Ransomware, Cyber-Savviness en de verbinding tussen openbare en particuliere beveiliging

Nitin Natarajan is de adjunct-directeur van CISA (Cybersecurity and Infrastructure Security Agency), en heeft uitgebreide ervaring op het gebied van cyberbeveiliging, waaronder het toezicht houden op kritieke infrastructuur voor de Amerikaanse National Security Council en het Amerikaanse ministerie van Volksgezondheid en Human Services. 

In deze discussie met Joel de la Garza, algemeen partner van a16z (voorheen Chief Security Officer bij Box en leiding gegeven aan beveiligingsteams bij tal van financiële instellingen), legt Natarajan uit waarom het veranderende landschap van cyberbeveiligingsbedreigingen organisaties van elke omvang dwingt - evenals individuen — om meer cyber-savvy te worden. Hij behandelt ook een aantal andere onderwerpen, waaronder hoe de industrie en de overheid het beste kunnen samenwerken om informatie te delen en iedereen te beschermen.

Dit is een bewerkte versie van een live discussie die in mei plaatsvond. Jij kan luister hier naar de hele discussie in podcastvorm.

---

JOËL DE LA GARZA: Hoe denkt u en hoe denkt CISA over het prioriteren van bedreigingen? Dat lijkt een sleutel tot alles wat je probeert te doen.

NITIN NATARAJAN: Als we kijken naar prioritering, komt het erop neer dat we echt begrijpen wat die systeemrisico's zijn. Hoe kunnen we helpen het verhaal van trapsgewijze impactanalyse te vertellen, zodat mensen de beslissingen kunnen nemen over waar te investeren en tegen welke risico's ze moeten beschermen om ze te beschermen? 

Of, hoe kijken we naar risico als een driepotige kruk? Ik denk dat we veel tijd besteden aan het identificeren van risico's. We besteden veel tijd aan het praten over risicobeperking. We vergeten dat derde been, wat voor mij dat is elk risico dat we identificeren en dat we niet beperken, accepteren we. En we accepteren altijd enig risico. Ik bedoel, ik ben hierheen gereden. Ik liep het podium op. Ik nam een ​​risico door hierheen te komen. Ik neem een ​​risico door weg te gaan en mogelijk te vallen.

Maar hoe zorgen we ervoor dat onze ogen wijd open staan ​​voor wat we accepteren? En hoe begrijpen we dat landschap van risico's en gebruiken we dat om onze prioriteiten te stellen? En hoe kijken we hier dan naar in 16 kritieke sectoren die zich in verschillende volwassenheidsniveaus bevinden?

Industrieën zoals de financiële sector hebben een meetbaar rendement op investeringen behaald door te investeren in cyberbeveiliging, maar we hebben andere sectoren die niet zo lang of zo veel in dat gebied hebben geïnvesteerd. We willen risico's kunnen aanpakken op een manier die erkent dat mensen zich op verschillende plaatsen bevinden, en die zowel grote multinationals als kleine bedrijven aanspreekt. Als we kijken naar de risico's van de toeleveringsketen, zit een groot deel van dat risico niet in grote multinationale ondernemingen, maar in het kleine bedrijf dat dat ene stukje, die ene widget maakt die van cruciaal belang is.

Prioriteiten stellen is voor ons dus een uitdaging, omdat we over hele sectoren heen kijken — verticaal en horizontaal. Maar wat we willen proberen en doen, is echt begrijpen wat dat systeemrisico is.

De media en de beveiligingsindustrie hebben de neiging om altijd over dezelfde bedreigingen te praten. Wat zijn enkele dingen die voor u van belang zijn waar we niet elke dag over horen?

Ik denk dat zelfgenoegzaamheid de grootste bedreiging is. Er is veel gesproken over wie de tegenstander is en hoe de tegenstander eruitziet. En hoe gaan we aan de slag? Maar waar ik me echt zorgen over maak, is dat mensen echt begrijpen dat ze een slachtoffer kunnen zijn, en hoe ze de dreiging als van hen beschouwen.

Dingen zoals Koloniale pijplijn hack en andere incidenten hebben daarbij geholpen, waarbij mensen in het verleden dachten: 'Ik kan geen slachtoffer zijn. Niemand komt achter mij aan: ik ben een klein bedrijf, of ik ben een kleine landelijke jurisdictie, of ik ben een school, en wat heb je. Ze maken zich geen zorgen om mij. Ze maken zich zorgen over de New York Cities van de wereld, ze maken zich zorgen over grote multinationale ondernemingen.” Ik denk dat wat we zien is dat mensen kunnen zien dat de dreiging reëel voor hen is. 

We hadden een incident met een klein schooldistrict dat slachtoffer was van ransomware. Ze belden het nummer en zeiden: 'We hebben geen geld. We zijn gewoon dit kleine schooldistrict. Je begrijpt het niet." En de aanvallers zeiden: "Nee, we weten hoeveel geld je hebt."

Hoe denk je erover om iets van die gevoelloosheid of zelfgenoegzaamheid aan de kant van het grote publiek af te breken?

Ik denk dat het onderwijs is. Het zorgt ervoor dat de consument vragen gaat stellen. Dus als u bijvoorbeeld naar een bank gaat, gebruikt de bank multi-factor authenticatie? U wilt op zoek naar dat soort capaciteiten, evenals naar wat die instelling doet met uw persoonlijke informatie en uw bronnen, en wat de waarde daar is.

Ik denk dat mensen zelfs dingen als de... internet van dingen, en dat we veel meer kwetsbaarheden in de wereld introduceren, is belangrijk. Ik bedoel, we hebben koelkasten aangesloten op het internet. Ik ben er niet tegen. Ik weet niet wat het anders doet dan mijn koelkast. Maar al deze dingen brengen nieuwe kwetsbaarheden met zich mee. 

Ik heb laatst voor de grap tegen iemand gezegd dat ik graag terug zou willen naar mijn oude Motorola StarTAC dagen. We hebben veel mogelijkheden en technologie in onze mobiele apparaten gebracht. Maar daarmee brachten we risico's met zich mee. En ik denk dat we niet genoeg tijd hebben besteed aan het praten over het risico, omdat we het hebben over de pixelgrootte en de mogelijkheid om games te spelen.

Ik denk dat we ook de volgende generatie moeten opvoeden. Ongetwijfeld ben ik verloren. Ik geloof wat ik geloof, weet je, en hoe verander je van gedachten? Maar ik kijk naar mijn kinderen die van de middelbare school komen, en mensen zeggen: "Oh, ze zijn zo..." cyber-savvy.” En ik zou zeggen dat ze dat niet zijn - ik zou aanbieden dat ze zijn technisch onderlegd. Ze gebruiken iPads vanaf het moment dat ze twee maanden oud waren, maar ze plakken het wachtwoord nog steeds op de achterkant van de iPad of op de achterkant van hun toetsenbord.

Dus ik denk dat we hebben gelijkgesteld technische kennis Met cyberkennis. We moeten ze cybersavvy maken. We moeten het in die volgende generatie inbouwen zodat ze het echt in hun dagelijks leven kunnen inbouwen, zowel persoonlijk als professioneel.

Zijn er bedreigingen waar we gewoon veel te geobsedeerd door zijn en die ons waarschijnlijk afleiden van het echte risico?

We besteden veel tijd aan het kijken naar de korte termijn. Het is de natuur, het is standaard. We richten ons op wat er in het hier en nu is, wat voor ons ligt. Maar ik weet niet of we genoeg tijd besteden aan het kijken naar de langere termijn - als we echt, echt kijken naar hoe veerkracht eruitziet over 5 jaar, 10 jaar, 15 jaar. En ik denk dat het komt omdat het moeilijk is. We weten niet waar technologie over 5 of 10 jaar zal zijn, dus het is moeilijk in te schatten waar we ons op moeten concentreren. Dus richten we ons op wat er direct voor ons ligt.

Ik denk dat we meer tijd moeten besteden aan die veerkracht op langere termijn, omdat het tijd zal kosten om die op te bouwen. Als ik kijk naar bedrijfsoplossingen, of bij de overheid, zijn veel van dat soort dingen meerjarige inspanningen. En vaak, in ieder geval in het acquisitieproces van de overheid, is het al achterhaald tegen de tijd dat we onze reikwijdte hebben bepaald en we de acquisitie hebben gedaan. En we beginnen gewoon opnieuw met de cyclus.

Het belangrijkste is om met ons in gesprek te gaan. We hebben geweldige relaties met de partners dat we weten. Mijn grootste zorg is dat er veel partners zijn die we weet het niet.

Laten we het hebben over de situatie met Rusland en Oekraïne. Een van de dingen die als passieve waarnemer erg interessant waren, is dat we niet dezelfde chaos hebben gehad als in het verleden — NotPetya en deze dingen die werden ontworpen en ontwikkeld om Oekraïne te ontwrichten, maar die naar buiten kwamen en de wereldwijde handel ontwrichtten. Het lijkt erop dat er in deze iteratie veel minder nevenschade is geweest. 

Is dat omdat we net een level omhoog zijn gegaan en we veel doen? Is het het werk van de overheid om normen te stellen en mensen hiervan op de hoogte te stellen? Omdat we de Schilden omhoog aankondiging dat veel van de besturen waar ik op zit, en de mensen met wie ik werk, heel serieus namen. 

Ik denk dat dit aan meerdere kanten is veranderd. Er waren zeker veranderingen met de tegenstander en sommige van de benaderingen daar. Ik denk dat er zeker veranderingen zijn aan de kant van de overheid en het werk dat we de afgelopen jaren hebben gedaan om de lat echt hoger te leggen. Veel daarvan is te danken aan samenwerking met de industrie, en veel van dat soort dingen die de industrie hebben geholpen veerkrachtiger te worden. Ik denk dat mensen meer in cybersecurity geloven dan enkele jaren geleden. En al die dingen samen hebben ons op een goede plek gebracht.

Ik was een tijdje in de openbare gezondheidszorg en we vechten al heel lang tegen pandemieën. Dit is niet nieuw voor ons. En we vochten tegen pandemieën, ik herinner me de tijd dat H1N1 - waarvan we dachten dat het een pandemie was - toesloeg. Weinig wisten we. En weet je, wat we toen eigenlijk zeiden, was dat we niet volledig op afstand konden werken of telewerken omdat de IT-systemen het niet aankonden. Nou, 12 jaar vooruit spoelen en we hebben het voor elkaar gekregen. We hebben dat voor elkaar gekregen, niet alleen vanwege de overgang naar de cloud - veel dingen hebben ons geleid tot waar we nu zijn.

Dus ik denk dat als we naar NotPetya versus nu kijken, een deel ervan echt zowel veranderingen aan de kant van de tegenstander is, veranderingen aan onze kant, en veranderingen in het partnerschap en de relatie. Shields Up is een geweldig voorbeeld waarbij we naar voren kunnen leunen en veel meer informatie kunnen delen met branchepartners, zowel op geclassificeerd als niet-geclassificeerd niveau. Hoe krijgen we informatie naar buiten? Hoe zorgen we ervoor dat mensen de informatie die we publiceren vertrouwen?

Ons doel is uiteindelijk niet om elk gerubriceerd document naar iedereen te sturen of iedereen te laten vrijgeven met een veiligheidsmachtiging. Die informatie krijgen we nooit op tijd. Het brengt de informatie naar buiten op een manier dat mensen het daadwerkelijk kunnen gebruiken. Door de jaren heen heb ik een soort mantra ontwikkeld over het delen van informatie. Voor mij is het: Hoe krijgen we de juiste informatie op tijd bij de juiste mensen met als resultaat: beter geïnformeerd besluitvorming. Dus ook al is de beslissing hetzelfde, het is in ieder geval beter geïnformeerd.

En terwijl we naar deze gebeurtenis keken, en wat we zagen, hadden we de mechanismen om informatie naar buiten te brengen. We hadden mensen die geloofden in de kwaliteit van de informatie die naar buiten kwam. Ik denk ook dat het waardevol is om naar voren te leunen en te zeggen dat we niet veel informatie hebben. En we zagen een aantal echt unieke dingen. We hadden veel informatie die we vrij snel van de geclassificeerde ruimte naar het podium konden krijgen - in een recordtijd, in sommige gevallen - en we konden dat echt gebruiken om de besluitvorming van mensen te stimuleren over welke acties ze moesten ondernemen. Dus ik denk dat het een sterke en effectieve reactie is geweest.

Maar het draait allemaal om de samenwerking en het partnerschap, want het is niet alleen wij die informatie naar buiten brengen als deze niet kan worden gebruikt. En totdat we de feedback kunnen krijgen en die systemen echt zo kunnen bouwen dat we kunnen samenwerken, veranderen we dat niet nationaal landschap als we kijken naar kritieke infrastructuur.

Ik kijk naar mijn kinderen die van de middelbare school komen, en mensen zeggen: "Oh, ze zijn zo..." cyber-savvy.” En ik zou zeggen dat ze dat niet zijn - ik zou aanbieden dat ze zijn technisch onderlegd. Ze gebruiken iPads vanaf het moment dat ze twee maanden oud waren, maar ze plakken het wachtwoord nog steeds op de achterkant van de iPad of op de achterkant van hun toetsenbord.

Ik zou graag uw mening over ransomware willen horen. De administratie is er heel serieus over geworden. En het is gewoon zo dat het vooral gecentreerd is in de gebieden die nu met elkaar vechten. Ik ben benieuwd naar je benadering van ransomware en hoe je daar misschien iets van afdoet. Omdat het lijkt alsof het misschien beter is geworden...

Ik zal mijn plug maken voor onze ransomware-site, waar we probeerden alles samen te brengen in een centrale website om de informatie daar te krijgen. Maar ik denk dat veel te maken heeft met opvoeding. Het leert mensen dat je geen miljoen dollar per e-mail zult krijgen - je krijgt een grote papieren cheque, iemand zal naar je deur komen en aanbellen. Ik denk dat het erop neerkomt dat mensen begrijpen wie de potentiële slachtoffers zijn.

Wij hadden een incident met een klein schooldistrict dat slachtoffer was van ransomware. Ze belden het nummer en zeiden: 'We hebben geen geld. We zijn gewoon dit kleine schooldistrict. Je begrijpt het niet."

En de aanvallers zeiden: "Nee, we weten hoeveel geld je hebt. We hebben uw bankafschriften. We weten hoeveel je hebt. En we weten hoeveel u kunt betalen en wat we van u vragen, komt redelijk overeen met hoeveel u op de bank heeft staan. Dus we nemen niet alles mee, we laten een klein beetje van iets achter. Maar echt, dit is wat we willen.”

En het schooldistrict zei: "Nou, je wilt Bitcoin. Ik weet niet hoe ik dat moet doen." 

“We hebben een helpdesk. We hebben helpdesks in 14 verschillende talen die u kunnen helpen bitcoin te krijgen. Dus hoe kunnen we je helpen?”

Dus ik denk dat we met ransomware mensen inzicht moeten geven in de kwetsbaarheden, de risico's, wie de doelen zouden kunnen zijn en de te nemen acties [zie gezamenlijk advies van CISA 2021 Ransomware-trends]. En de financiële impact. Met ransomware-aanvallen en met andere soorten dingen die we zien, zijn mensen individueel gebruikers. Maar ik denk ook dat mensen beginnen op te letten. Ik denk dat mensen niet overal op beginnen te klikken.

I do ons zorgen te maken over zaken als pandemieën en dat soort dingen waar we een groter kanspotentieel hebben. Of iemand die 300 e-mails in zijn inbox heeft en er gewoon doorheen moet, die het slachtoffer wordt van dat soort dingen. En dus moeten we de druk erop houden. We moeten de berichtgeving in stand houden. 

En we moeten de jongere generatie zover krijgen om dit ook te beseffen. Omdat ik de fout heb gemaakt door de inbox van mijn middelbare scholier te kijken. En ik weet niet of ze hun e-mails lezen, of wat dan ook. Ik weet niet wat ze hebben... er zijn honderden - honderden - e-mails. Ik weet niet eens waar ze vandaan komen of hoe ze ze hebben gekregen. Hoe leiden we die volgende generatie op om op een betere plek te zijn?

Ons doel is uiteindelijk niet om elk gerubriceerd document naar iedereen te sturen of iedereen te laten vrijgeven met een veiligheidsmachtiging. . . . Voor mij is dat: Hoe krijgen we de juiste informatie op tijd bij de juiste mensen, wat resulteert in: beter geïnformeerd besluitvorming.

Het zou geweldig zijn om te begrijpen hoe we in de particuliere sector beter kunnen communiceren met de overheid en kunnen helpen om dingen beter te maken. Omdat het een van die teamsporten is, waarbij we allemaal samen verliezen als we niet winnen.

Ik denk dat het belangrijkste is om met ons in contact te komen. We hebben geweldige relaties met de partners dat we weten. Mijn grootste zorg is dat er veel partners zijn die we weet het niet. We weten niet waar ze zijn, of hoe we er moeten komen. CISA is een groeiende organisatie - we hebben een veldmacht in het hele land van ongeveer 500 mensen, en dat moeten we blijven groeien - maar zelfs 500 mensen is een druppel op een gloeiende plaat. We moeten dus weten hoe we ons moeten engageren en met wie we contact moeten opnemen. En dat is waar ik denk dat de industrie kan helpen, omdat er veel meer mogelijkheden zijn voor betrokkenheid van de industrie om ons in contact te brengen met de juiste partners die ons kunnen helpen de lat van veerkracht hoger te leggen.

En houd ons dan eerlijk. Houd ons eerlijk en onderwijs ons. Weet je, we proberen echt naar voren te leunen in veel van onze opdrachten, omdat ik denk dat er in het verleden veel angst was over hoe we met de industrie omgaan: "Wat kunnen we doen?" "Wat kunnen we zeggen?" "Wat kunnen we niet zeggen?" 

We hebben nu een team opgebouwd bij CISA dat echt vooruitstrevend is, waarbij we niet bang zijn voor die betrokkenheid. Ja, er zijn lijnen, maar we hebben veel speelruimte binnen die lijnen. We proberen echt binnen die vangrails te blijven - we willen er niet doorheen botsen en van de klif gaan - maar zolang we binnen die vangrails blijven, gaat het goed.

Dus ik denk dat het belangrijkste is om ons te vertellen wat we niet weten. En ik weet dat er veel is dat we niet weten. Maar door ons te leren wat dat zijn, ons te helpen verantwoordelijk te blijven voor wat we wel of niet doen, denk ik echt dat het ons vooruit zal helpen en die belangrijke sprongen zal maken die we moeten maken.

Geplaatst op 4 juli 2022