Ransomware, Keamanan Cyber, dan Koneksi Keamanan Publik-Swasta

Nitin Natarajan adalah wakil direktur CISA (Keamanan Siber dan Badan Keamanan Infrastruktur), dan memiliki pengalaman luas di bidang keamanan siber, termasuk mengawasi infrastruktur penting untuk Dewan Keamanan Nasional AS dan Departemen Kesehatan dan Layanan Kemanusiaan AS. 

Dalam diskusi dengan mitra umum a16z Joel de la Garza (yang sebelumnya adalah kepala petugas keamanan di Box, dan telah memimpin tim keamanan di berbagai lembaga keuangan), Natarajan menjelaskan mengapa lanskap ancaman keamanan siber yang berkembang memaksa organisasi dari semua ukuran — serta individu — untuk menjadi lebih paham dunia maya. Dia juga membahas sejumlah topik lain, termasuk bagaimana industri dan pemerintah dapat bekerja sama dengan baik untuk berbagi informasi dan melindungi semua orang.

Ini adalah versi yang diedit dari diskusi langsung yang berlangsung pada bulan Mei. Kamu bisa dengarkan seluruh diskusi dalam bentuk podcast di sini.

---

JOEL DE LA GARZA: Bagaimana Anda, dan bagaimana CISA, berpikir tentang memprioritaskan ancaman? Itu sepertinya kunci untuk semua yang Anda coba lakukan.

NITIN NATARAJAN: Saat kita melihat prioritas, kita benar-benar memahami apa risiko sistemik itu. Bagaimana kami dapat membantu menceritakan kisah analisis dampak berjenjang sehingga orang dapat membuat keputusan tentang di mana harus berinvestasi dan risiko apa yang harus diinvestasikan dalam perlindungan? 

Atau, bagaimana kita memandang risiko sebagai bangku berkaki tiga? Saya pikir kita menghabiskan banyak waktu berbicara tentang identifikasi risiko. Kami menghabiskan banyak waktu berbicara tentang mitigasi risiko. Kami melupakan leg ketiga itu, yang bagi saya adalah itu setiap risiko yang kami identifikasi dan tidak kami mitigasi, kami menerima. Dan kami selalu menerima beberapa risiko. Maksudku, aku mengemudi di sini. Aku berjalan ke atas panggung. Saya mengambil risiko dengan datang ke sini. Saya akan mengambil risiko dengan pergi dan mungkin jatuh.

Tapi bagaimana kita memastikan mata kita terbuka lebar untuk apa yang kita terima? Dan bagaimana kita memahami lanskap risiko itu dan menggunakannya untuk mendorong prioritas kita? Lalu bagaimana kita melihat hal ini di 16 sektor kritis yang berada dalam berbagai tingkat kematangan?

Industri seperti sektor keuangan memiliki laba atas investasi yang dapat diukur dari investasi dalam keamanan siber, tetapi kami memiliki sektor lain yang belum berinvestasi selama atau sebanyak itu di bidang itu. Kami ingin dapat mengatasi risiko dengan cara yang mengakui bahwa orang berada di tempat yang berbeda, dan itu berbicara kepada perusahaan multinasional besar serta usaha kecil. Saat kita melihat risiko rantai pasokan, banyak dari risiko itu tidak berada di perusahaan multinasional besar, tetapi dalam bisnis kecil yang menciptakan satu bagian kecil, satu widget yang sangat penting.

Jadi prioritas bagi kami adalah sebuah tantangan karena kami melihat seluruh industri — secara vertikal dan horizontal. Tetapi yang ingin kami coba dan lakukan adalah benar-benar memahami apa itu risiko sistemik.

Media dan industri keamanan cenderung selalu membicarakan ancaman yang sama. Apa saja hal-hal yang ada di benak Anda yang tidak kami dengar setiap hari?

Saya pikir ancaman terbesar adalah rasa puas diri. Ada banyak pembicaraan di luar sana tentang siapa musuhnya dan seperti apa rupa musuhnya. Dan bagaimana kita terlibat? Tapi yang benar-benar saya khawatirkan adalah membuat orang benar-benar memahami potensi mereka menjadi korban, dan bagaimana mereka memandang ancaman sebagai milik mereka.

Hal-hal seperti Peretasan Colonial Pipeline dan insiden lain telah membantu dengan itu, di mana orang berpikir di masa lalu, “Saya tidak bisa menjadi korban. Tidak ada yang akan mengejar saya: Saya adalah bisnis kecil, atau saya adalah yurisdiksi pedesaan kecil, atau saya sekolah, dan apa lagi. Mereka tidak mengkhawatirkanku. Mereka khawatir tentang Kota New York di dunia, mereka khawatir tentang perusahaan multinasional besar.” Saya pikir apa yang kita lihat adalah bahwa orang dapat melihat bahwa ancaman itu nyata bagi mereka. 

Kami memiliki insiden dengan distrik sekolah kecil yang menjadi korban ransomware. Mereka menelepon nomor itu dan berkata, “Kami tidak punya uang. Kami hanya distrik sekolah kecil ini. Anda tidak mengerti.” Dan para penyerang berkata, “Tidak, kami tahu berapa banyak uang yang Anda miliki.”

Bagaimana pendapat Anda tentang menghancurkan sebagian dari mati rasa atau kepuasan di sisi masyarakat umum?

Saya pikir itu pendidikan. Ini membuat konsumen bertanya. Jadi jika Anda pergi ke bank, misalnya, apakah bank menggunakan otentikasi multi-faktor? Anda ingin mencari jenis kemampuan tersebut, serta apa yang dilakukan institusi tersebut terhadap informasi pribadi Anda dan sumber daya Anda, dan apa nilainya di sana.

Saya pikir membuat orang mengerti bahkan hal-hal seperti Internet of Things, dan bahwa kami memperkenalkan lebih banyak kerentanan ke dunia, itu penting. Maksudku, kami memiliki lemari es yang terhubung ke internet. Saya tidak menentangnya. Saya tidak tahu apa fungsinya berbeda dari kulkas saya. Tetapi semua hal ini membawa kerentanan baru. 

Saya bercanda mengatakan kepada seseorang tempo hari bahwa saya ingin kembali ke masa lalu saya Motorola StarTAC hari. Kami telah membawa banyak kemampuan dan teknologi ke dalam perangkat seluler kami. Tapi dengan itu, kami membawa risiko. Dan saya rasa kita belum menghabiskan cukup banyak waktu untuk membicarakan risikonya, karena kita berbicara tentang ukuran piksel dan kemampuan untuk bermain game.

Saya pikir kita juga perlu mendidik generasi berikutnya. Bisa dibilang, saya tersesat. Saya percaya apa yang saya percaya, Anda tahu, dan bagaimana Anda mengubah pikiran saya? Tapi saya melihat anak-anak saya yang baru lulus SMA, dan orang-orang seperti, “Oh, mereka sangat paham dunia maya.” Dan saya akan mengatakan mereka tidak - saya akan menawarkan bahwa mereka penggemar teknologi. Mereka telah menggunakan iPad sejak mereka berusia dua bulan, tetapi mereka masih menempelkan kata sandi di bagian belakang iPad atau di bagian belakang keyboard mereka.

Jadi, saya pikir kita sudah menyamakan kecanggihan teknologi dengan kecerdasan dunia maya. Kita perlu membuat mereka paham dunia maya. Kita perlu membangunnya ke dalam generasi berikutnya agar mereka benar-benar membangunnya dalam kehidupan sehari-hari mereka, baik secara pribadi maupun profesional.

Apakah ada ancaman yang membuat kita terlalu terobsesi dan mungkin mengalihkan kita dari risiko sebenarnya?

Kami menghabiskan banyak waktu untuk melihat jangka pendek. Itu sifatnya, itu secara default. Kami fokus pada apa yang ada di sini dan sekarang, apa yang ada di depan kami. Tapi saya tidak tahu apakah kita menghabiskan cukup waktu untuk melihat jangka panjang — jika kita benar-benar melihat seperti apa ketahanan dalam 5 tahun, 10 tahun, 15 tahun. Dan saya pikir itu karena sulit. Kami tidak tahu di mana teknologi akan berada dalam 5 atau 10 tahun, jadi sulit untuk mengukur di mana harus fokus. Jadi kami fokus pada apa yang langsung menghadap kami.

Saya pikir kita perlu menghabiskan lebih banyak waktu untuk ketahanan jangka panjang itu karena akan membutuhkan waktu untuk membangunnya. Ketika saya melihat solusi perusahaan, atau di pemerintahan, banyak hal semacam itu adalah upaya multi-tahun. Dan seringkali, setidaknya dalam proses akuisisi pemerintah, pada saat kami menetapkan ruang lingkup dan kami telah melakukan akuisisi, itu sudah ketinggalan zaman. Dan kita baru memulai siklusnya lagi.

Hal terbesar adalah terlibat dengan kami. Kami memiliki hubungan yang baik dengan para mitra yang kita tahu. Kekhawatiran terbesar saya adalah bahwa ada banyak mitra kami tidak tahu.

Mari kita bicara tentang situasi dengan Rusia dan Ukraina. Salah satu hal yang sangat menarik sebagai pengamat pasif adalah bahwa kita tidak mengalami kekacauan yang sama seperti yang kita alami di masa lalu — NotPetya dan hal-hal ini yang dirancang dan dikembangkan untuk mengganggu Ukraina tetapi keluar dan mengganggu perdagangan global. Tampaknya, dalam iterasi ini, ada lebih sedikit kerusakan tambahan. 

Apakah itu karena kami baru saja naik level dan kami melakukan banyak hal? Apakah ini pekerjaan pemerintah yang mendorong standar dan membiarkan orang tahu? Karena kami mendapat Perisai Up pengumuman bahwa banyak dewan yang saya ikuti, dan orang-orang yang bekerja dengan saya, menanggapinya dengan sangat serius. 

Saya pikir ini berubah di banyak sisi. Pasti ada perubahan dengan musuh dan beberapa pendekatan di sana. Saya pikir pasti ada perubahan dari sisi pemerintah dan pekerjaan yang telah kami lakukan selama beberapa tahun untuk benar-benar meningkatkan standar. Banyak dari itu karena kolaborasi dengan industri, dan banyak hal semacam itu yang telah membantu industri menjadi lebih tangguh. Saya pikir orang lebih percaya pada keamanan siber daripada beberapa tahun lalu. Dan, jadi, semua hal itu bersama-sama membawa kita ke tempat yang baik.

Saya berada di ruang kesehatan masyarakat untuk sementara waktu, dan kami telah berjuang melawan pandemi untuk waktu yang lama. Ini bukan hal baru bagi kami. Dan kami melawan pandemi, saya ingat ketika H1N1 —yang kami pikir sebagai pandemi — melanda. Sedikit yang kita tahu. Dan, Anda tahu, apa yang sebenarnya kami katakan saat itu adalah bahwa kami tidak dapat melakukan pekerjaan jarak jauh atau telework sepenuhnya karena sistem TI tidak dapat menanganinya. Nah, maju cepat 12 tahun dan kami berhasil melakukannya. Kami melakukannya bukan hanya karena transisi ke cloud — banyak hal yang membawa kami ke posisi sekarang ini.

Jadi saya pikir saat kita melihat NotPetya versus sekarang, sebagian darinya benar-benar perubahan di pihak lawan, perubahan di pihak kita, dan perubahan pada kemitraan dan hubungan. Shields Up adalah contoh yang bagus di mana kami dapat bersandar ke depan dan berbagi lebih banyak informasi dengan mitra industri, baik di tingkat rahasia maupun tingkat tidak rahasia. Bagaimana kita mendapatkan informasi di luar sana? Bagaimana kita membuat orang memercayai informasi yang kita berikan?

Tujuan kami di penghujung hari bukanlah untuk mengeluarkan setiap dokumen rahasia kepada semua orang atau membuat semua orang dibersihkan dengan izin keamanan. Kami tidak akan pernah mendapatkan informasi itu di luar sana pada waktu yang tepat. Ini mendapatkan informasi di luar sana dengan cara yang benar-benar dapat dimanfaatkan orang. Selama bertahun-tahun, saya telah mengembangkan semacam mantra tentang berbagi informasi. Bagi saya, itu: Bagaimana kita mendapatkan informasi yang tepat kepada orang yang tepat pada waktu yang tepat yang menghasilkan lebih terinformasi pengambilan keputusan. Jadi meskipun keputusannya sama, setidaknya lebih baik diinformasikan.

Dan saat kami melihat peristiwa ini, dan apa yang kami lihat, kami memiliki mekanisme untuk mendapatkan informasi di luar sana. Kami memiliki orang-orang yang mempercayai kualitas informasi yang keluar. Saya juga berpikir ada nilai dalam bersandar ke depan dan mengatakan kami tidak memiliki banyak informasi. Dan kami melihat beberapa hal yang sangat unik. Kami memiliki banyak informasi yang dapat kami peroleh dari ruang rahasia ke podium dengan cukup cepat — dalam waktu singkat, dalam beberapa kasus — dan benar-benar dapat menggunakannya untuk mendorong pengambilan keputusan orang tentang tindakan apa yang harus mereka ambil. Jadi saya pikir ini adalah respons yang kuat dan efektif.

Tapi ini semua tentang kolaborasi dan kemitraan, karena bukan hanya kami yang mengeluarkan informasi jika tidak dapat dimanfaatkan. Dan sampai kami mendapatkan umpan balik dan benar-benar membangun sistem tersebut dengan cara yang memungkinkan kami untuk bekerja sama, kami tidak akan mengubahnya nasional lanskap saat kita melihat infrastruktur penting.

Saya melihat anak-anak saya yang baru lulus SMA, dan orang-orang seperti, “Oh, mereka sangat paham dunia maya.” Dan saya akan mengatakan mereka tidak - saya akan menawarkan bahwa mereka penggemar teknologi. Mereka telah menggunakan iPad sejak mereka berusia dua bulan, tetapi mereka masih menempelkan kata sandi di bagian belakang iPad atau di bagian belakang keyboard mereka.

Saya ingin mendapatkan pendapat Anda tentang ransomware. Administrasi menjadi sangat serius tentang hal itu. Dan kebetulan sebagian besar berpusat di daerah-daerah yang sekarang saling berperang. Saya ingin tahu tentang pendekatan Anda untuk menangani ransomware dan bagaimana Anda mungkin mengubah sebagian dari itu. Karena sepertinya itu mungkin menjadi lebih baik …

Saya akan membuat steker saya untuk situs ransomware kami, tempat kami mencoba menggabungkan semuanya dalam situs web pusat untuk mendapatkan informasi di luar sana. Tapi saya pikir banyak yang bermuara pada pendidikan. Ini mendidik orang bahwa Anda tidak akan mendapatkan satu juta dolar melalui email - Anda akan mendapatkan cek kertas besar, seseorang akan datang ke pintu Anda dan membunyikan bel. Saya pikir itu datang untuk membiarkan orang memahami siapa calon korbannya.

Kita dulu punya insiden dengan distrik sekolah kecil yang menjadi korban ransomware. Mereka menelepon nomor itu dan berkata, “Kami tidak punya uang. Kami hanya distrik sekolah kecil ini. Anda tidak mengerti.”

Dan para penyerang berkata, “Tidak, kami tahu berapa banyak uang yang Anda miliki. Kami memiliki laporan rekening bank Anda. Kami tahu berapa banyak yang Anda miliki. Dan kami tahu berapa banyak Anda dapat membayar dan apa yang kami minta Anda cukup sepadan dengan berapa banyak yang Anda miliki di bank. Jadi kami tidak mengambil semuanya, kami meninggalkan sedikit sesuatu. Tapi, sungguh, inilah yang kami inginkan.”

Dan distrik sekolah berkata, “Ya, Anda menginginkan Bitcoin. Saya tidak tahu bagaimana melakukannya.” 

“Kami punya meja bantuan. Kami memiliki meja bantuan dalam 14 bahasa berbeda yang dapat membantu Anda mendapatkan bitcoin. Jadi bagaimana kami bisa membantumu?”

Jadi saya pikir dengan ransomware kita perlu membuat orang memahami kerentanan, risiko, siapa targetnya, dan tindakan yang harus diambil [lihat penasehat bersama CISA Tren Ransomware 2021]. Dan dampak moneter. Dengan serangan ransomware dan jenis hal lain yang kami lihat, orang-orang sendiri-sendiri pengguna. Tapi saya juga berpikir orang-orang mulai memperhatikan. Saya pikir orang-orang mulai tidak mengklik semuanya.

I do khawatir tentang hal-hal seperti pandemi dan hal-hal semacam itu di mana kita memiliki potensi peluang yang meningkat. Atau seseorang dengan 300 email di kotak masuk mereka dan hanya perlu melewatinya, yang menjadi korban hal-hal semacam itu. Jadi kami harus terus menekan. Kita perlu menjaga agar pesan tetap berjalan. 

Dan kita perlu membuat generasi muda menyadari hal ini juga. Karena, saya membuat kesalahan dengan melihat melalui kotak masuk sekolah menengah saya. Dan saya tidak tahu apakah mereka membaca email mereka, atau apa. Saya tidak tahu apa yang mereka … ada ratusan — ratusan — email. Saya bahkan tidak tahu dari mana mereka berasal atau bagaimana mereka mendapatkannya. Bagaimana kita mendidik generasi berikutnya untuk berada di tempat yang lebih baik?

Tujuan kami di penghujung hari bukanlah untuk mengeluarkan setiap dokumen rahasia kepada semua orang atau membuat semua orang dibersihkan dengan izin keamanan. . . . Bagi saya, ini adalah: Bagaimana kita mendapatkan informasi yang tepat kepada orang yang tepat pada waktu yang tepat yang menghasilkan lebih terinformasi pengambilan keputusan.

Akan sangat bagus untuk memahami bagaimana kita dapat, di sektor swasta, terlibat lebih baik dengan pemerintah dan membantu membuat segalanya lebih baik. Karena itu salah satu dari olahraga tim, di mana kita semua kalah bersama jika tidak menang.

Saya pikir hal terbesar adalah terlibat dengan kami. Kami memiliki hubungan yang baik dengan para mitra yang kita tahu. Kekhawatiran terbesar saya adalah bahwa ada banyak mitra kami tidak tahu. Kami tidak tahu di mana mereka berada, atau bagaimana menuju ke sana. CISA adalah organisasi yang berkembang — kami memiliki pasukan lapangan di seluruh negara yang terdiri dari 500 orang atau lebih, dan kami perlu terus menumbuhkannya —tetapi bahkan 500 orang adalah masalah kecil. Jadi, kita perlu tahu bagaimana terlibat dan dengan siapa harus terlibat. Dan di situlah saya pikir industri dapat membantu, karena ada lebih banyak peluang keterlibatan industri untuk menghubungkan kita dengan mitra yang tepat yang dapat membantu kita meningkatkan standar ketahanan itu.

Dan kemudian menjaga kita jujur. Jagalah kami jujur ​​dan didik kami. Anda tahu, kami benar-benar mencoba untuk bersandar ke depan dalam banyak keterlibatan kami karena saya pikir, di masa lalu, ada banyak ketakutan tentang bagaimana kami terlibat dengan industri: "Apa yang bisa kami lakukan?" “Apa yang bisa kita katakan?” “Apa yang tidak bisa kita katakan?” 

Kami telah membangun tim di CISA sekarang yang benar-benar condong ke depan di mana kami tidak takut dengan keterlibatan itu. Ya, ada garis, tetapi kami memiliki banyak garis lintang di dalam garis itu. Kami benar-benar mencoba untuk tetap berada di dalam pagar pembatas itu — kami tidak ingin menabrak dan keluar dari tebing — tetapi selama kami tetap berada di dalam pagar pembatas itu, kami baik-baik saja.

Jadi saya pikir hal terbesar adalah memberi tahu kami apa yang tidak kami ketahui. Dan saya tahu ada banyak hal yang tidak kita ketahui. Tetapi membantu mendidik kita tentang apa itu, membantu kita tetap bertanggung jawab atas apa yang kita lakukan atau tidak lakukan, saya benar-benar berpikir akan membantu kita bergerak maju dan membuat lompatan signifikan yang perlu kita lakukan.

Diposting 4 Juli 2022