Ransomware, Cyber-Savviness e a conexão de segurança público-privada

Nitin Natarajan é o vice-diretor da CISA (Agência de Segurança Cibernética e Infraestrutura) e tem ampla experiência no espaço de segurança cibernética, incluindo a supervisão de infraestrutura crítica para o Conselho de Segurança Nacional dos EUA e o Departamento de Saúde e Serviços Humanos dos EUA. 

Nesta discussão com o sócio geral da a16z Joel de la Garza (que anteriormente foi diretor de segurança da Box e liderou equipes de segurança em várias instituições financeiras), Natarajan explica por que o cenário de ameaças à segurança cibernética em evolução está forçando organizações de todos os tamanhos - bem como indivíduos — para se tornarem mais cibernéticos. Ele também aborda vários outros tópicos, incluindo como a indústria e o governo podem trabalhar melhor juntos para compartilhar informações e manter todos protegidos.

Esta é uma versão editada de uma discussão ao vivo que ocorreu em maio. Você pode ouça toda a discussão em forma de podcast aqui.

---

JOEL DE LA GARZA: Como você, e como o CISA pensa em priorizar ameaças? Isso parece ser a chave para tudo o que você está tentando fazer.

NITIN NATARAJAN: Ao analisarmos a priorização, tudo se resume a realmente entender quais são esses riscos sistêmicos. Como podemos ajudar a contar a história da análise de impacto em cascata para que as pessoas possam tomar decisões sobre onde investir e contra quais riscos investir na proteção? 

Ou, como encaramos o risco como um banquinho de três pernas? Acho que passamos muito tempo falando sobre identificação de riscos. Passamos muito tempo falando sobre mitigação de riscos. Esquecemos aquela terceira perna, que para mim é aquela cada risco que identificamos e não mitigamos, estamos aceitando. E sempre aceitamos algum risco. Quer dizer, eu dirigi até aqui. Subi no palco. Eu me arrisquei vindo até aqui. Vou me arriscar saindo e possivelmente caindo.

Mas como podemos ter certeza de que nossos olhos estão bem abertos para o que estamos aceitando? E como entendemos esse cenário de risco e o usamos para direcionar nossa priorização? E então, como analisamos isso em 16 setores críticos que estão em vários níveis de maturidade?

Indústrias como o setor financeiro tiveram um retorno quantificável do investimento em segurança cibernética, mas temos outros setores que não investiram tanto ou tanto nessa área. Queremos ser capazes de lidar com o risco de uma forma que reconheça que as pessoas estão em lugares diferentes e que fale com grandes corporações multinacionais, bem como pequenas empresas. Ao olharmos para os riscos da cadeia de suprimentos, muito desse risco não reside nas grandes corporações multinacionais, mas nas pequenas empresas que estão criando aquele pequeno pedaço, aquele widget que é crítico.

Portanto, a priorização para nós é um desafio porque estamos analisando setores inteiros — vertical e horizontalmente. Mas o que queremos fazer é realmente entender o que é esse risco sistêmico.

A mídia e o setor de segurança tendem a sempre falar sobre as mesmas ameaças. Quais são algumas coisas que são importantes para você e que não ouvimos todos os dias?

Acho que a maior ameaça é a complacência. Tem havido muita conversa por aí sobre quem é o adversário e como ele se parece. E como nos envolvemos? Mas o que realmente me preocupa é fazer com que as pessoas realmente entendam o potencial de serem vítimas e como elas percebem a ameaça como sendo delas.

Coisas como Hack de pipeline colonial e outros incidentes ajudaram com isso, onde as pessoas pensaram no passado: “Eu não posso ser uma vítima. Ninguém virá atrás de mim: sou uma pequena empresa, ou sou uma pequena jurisdição rural, ou sou uma escola, e o que você tem. Eles não estão preocupados comigo. Eles estão preocupados com as cidades de Nova York do mundo, estão preocupados com as grandes corporações multinacionais”. Acho que o que estamos vendo é que as pessoas são capazes de ver que a ameaça é real para elas. 

Tivemos um incidente com um pequeno distrito escolar que foi vítima de ransomware. Eles ligaram para o número e disseram: “Não temos dinheiro. Somos apenas este pequeno distrito escolar. Você não entende.” E os atacantes disseram: “Não, nós sabemos quanto dinheiro você tem”.

Como você pensa em quebrar um pouco dessa dormência ou essa complacência do lado do público em geral?

Acho que é educação. É fazer com que o consumidor faça perguntas. Então, se você estiver indo a um banco, por exemplo, o banco está usando autenticação multifator? Você deseja procurar esses tipos de recursos, bem como o que essa instituição faz com suas informações pessoais e seus recursos, e qual é o valor disso.

Acho que fazer as pessoas entenderem até coisas como o Internet das Coisas, e que estamos introduzindo muito mais vulnerabilidades no mundo, é importante. Quero dizer, temos geladeiras conectadas à internet. Eu não sou contra. Eu não sei o que ele faz diferente da minha geladeira. Mas todas essas coisas estão trazendo novas vulnerabilidades. 

Eu disse brincando a alguém no outro dia que eu adoraria voltar ao meu antigo Motorola StarTAC dias. Trouxemos muita capacidade e tecnologia para nossos dispositivos móveis. Mas com isso, trouxemos risco. E acho que não passamos tempo suficiente falando sobre o risco, porque estamos falando sobre o tamanho do pixel e a capacidade de jogar.

Acho que também precisamos educar a próxima geração. Indiscutivelmente, estou perdido. Eu acredito no que acredito, sabe, e como você muda minha mente? Mas eu olho para meus filhos que estão saindo do ensino médio, e as pessoas ficam tipo, “Oh, eles são tão cibernético.” E eu diria que eles não são - eu diria que eles são especialista em tecnologia. Eles usam iPads desde os dois meses de idade, mas ainda gravam a senha na parte de trás do iPad ou do teclado.

Então, acho que igualamos conhecimento de tecnologia com conhecimento cibernético. Precisamos torná-los experientes cibernéticos. Precisamos incorporá-lo na próxima geração para que eles realmente o incorporem em suas vidas diárias, tanto pessoal quanto profissionalmente.

Existem ameaças pelas quais estamos muito obcecados e provavelmente nos distraem do risco real?

Passamos muito tempo olhando para o curto prazo. É a natureza, é por padrão. Estamos nos concentrando no que está aqui e agora, no que está à nossa frente. Mas não sei se estamos gastando tempo suficiente olhando para o longo prazo – se estamos realmente olhando para como será a resiliência em 5 anos, 10 anos, 15 anos. E acho que é porque é difícil. Não sabemos onde a tecnologia estará em 5 ou 10 anos, então é difícil avaliar onde focar. Então nos concentramos no que está imediatamente à nossa frente.

Acho que precisamos gastar mais tempo nessa resiliência de longo prazo, porque levará tempo para construí-la. Quando olho para soluções corporativas ou governamentais, muitos desses tipos de coisas são esforços de vários anos. E muitas vezes, pelo menos no processo de aquisição do governo, quando definimos nosso escopo e realizamos a aquisição, ele já está desatualizado. E nós apenas começamos o ciclo novamente.

O mais importante é se envolver conosco. Temos ótimo relacionamento com os parceiros que sabemos. Minha maior preocupação é que há muitos parceiros que não sabe.

Vamos falar sobre a situação com a Rússia e a Ucrânia. Uma das coisas que tem sido muito interessante como observador passivo é que não tivemos o mesmo caos que tivemos no passado – NotPetya e essas coisas que foram projetadas e desenvolvidas para perturbar a Ucrânia, mas saíram e interromperam o comércio global. Parece que, nesta iteração, houve muito menos danos colaterais. 

Isso é porque acabamos de subir de nível e estamos fazendo muito? É o trabalho do governo conduzir os padrões e informar as pessoas? Porque conseguimos o Escudos para cima anúncio de que muitos dos conselhos em que estou e as pessoas com quem trabalho levaram muito a sério. 

Acho que isso mudou em vários lados. Definitivamente, houve mudanças com o adversário e algumas das abordagens lá. Acho que definitivamente há mudanças do lado do governo e do trabalho que fizemos ao longo dos anos para realmente elevar o nível. Muito disso se deve à colaboração com a indústria e muitos desses tipos de coisas que ajudaram a indústria a se tornar mais resiliente. Acho que as pessoas acreditam na segurança cibernética mais do que acreditavam há vários anos. E, assim, todas essas coisas juntas nos levaram a um bom lugar.

Eu estive no espaço da saúde pública por um tempo e estamos lutando contra pandemias há muito tempo. Isso não é novidade para nós. E estávamos lutando contra pandemias, lembro-me quando o H1N1 – o que pensávamos ser uma pandemia – atingiu. Mal sabíamos. E, você sabe, o que realmente dissemos naquela época foi que não poderíamos adotar uma postura completa de trabalho remoto ou teletrabalho porque os sistemas de TI não conseguiam lidar com isso. Bem, avançamos 12 anos e conseguimos. Conseguimos isso não apenas por causa da transição para a nuvem – muitas coisas nos levaram a onde estamos hoje.

Então, acho que quando olhamos para o NotPetya versus agora, parte disso é realmente tanto mudanças no lado adversário, mudanças no nosso lado e mudanças na parceria e no relacionamento. O Shields Up é um ótimo exemplo em que podemos avançar e compartilhar muito mais informações com parceiros do setor, tanto no nível confidencial quanto no nível não classificado. Como podemos obter informações lá fora? Como fazer com que as pessoas confiem nas informações que divulgamos?

Nosso objetivo no final do dia não é fazer com que todos os documentos confidenciais cheguem a todos ou que todos sejam liberados com uma autorização de segurança. Nunca divulgaremos essa informação em tempo hábil. É divulgar a informação de uma forma que as pessoas possam realmente utilizá-la. Ao longo dos anos, desenvolvi uma espécie de mantra sobre o compartilhamento de informações. Pra mim é: Como levamos as informações certas para as pessoas certas em tempo hábil que resulte em mais informado tomando uma decisão. Então, mesmo que a decisão seja a mesma, pelo menos está mais bem informado.

E então, ao analisarmos esse evento e o que vimos, tínhamos os mecanismos para divulgar as informações. Tínhamos pessoas acreditando na qualidade da informação que estava saindo. Também acho que vale a pena avançar e dizer que não temos muita informação. E vimos algumas coisas realmente únicas. Tínhamos muitas informações que conseguimos levar do espaço classificado ao pódio rapidamente – em tempo recorde, em alguns casos – e realmente conseguimos usar isso para orientar a tomada de decisões das pessoas sobre quais ações deveriam tomar. Então eu acho que tem sido uma resposta forte e eficaz.

Mas é tudo uma questão de colaboração e parceria, porque não somos apenas nós divulgando informações que não podem ser utilizadas. E até que possamos obter o feedback e realmente construir esses sistemas de uma maneira que nos permita trabalhar juntos, não vamos mudar isso nacional paisagem enquanto estamos olhando para a infraestrutura crítica.

Eu olho para meus filhos que estão saindo do ensino médio, e as pessoas ficam tipo, “Oh, eles são tão cibernético.” E eu diria que eles não são - eu diria que eles são especialista em tecnologia. Eles usam iPads desde os dois meses de idade, mas ainda gravam a senha na parte de trás do iPad ou do teclado.

Eu adoraria saber sua opinião sobre ransomware. A administração ficou muito séria sobre isso. E acontece que está principalmente centrado nas áreas que agora estão lutando umas com as outras. Estou curioso sobre sua abordagem para lidar com ransomware e como você talvez esteja desarmando um pouco disso. Porque parece que talvez tenha melhorado…

Eu vou fazer meu plugue para nosso site de ransomware, onde tentamos reunir tudo em um site central para divulgar as informações. Mas eu acho que muito se resume à educação. É educar as pessoas que você não vai receber um milhão de dólares por e-mail – você vai receber um grande cheque em papel, alguém vai bater à sua porta e tocar a campainha. Acho que se trata de deixar as pessoas entenderem quem são as vítimas em potencial.

Nós tínhamos um incidente com um pequeno distrito escolar que foi vítima de ransomware. Eles ligaram para o número e disseram: “Não temos dinheiro. Somos apenas este pequeno distrito escolar. Você não entende.”

E os atacantes disseram: “Não, nós sabemos quanto dinheiro você tem. Temos os extratos da sua conta bancária. Nós sabemos quanto você tem. E sabemos quanto você pode pagar e o que estamos pedindo é bastante proporcional ao quanto você tem no banco. Então não estamos levando tudo, estamos deixando um pouco de alguma coisa. Mas, na verdade, é isso que queremos.”

E o distrito escolar disse: “Bem, você quer Bitcoin. Eu não sei como fazer isso.” 

“Temos uma central de ajuda. Temos help desks em 14 idiomas diferentes que podem ajudá-lo a obter bitcoin. Então, como podemos ajudá-lo?”

Então, acho que com o ransomware precisamos permitir que as pessoas entendam as vulnerabilidades, os riscos, quem podem ser os alvos e as ações a tomar [veja o comunicado conjunto da CISA 2021 Ransomware Trends]. E o impacto monetário. Com ataques de ransomware e outros tipos de coisas que estamos vendo, as pessoas estão Individual usuários. Mas também acho que as pessoas estão começando a prestar atenção. Acho que as pessoas estão começando a não clicar em tudo.

I do se preocupar com coisas como pandemias e esses tipos de coisas em que temos um potencial maior de oportunidades. Ou alguém com 300 e-mails em sua caixa de entrada e só precisa passar por eles, que é vítima desse tipo de coisa. E por isso precisamos manter a pressão. Precisamos manter as mensagens. 

E precisamos fazer com que a geração mais jovem perceba isso também. Porque cometi o erro de olhar na caixa de entrada do meu colegial. E eu não sei se eles lêem seus e-mails, ou o quê. Não sei o que eles têm... há centenas — centenas — de e-mails. Eu nem sei de onde eles são ou como eles os conseguiram. Como educamos a próxima geração para estar em um lugar melhor?

Nosso objetivo no final do dia não é fazer com que todos os documentos confidenciais cheguem a todos ou que todos sejam liberados com uma autorização de segurança. . . . Para mim, é: Como levar as informações certas para as pessoas certas em tempo hábil que resulte em mais informado tomando uma decisão.

Seria ótimo entender como podemos, no setor privado, interagir melhor com o governo e ajudar a melhorar as coisas. Porque é uma dessas coisas de esportes de equipe, onde todos perdemos juntos se não vencermos.

Eu acho que a coisa mais importante é se envolver com a gente. Temos ótimo relacionamento com os parceiros que sabemos. Minha maior preocupação é que há muitos parceiros que não sabe. Não sabemos onde estão, nem como chegar lá. A CISA é uma organização em crescimento – temos uma força de campo em todo o país de cerca de 500 pessoas, e precisamos continuar a crescer – mas mesmo 500 pessoas é uma gota no balde. Então, precisamos saber como engajar e com quem engajar. E é aí que eu acho que a indústria pode ajudar, porque há muito mais oportunidades de engajamento da indústria para nos conectar com os parceiros certos que podem nos ajudar a aumentar esse nível de resiliência.

E então nos mantenha honestos. Mantenha-nos honestos e nos eduque. Você sabe, estamos realmente tentando avançar em muitos de nossos compromissos porque acho que, no passado, havia muito medo sobre como nos envolvemos com a indústria: “O que podemos fazer?” “O que podemos dizer?” “O que não podemos dizer?” 

Nós construímos uma equipe na CISA agora que é realmente voltada para o futuro, onde não temos medo desse envolvimento. Sim, existem linhas, mas temos muita latitude dentro dessas linhas. Estamos realmente tentando ficar dentro dessas grades de proteção – não queremos colidir e cair do penhasco – mas contanto que permaneçamos dentro dessas grades de proteção, estamos bem.

Então eu acho que a coisa mais importante é nos dizer o que não sabemos. E eu sei que há muita coisa que não sabemos. Mas ajudando a nos educar sobre o que são, ajudando-nos a ser responsáveis ​​pelo que estamos fazendo ou não, eu realmente acho que vai nos ajudar a avançar e dar os saltos significativos que precisamos fazer.

Postado em julho 4, 2022