Ransomware, Cyber-Savviness e connessione di sicurezza pubblica-privata

Nitin Natarajan è il vicedirettore di CISA (Cybersecurity and Infrastructure Security Agency) e ha una vasta esperienza nel settore della sicurezza informatica, inclusa la supervisione di infrastrutture critiche per il Consiglio di sicurezza nazionale degli Stati Uniti e il Dipartimento della salute e dei servizi umani degli Stati Uniti. 

In questa discussione con il partner generale di a16z Joel de la Garza (che in precedenza era Chief Security Officer di Box e ha guidato i team di sicurezza di numerosi istituti finanziari), Natarajan spiega perché l'evoluzione del panorama delle minacce alla sicurezza informatica sta costringendo le organizzazioni di tutte le dimensioni, oltre a individui — per diventare più esperti di cyber. Tratta anche una serie di altri argomenti, incluso il modo in cui l'industria e il governo possono collaborare al meglio per condividere informazioni e proteggere tutti.

Questa è una versione modificata di una discussione dal vivo che ha avuto luogo a maggio. Puoi ascolta l'intera discussione in forma di podcast qui.

---

JOEL DE LA GARZA: In che modo, e in che modo CISA, pensa di dare priorità alle minacce? Sembra una chiave per tutto ciò che stai cercando di fare.

NITIN NATARAJAN: Se guardiamo alla definizione delle priorità, si tratta di capire davvero quali sono questi rischi sistemici. Come possiamo aiutare a raccontare la storia dell'analisi dell'impatto a cascata in modo che le persone possano prendere le decisioni su dove investire e da quali rischi investire per proteggersi? 

Oppure, come consideriamo a rischio uno sgabello a tre gambe? Penso che passiamo molto tempo a parlare di identificazione del rischio. Passiamo molto tempo a parlare di mitigazione del rischio. Dimentichiamo quella terza tappa, che per me è quella ogni rischio che identifichiamo e non mitighiamo, lo stiamo accettando. E accettiamo sempre qualche rischio. Voglio dire, sono venuto qui in macchina. Sono salito sul palco. Ho corso un rischio venendo qui. Correrò un rischio andando via e forse cadendo.

Ma come possiamo assicurarci che i nostri occhi siano ben aperti su ciò che stiamo accettando? E come comprendiamo quel panorama di rischio e lo usiamo per guidare la nostra definizione delle priorità? E poi come guardiamo a questo in 16 settori critici che si trovano a vari livelli di maturità?

Industrie come il settore finanziario hanno ottenuto un ritorno sull'investimento quantificabile dall'investimento nella sicurezza informatica, ma abbiamo altri settori che non hanno investito tanto a lungo o tanto in quell'area. Vogliamo essere in grado di affrontare il rischio in un modo che riconosca che le persone si trovano in luoghi diversi e che si rivolga alle grandi multinazionali e alle piccole imprese. Se guardiamo ai rischi della catena di approvvigionamento, gran parte di quel rischio non risiede nelle grandi multinazionali, ma nella piccola impresa che sta creando quel piccolo pezzo, quel widget che è fondamentale.

Quindi la definizione delle priorità per noi è una sfida perché osserviamo interi settori, verticalmente e orizzontalmente. Ma quello che vogliamo provare a fare è capire davvero qual è il rischio sistemico.

I media e il settore della sicurezza tendono a parlare sempre delle stesse minacce. Quali sono alcune cose che ti stanno a cuore di cui non sentiamo parlare tutti i giorni?

Penso che la minaccia più grande sia l'autocompiacimento. Si è parlato molto di chi sia l'avversario e che aspetto abbia. E come ci impegniamo? Ma ciò di cui mi preoccupo veramente è che le persone comprendano veramente il potenziale per loro di essere una vittima e come percepiscono la minaccia come loro.

Cose come Hack Colonial Pipeline e altri incidenti hanno aiutato in questo, in cui le persone in passato hanno pensato: “Non posso essere una vittima. Nessuno verrà dopo di me: sono una piccola impresa, o sono una piccola giurisdizione rurale, o sono una scuola, e tu cosa hai. Non sono preoccupati per me. Sono preoccupati per le città di New York nel mondo, sono preoccupati per le grandi multinazionali”. Penso che quello che stiamo vedendo è che le persone sono in grado di vedere che la minaccia è reale per loro. 

Abbiamo avuto un incidente con un piccolo distretto scolastico vittima di un ransomware. Hanno chiamato il numero e hanno detto: “Non abbiamo soldi. Siamo solo questo piccolo distretto scolastico. Non capisci.” E gli aggressori hanno detto: "No, sappiamo quanti soldi hai".

Come pensi di abbattere un po' di quell'intorpidimento o di quel compiacimento da parte del pubblico in generale?

Penso che sia educazione. Sta convincendo il consumatore a porre domande. Quindi, se stai andando in una banca, ad esempio, la banca utilizza l'autenticazione a più fattori? Vuoi cercare quel tipo di capacità, così come ciò che quell'istituto fa alle tue informazioni personali e alle tue risorse, e qual è il valore in esse.

Penso che far capire alle persone anche cose come il Internet delle cose, e che stiamo introducendo molte più vulnerabilità nel mondo, è importante. Voglio dire, abbiamo frigoriferi collegati a Internet. Non sono contrario. Non so cosa faccia di diverso dal mio frigorifero. Ma tutte queste cose stanno introducendo nuove vulnerabilità. 

L'altro giorno ho detto scherzosamente a qualcuno che mi sarebbe piaciuto tornare al mio vecchio Motorola StarTAC giorni. Abbiamo portato molte capacità e tecnologia nei nostri dispositivi mobili. Ma con questo, abbiamo portato il rischio. E non credo che abbiamo dedicato abbastanza tempo a parlare del rischio, perché stiamo parlando della dimensione dei pixel e della capacità di giocare.

Penso che dobbiamo anche educare la prossima generazione. Probabilmente, mi sono perso. Credo in quello in cui credo, sai, e come fai a farmi cambiare idea? Ma guardo i miei figli che stanno uscendo dal liceo e la gente dice: "Oh, è così esperto di cyber.” E direi che non lo sono - offrirei che lo sono esperto di tecnologia. Usano gli iPad da quando avevano due mesi, ma continuano a registrare la password sul retro dell'iPad o sul retro della tastiera.

Quindi, penso che ci siamo equiparati perizia tecnologica con saggezza informatica. Dobbiamo renderli esperti di cyber. Abbiamo bisogno di integrarlo nella prossima generazione affinché possano davvero integrarlo nella loro vita quotidiana, sia personalmente che professionalmente.

Ci sono minacce di cui siamo troppo ossessionati e che probabilmente ci distraggono dal rischio reale?

Dedichiamo molto tempo al breve termine. È la natura, è di default. Ci stiamo concentrando su cosa c'è qui e ora, cosa c'è di fronte a noi. Ma non so se stiamo spendendo abbastanza tempo guardando a lungo termine, se stiamo davvero, veramente guardando come appare la resilienza tra 5 anni, 10 anni, 15 anni. E penso che sia perché è difficile. Non sappiamo dove sarà la tecnologia tra 5 o 10 anni, quindi è difficile valutare dove concentrarsi. Quindi ci concentriamo su ciò che è immediatamente di fronte a noi.

Penso che dobbiamo dedicare più tempo a quella resilienza a lungo termine perché ci vorrà del tempo per costruirla. Quando guardo alle soluzioni aziendali o al governo, molti di questi tipi di cose sono sforzi pluriennali. E spesso, almeno nel processo di acquisizione del governo, quando abbiamo impostato il nostro ambito e abbiamo eseguito l'acquisizione, è già obsoleto. E ricominciamo il ciclo.

La cosa più importante è interagire con noi. Abbiamo ottimi rapporti con i partner che sappiamo. La mia più grande preoccupazione è che abbiamo molti partner non lo so.

Parliamo della situazione con Russia e Ucraina. Una delle cose che è stata molto interessante come osservatore passivo è che non abbiamo avuto lo stesso caos che abbiamo avuto in passato — NotPetya e queste cose che sono state progettate e sviluppate per sconvolgere l'Ucraina ma sono uscite e hanno interrotto il commercio globale. Sembra che, in questa iterazione, ci siano stati molti meno danni collaterali. 

È perché siamo appena saliti di livello e stiamo facendo molto? È il lavoro del governo che guida gli standard e fa sapere alle persone? Perché abbiamo il Alza gli scudi annuncio che molti dei consigli di amministrazione in cui faccio parte e le persone con cui lavoro hanno preso molto sul serio. 

Penso che questo sia cambiato su più lati. Ci sono stati sicuramente dei cambiamenti con l'avversario e alcuni degli approcci lì. Penso che ci siano sicuramente dei cambiamenti dal lato del governo e dal lavoro che abbiamo fatto negli anni per alzare davvero il livello. Molto è dovuto alla collaborazione con l'industria e molti di quei tipi di cose che hanno aiutato l'industria a diventare più resiliente. Penso che le persone credano nella sicurezza informatica più di quanto credessero anni fa. E, quindi, tutte queste cose insieme ci hanno portato a un buon posto.

Sono stato nello spazio della sanità pubblica per un po' e da molto tempo combattiamo le pandemie. Questo non è nuovo per noi. E stavamo combattendo le pandemie, ricordo quando H1N1, quella che pensavamo fosse una pandemia, colpì. Poco sapevamo. E, sai, quello che in realtà abbiamo detto allora era che non potevamo passare a una posizione di lavoro a distanza o telelavoro completa perché i sistemi IT non potevano gestirlo. Bene, avanti veloce di 12 anni e ce l'abbiamo fatta. Ci siamo riusciti non solo grazie al passaggio al cloud, ma molte cose ci hanno portato dove siamo oggi.

Quindi penso che mentre osserviamo NotPetya rispetto a ora, parte di esso sia in realtà sia cambiamenti dalla parte dell'avversario, cambiamenti dalla nostra parte e cambiamenti nella partnership e nella relazione. Shields Up è un ottimo esempio in cui siamo in grado di sporgerci in avanti e condividere molte più informazioni con i partner del settore, sia a livello classificato che non classificato. Come otteniamo informazioni là fuori? Come possiamo convincere le persone a fidarsi delle informazioni che pubblichiamo?

Il nostro obiettivo alla fine della giornata non è quello di portare a tutti tutti i documenti classificati o di far sdoganare tutti con un nulla osta di sicurezza. Non avremo mai queste informazioni là fuori in modo tempestivo. Sta portando le informazioni là fuori in un modo che le persone possano effettivamente utilizzarle. Nel corso degli anni, ho sviluppato una specie di mantra sulla condivisione delle informazioni. Per me è: Come possiamo fornire le informazioni giuste alle persone giuste in modo tempestivo che si traduce in più informato il processo decisionale. Quindi, anche se la decisione è la stessa, almeno è meglio informato.

E così, mentre guardavamo questo evento e ciò che vedevamo, avevamo i meccanismi per ottenere informazioni là fuori. C'erano persone che credevano alla qualità delle informazioni che stavano venendo fuori. Penso anche che sia utile sporgersi in avanti e dire che non abbiamo molte informazioni. E abbiamo visto alcune cose davvero uniche. Avevamo molte informazioni che siamo stati in grado di ottenere dallo spazio riservato al podio abbastanza rapidamente - a tempo di record, in alcuni casi - e siamo stati davvero in grado di usarle per guidare il processo decisionale delle persone su quali azioni dovrebbero intraprendere. Quindi penso che sia stata una risposta forte ed efficace.

Ma è tutta una questione di collaborazione e partnership, perché non siamo solo noi a mettere le informazioni là fuori se non possono essere utilizzate. E finché non saremo in grado di ottenere il feedback e costruire davvero quei sistemi in un modo che ci permetta di lavorare insieme, non lo cambieremo nazionale panorama mentre osserviamo le infrastrutture critiche.

Guardo i miei figli che stanno uscendo dal liceo e la gente dice: "Oh, è proprio così esperto di cyber.” E direi che non lo sono - offrirei che lo sono esperto di tecnologia. Usano gli iPad da quando avevano due mesi, ma continuano a registrare la password sul retro dell'iPad o sul retro della tastiera.

Mi piacerebbe avere la tua opinione sul ransomware. L'amministrazione è diventata molto seria. E succede che è per lo più centrato nelle aree che ora stanno combattendo tra loro. Sono curioso del tuo approccio alla gestione del ransomware e di come forse stai defangando parte di questo. Perché sembra che forse sia migliorato...

Farò la mia spina per il nostro sito ransomware, dove abbiamo cercato di mettere tutto insieme in un sito Web centrale per ottenere le informazioni disponibili. Ma penso che molto dipenda dall'istruzione. Significa educare le persone che non riceverai un milione di dollari via e-mail: riceverai un grosso assegno cartaceo, qualcuno verrà alla tua porta e suonerà il campanello. Penso che si tratti di far capire alle persone chi sono le potenziali vittime.

Abbiamo avuto un incidente con un piccolo distretto scolastico vittima di un ransomware. Hanno chiamato il numero e hanno detto: “Non abbiamo soldi. Siamo solo questo piccolo distretto scolastico. Non capisci.”

E gli aggressori hanno detto: "No, sappiamo quanti soldi hai. Abbiamo i tuoi estratti conto bancari. Sappiamo quanto hai. E sappiamo quanto puoi pagare e quello che ti stiamo chiedendo è abbastanza commisurato a quanto hai in banca. Quindi non prendiamo tutto, stiamo lasciando un po' di qualcosa. Ma, in realtà, questo è ciò che vogliamo".

E il distretto scolastico ha detto: "Beh, vuoi Bitcoin. Non so come farlo”. 

“Abbiamo un help desk. Abbiamo help desk in 14 lingue diverse che possono aiutarti a ottenere bitcoin. Allora come possiamo aiutarti?”

Quindi penso che con il ransomware dobbiamo far capire alle persone le vulnerabilità, i rischi, chi potrebbero essere gli obiettivi e le azioni da intraprendere [vedi CISA Joint Advisory 2021 Ransomware Trends]. E l'impatto monetario. Con gli attacchi ransomware e con altri tipi di cose che stiamo vedendo, le persone lo sono individuale utenti. Ma penso anche che le persone stiano iniziando a prestare attenzione. Penso che le persone stiano iniziando a non fare clic su tutto.

I do preoccuparci di cose come le pandemie e quei tipi di cose in cui abbiamo un maggiore potenziale di opportunità. O qualcuno con 300 e-mail nella posta in arrivo e ha solo bisogno di passarci attraverso, che cade vittima di questo tipo di cose. E quindi dobbiamo mantenere la pressione. Dobbiamo mantenere viva la messaggistica. 

E dobbiamo convincere anche le nuove generazioni a rendersene conto. Perché ho fatto l'errore di guardare nella casella di posta del mio liceale. E non so se leggono le loro email, o cosa. Non so cosa abbiano... ci sono centinaia - centinaia - di email. Non so nemmeno da dove vengano o come li abbiano presi. Come educhiamo la prossima generazione ad essere in un posto migliore?

Il nostro obiettivo alla fine della giornata non è quello di portare a tutti tutti i documenti classificati o di far sdoganare tutti con un nulla osta di sicurezza. . . . Per me, è: come possiamo ottenere le informazioni giuste alle persone giuste in modo tempestivo che si traduce in più informato il processo decisionale.

Sarebbe bello capire come possiamo, nel settore privato, impegnarci meglio con il governo e contribuire a migliorare le cose. Perché è una di queste cose da sport di squadra, dove perdiamo tutti insieme se non vinciamo.

Penso che la cosa più importante sia interagire con noi. Abbiamo ottimi rapporti con i partner che sappiamo. La mia più grande preoccupazione è che abbiamo molti partner non lo so. Non sappiamo dove siano, né come arrivarci. CISA è un'organizzazione in crescita: abbiamo una forza sul campo in tutta la nazione di circa 500 persone e dobbiamo continuare a farla crescere, ma anche 500 persone sono una goccia nel mare. Quindi, dobbiamo sapere come impegnarci e con chi interagire. Ed è qui che penso che l'industria possa aiutare, perché ci sono molte più opportunità per l'impegno del settore per metterci in contatto con quei partner giusti che possono aiutarci ad alzare il livello di resilienza.

E poi mantienici onesti. Mantienici onesti ed educaci. Sai, stiamo davvero cercando di sporgerci in avanti in molti dei nostri impegni perché penso che, in passato, ci sia stata molta paura su come ci impegniamo con l'industria: "Cosa possiamo fare?" "Cosa possiamo dire?" "Cosa non possiamo dire?" 

Abbiamo costruito una squadra in CISA ora che è davvero proiettata in avanti e non abbiamo paura di quell'impegno. Sì, ci sono linee, ma abbiamo molta latitudine all'interno di quelle linee. Stiamo davvero cercando di rimanere all'interno di quei guardrail - non vogliamo schiantarci e cadere dalla scogliera - ma finché rimaniamo all'interno di quei guardrail, stiamo bene.

Quindi penso che la cosa più importante sia dirci ciò che non sappiamo. E so che ci sono molte cose che non sappiamo. Ma aiutarci a educarci su ciò che sono, aiutandoci a essere responsabili di ciò che stiamo facendo o non facendo, penso davvero che ci aiuterà ad andare avanti e fare quei salti significativi che dobbiamo fare.

Pubblicato il 4 luglio 2022