

Je pense que la chose la plus importante est de s'engager avec nous. Nous avons d'excellentes relations avec les partenaires que nous savons. Ma plus grande préoccupation est qu'il y a beaucoup de partenaires que nous ne sais pas. Nous ne savons pas où ils se trouvent, ni comment s'y rendre. CISA est une organisation en pleine croissance - nous avons une force de terrain dans tout le pays d'environ 500 personnes, et nous devons continuer à la développer - mais même 500 personnes, c'est une goutte d'eau dans l'océan. Nous devons donc savoir comment nous engager et avec qui nous engager. Et c'est là que je pense que l'industrie peut aider, car il y a beaucoup plus de possibilités d'engagement de l'industrie pour nous mettre en contact avec les bons partenaires qui peuvent nous aider à relever la barre de la résilience.

Et ensuite, gardez-nous honnêtes. Gardez-nous honnêtes et éduquez-nous. Vous savez, nous essayons vraiment d'aller de l'avant dans beaucoup de nos engagements parce que je pense que, dans le passé, il y a eu beaucoup de craintes quant à la façon dont nous nous engageons avec l'industrie : « Que pouvons-nous faire ? » « Que pouvons-nous dire ? » « Qu'est-ce qu'on ne peut pas dire ? » 

Nous avons construit une équipe à CISA maintenant qui est vraiment tournée vers l'avant où nous n'avons pas peur de cet engagement. Oui, il y a des lignes, mais nous avons beaucoup de latitude à l'intérieur de ces lignes. Nous essayons vraiment de rester à l'intérieur de ces garde-corps – nous ne voulons pas nous écraser et descendre de la falaise – mais tant que nous restons à l'intérieur de ces garde-corps, tout va bien.

Je pense donc que le plus important est de nous dire ce que nous ne savons pas. Et je sais qu'il y a beaucoup de choses que nous ne savons pas. Mais en nous éduquant sur ce que c'est, en nous aidant à rester responsables de ce que nous faisons ou ne faisons pas, je pense vraiment que cela va nous aider à aller de l'avant et à faire les sauts importants que nous devons faire.

Publié le 4 juillet 2022