Ransomware, Cyber-Savviness og offentlig-privat sikkerhetsforbindelse

Nitin Natarajan er nestleder i CISA (Cybersecurity and Infrastructure Security Agency), og har lang erfaring innen cybersikkerhetsområdet, inkludert å føre tilsyn med kritisk infrastruktur for det amerikanske nasjonale sikkerhetsrådet og det amerikanske departementet for helse og menneskelige tjenester. 

I denne diskusjonen med a16z generalpartner Joel de la Garza (som tidligere var sikkerhetssjef i Box, og har ledet sikkerhetsteam ved en rekke finansinstitusjoner), forklarer Natarajan hvorfor det utviklende landskapet for nettsikkerhetstrusler tvinger organisasjoner i alle størrelser – så vel som enkeltpersoner - for å bli mer cyber-kyndige. Han dekker også en rekke andre emner, inkludert hvordan industrien og myndighetene best kan samarbeide for å dele informasjon og holde alle beskyttet.

Dette er en redigert versjon av en direktediskusjon som fant sted i mai. Du kan hør hele diskusjonen i podcastform her.

---

JOEL DE LA GARZA: Hvordan tenker du, og hvordan tenker CISA om å prioritere trusler? Det virker som en nøkkel til alt du prøver å gjøre.

NITIN NATARAJAN: Når vi ser på prioritering, kommer det ned til å virkelig forstå hva disse systemiske risikoene er. Hvordan kan vi bidra til å fortelle historien om gjennomgripende konsekvensanalyser, slik at folk kan ta beslutninger om hvor de skal investere og hvilke risikoer de skal investere i å beskytte seg mot? 

Eller, hvordan ser vi på risiko som en trebent avføring? Jeg tror vi bruker mye tid på å snakke om risikoidentifikasjon. Vi bruker mye tid på å snakke om risikoreduksjon. Vi glemmer den tredje etappen, som for meg er det hver risiko vi identifiserer og vi ikke reduserer, aksepterer vi. Og vi aksepterer alltid en viss risiko. Jeg mener, jeg kjørte opp hit. Jeg gikk opp på scenen. Jeg tok en risiko ved å komme hit. Jeg tar en risiko ved å forlate og muligens falle.

Men hvordan sørger vi for at øynene våre er vidåpne for det vi godtar? Og hvordan forstår vi det risikobildet og bruker det til å drive prioriteringen vår? Og hvordan ser vi så på dette på tvers av 16 kritiske sektorer som er i ulike modenhetsnivåer?

Bransjer som finanssektoren har hatt en kvantifiserbar avkastning på investeringen fra å investere i cybersikkerhet, men vi har andre sektorer som ikke har investert så lenge eller så mye på det området. Vi ønsker å kunne håndtere risiko på en måte som anerkjenner at folk er på forskjellige steder, og som snakker til store multinasjonale selskaper så vel som små bedrifter. Når vi ser på risikoen i forsyningskjeden, ligger mye av denne risikoen ikke i store multinasjonale selskaper, men i den lille bedriften som lager den ene lille brikken, den ene widgeten som er kritisk.

Så prioritering for oss er en utfordring fordi vi ser på tvers av hele bransjer – vertikalt og horisontalt. Men det vi ønsker å prøve og gjøre er å virkelig forstå hva den systemiske risikoen er.

Media og sikkerhetsbransjen har en tendens til å alltid snakke om de samme truslene. Hva er noen ting som er viktigst for deg som vi ikke hører om hver dag?

Jeg tror den største trusselen er selvtilfredshet. Det har vært mye snakk der ute om hvem motstanderen er og hvordan motstanderen ser ut. Og hvordan engasjerer vi oss? Men det jeg virkelig bekymrer meg for er å få folk til å virkelig forstå potensialet for dem til å bli et offer, og hvordan de oppfatter trusselen som deres.

Ting som Colonial Pipeline Hack og andre hendelser har hjulpet med det, der folk tidligere har tenkt: «Jeg kan ikke være et offer. Ingen kommer til å komme etter meg: Jeg er en liten bedrift, eller jeg er en liten landlig jurisdiksjon, eller jeg er en skole, og hva har du. De er ikke bekymret for meg. De er bekymret for New York-byene i verden, de er bekymret for store multinasjonale selskaper.» Jeg tror det vi ser er at folk er i stand til å se at trusselen er reell for dem. 

Vi hadde en hendelse med et lite skoledistrikt som ble offer for løsepengeprogramvare. De ringte nummeret og sa: «Vi har ingen penger. Vi er bare dette lille skoledistriktet. Du forstår ikke." Og angriperne sa: "Nei, vi vet hvor mye penger du har."

Hvordan tenker du om å bryte ned noe av enten nummenhet eller selvtilfredshet på siden av allmennheten?

Jeg tror det er utdanning. Det får forbrukeren til å stille spørsmål. Så hvis du for eksempel skal til en bank, bruker banken multifaktorautentisering? Du ønsker å lete etter disse typene evner, så vel som hva institusjonen gjør med din personlige informasjon og ressursene dine, og hva som er verdien der.

Jeg tror å få folk til å forstå selv ting som Tingenes Internett, og at vi introduserer mange flere sårbarheter i verden, er viktig. Jeg mener, vi har kjøleskap koblet til internett. Jeg er ikke imot det. Jeg vet ikke hva den gjør annerledes enn kjøleskapet mitt. Men alle disse tingene bringer inn nye sårbarheter. 

Jeg fortalte spøkefullt til noen her om dagen at jeg ville elske å gå tilbake til det gamle Motorola StarTAC dager. Vi har brakt mye kapasitet og teknologi inn i våre mobile enheter. Men med det tok vi risiko. Og jeg tror ikke vi har brukt nok tid på å snakke om risikoen, for vi snakker om pikselstørrelsen og muligheten til å spille spill.

Jeg tror vi også må utdanne neste generasjon. Uten tvil er jeg fortapt. Jeg tror det jeg tror, ​​vet du, og hvordan endrer du mening? Men jeg ser på barna mine som kommer ut av videregående, og folk sier: «Å, de er så cyber-kyndige." Og jeg vil si at de ikke er det - jeg vil tilby at de er det teknisk kunnskapsrike. De har brukt iPads fra de var to måneder gamle, men de teiper fortsatt passordet på baksiden av iPaden eller på baksiden av tastaturet.

Så jeg tror vi har likestilt teknisk kunnskap med cyberkunnskap. Vi må gjøre dem cyberkyndige. Vi må bygge det inn i den neste generasjonen for at de virkelig skal bygge det inn i hverdagen deres, både personlig og profesjonelt.

Er det trusler som vi bare er altfor besatt av og sannsynligvis distraherer oss fra den reelle risikoen?

Vi bruker mye tid på å se på kort sikt. Det er naturen, det er som standard. Vi fokuserer på det som er her og nå, det som er foran oss. Men jeg vet ikke om vi bruker nok tid på å se på lengre sikt - hvis vi virkelig ser på hvordan motstandskraft ser ut om 5 år, 10 år, 15 år. Og jeg tror det er fordi det er vanskelig. Vi vet ikke hvor teknologien kommer til å være om 5 eller 10 år, så det er vanskelig å måle hvor vi skal fokusere. Så vi fokuserer på det som umiddelbart møter oss.

Jeg tror vi må bruke mer tid på den langsiktige motstandskraften fordi det kommer til å ta tid å bygge den. Når jeg ser på bedriftsløsninger, eller i myndighetene, er mange av den typen ting flerårig innsats. Og ofte, i det minste i regjeringsoppkjøpsprosessen, er det allerede utdatert når vi har satt vårt omfang og vi har gjort oppkjøpet. Og vi starter bare syklusen igjen.

Det største er å engasjere oss. Vi har gode relasjoner til partnerne som vi vet. Min største bekymring er at det er mange partnere vi vet ikke.

La oss snakke om situasjonen med Russland og Ukraina. Noe av det som har vært veldig interessant som passiv observatør, er at vi ikke har hatt det samme kaoset som vi hadde tidligere — IkkePetya og disse tingene som ble designet og utviklet for å forstyrre Ukraina, men som kom ut og forstyrret global handel. Det ser ut til at det i denne iterasjonen har vært mye mindre sideskade. 

Er det fordi vi nettopp har kommet oss opp og vi gjør mye? Er det myndighetenes arbeid som kjører standarder og gir folk beskjed? Fordi vi fikk Beskytter seg kunngjøring om at mange av styrene jeg sitter i, og menneskene jeg jobber med, tok veldig alvorlig. 

Jeg tror dette endret seg på flere sider. Det var definitivt endringer med motstanderen og noen av tilnærmingene der. Jeg tror det definitivt er endringer fra regjeringens side og arbeidet vi har gjort i løpet av flere år for å virkelig heve listen. Mye av det skyldes samarbeid med industrien, og mye av den typen ting som har hjulpet industrien til å bli mer robust. Jeg tror folk tror på cybersikkerhet mer enn de gjorde for flere år siden. Og så, alle disse tingene sammen har fått oss til et bra sted.

Jeg var i helsevesenet en stund, og vi har kjempet mot pandemier i lang tid. Dette er ikke nytt for oss. Og vi kjempet mot pandemier, jeg husker da H1N1 – det vi trodde var en pandemi – rammet. Lite visste vi. Og du vet, det vi faktisk sa den gang var at vi ikke kunne gå til en fullstendig fjernarbeid eller fjernarbeid fordi IT-systemene ikke kunne håndtere det. Vel, spol frem 12 år, og vi klarte det. Vi klarte det ikke bare på grunn av overgangen til skyen – mange ting førte oss dit vi er i dag.

Så jeg tror at når vi ser på NotPetya versus nå, er en del av det egentlig både endringer på motstanderens side, endringer på vår side og endringer på partnerskapet og forholdet. Shields Up er et godt eksempel der vi kan lene oss fremover og dele mye mer informasjon med industripartnere, både på klassifisert nivå og uklassifisert nivå. Hvordan får vi informasjon der ute? Hvordan får vi folk til å stole på informasjonen vi legger ut der?

Målet vårt til syvende og sist er ikke å få alle graderte dokumenter ut til alle eller få alle klarert med en sikkerhetsklarering. Vi vil aldri få den informasjonen der ute i tide. Det er å få informasjonen der ute på en måte som folk faktisk kan bruke den. Gjennom årene har jeg utviklet et slags mantra om informasjonsdeling. For meg er det: Hvordan får vi den riktige informasjonen til de rette personene på en rettidig måte som resulterer i mer informert beslutningstaking. Så selv om avgjørelsen er den samme, er den i det minste bedre informert.

Og så da vi så på denne hendelsen, og det vi så, hadde vi mekanismene for å få informasjon der ute. Vi hadde folk som trodde på kvaliteten på informasjonen som kom ut. Jeg tror også det er verdi i å lene seg fremover og si at vi ikke har mye informasjon. Og vi så noen virkelig unike ting. Vi hadde mye informasjon som vi var i stand til å få fra den klassifiserte plassen til podiet ganske raskt - på rekordtid, i noen tilfeller - og var virkelig i stand til å bruke den til å drive folks beslutningstaking om hvilke handlinger de skulle ta. Så jeg synes det har vært en sterk og effektiv respons.

Men alt handler om samarbeidet og partnerskapet, for det er ikke bare vi som legger ut informasjon hvis den ikke kan utnyttes. Og før vi kan få tilbakemeldinger og virkelig bygge disse systemene på en måte som lar oss jobbe sammen, endrer vi ikke det nasjonal landskap mens vi ser på kritisk infrastruktur.

Jeg ser på barna mine som kommer ut av videregående, og folk sier: «Å, de er så cyber-kyndige." Og jeg vil si at de ikke er det - jeg vil tilby at de er det teknisk kunnskapsrike. De har brukt iPads fra de var to måneder gamle, men de teiper fortsatt passordet på baksiden av iPaden eller på baksiden av tastaturet.

Jeg vil gjerne ha ditt syn på løsepengevare. Administrasjonen har tatt det veldig alvorlig. Og det tilfeldigvis er mest sentrert i områdene som nå kjemper med hverandre. Jeg er nysgjerrig på din tilnærming til å håndtere løsepengevare og hvordan du kanskje defanger noe av det. For det virker som om det kanskje har blitt bedre...

Jeg skal lage min plugg for vår løsepengevareside, hvor vi prøvde å sette alt sammen i en sentral nettside for å få informasjonen ut der. Men jeg tror mye handler om utdanning. Det er å lære folk at du ikke kommer til å få en million dollar på e-post - du kommer til å få en stor papirsjekk, noen kommer til å komme på døren din og ringe på. Jeg tror det handler om å la folk forstå hvem de potensielle ofrene er.

Vi hadde en hendelse med et lite skoledistrikt som ble utsatt for løsepengeprogramvare. De ringte nummeret og sa: «Vi har ingen penger. Vi er bare dette lille skoledistriktet. Du forstår ikke."

Og angriperne sa: «Nei, vi vet hvor mye penger du har. Vi har kontoutskriftene dine. Vi vet hvor mye du har. Og vi vet hvor mye du kan betale og hva vi ber deg om er ganske i forhold til hvor mye du har i banken. Så vi tar ikke alt, vi legger igjen litt av noe. Men egentlig er det dette vi ønsker.»

Og skoledistriktet sa: "Vel, du vil ha Bitcoin. Jeg vet ikke hvordan jeg skal gjøre det.» 

«Vi har en helpdesk. Vi har helpdesk på 14 forskjellige språk som kan hjelpe deg med å få bitcoin. Så hvordan kan vi hjelpe deg?"

Så jeg tror at med løsepengevare må vi la folk forstå sårbarhetene, risikoene, hvem målene kan være, og handlingene som skal gjøres [se CISA joint advisory 2021 Ransomware Trends]. Og den økonomiske effekten. Med løsepenge-angrep og med andre typer ting vi ser, er folk det individuelt brukere. Men jeg tror også folk begynner å ta hensyn. Jeg tror folk begynner å ikke klikke på alt.

I do bekymre deg for ting som pandemier og den typen ting der vi har et økt mulighetspotensial. Eller noen med 300 e-poster i innboksen og bare trenger å komme seg gjennom dem, som blir offer for den typen ting. Og derfor må vi holde trykket på. Vi må holde meldingene i gang. 

Og vi må få den yngre generasjonen til å innse dette også. Fordi jeg gjorde den feilen å se gjennom innboksen til ungdomsskolen min. Og jeg vet ikke om de leser e-postene deres, eller hva. Jeg vet ikke hva de har … det er hundrevis – hundrevis – av e-poster. Jeg vet ikke engang hvor de er fra eller hvordan de fikk dem. Hvordan utdanner vi den neste generasjonen til å være på et bedre sted?

Målet vårt til syvende og sist er ikke å få alle graderte dokumenter ut til alle eller få alle klarert med en sikkerhetsklarering. . . . For meg er det: Hvordan får vi den riktige informasjonen til de rette personene på en rettidig måte som resulterer i mer informert beslutningstaking.

Det ville være flott å forstå hvordan vi i privat sektor kan engasjere oss bedre med myndighetene og bidra til å gjøre ting bedre. Fordi det er en av disse lagsportstingene, der vi alle taper sammen hvis vi ikke vinner.

Jeg tror det største er å engasjere seg med oss. Vi har gode relasjoner til partnerne som vi vet. Min største bekymring er at det er mange partnere vi vet ikke. Vi vet ikke hvor de er, eller hvordan vi skal komme oss dit. CISA er en organisasjon i vekst – vi har en feltstyrke i hele landet på rundt 500 personer, og vi må fortsette å vokse – men til og med 500 mennesker er en dråpe i bøtta. Så vi må vite hvordan vi skal engasjere oss og hvem vi skal engasjere oss med. Og det er der jeg tror industrien kan hjelpe, fordi det er mye større mulighet for bransjeengasjement for å få oss til å koble oss med de riktige partnerne som kan hjelpe oss å heve baren for motstandskraft.

Og så hold oss ​​ærlige. Hold oss ​​ærlige og utdann oss. Du vet, vi prøver virkelig å lene oss fremover i mange av engasjementene våre fordi jeg tror at det tidligere har vært mye frykt for hvordan vi engasjerer oss i industrien: "Hva kan vi gjøre?" "Hva kan vi si?" "Hva kan vi ikke si?" 

Vi har bygget et team på CISA nå som virkelig er fremoverlent der vi ikke er redde for det engasjementet. Ja, det er linjer, men vi har mye breddegrad innenfor disse linjene. Vi prøver virkelig å holde oss innenfor disse autovernene - vi vil ikke krasje gjennom og gå utfor stupet - men så lenge vi holder oss innenfor disse autovernene, har vi det bra.

Så jeg tror det største er å fortelle oss det vi ikke vet. Og jeg vet at det er mye vi ikke vet. Men å hjelpe oss med å utdanne oss om hva de er, hjelpe oss med å holde oss ansvarlige for hva vi gjør eller ikke gjør, tror jeg virkelig kommer til å hjelpe oss å gå videre og ta de betydelige hoppene vi må gjøre.

Lagt ut 4. juli 2022