Програми-вимагачі, кіберрозумність і зв’язок публічно-приватної безпеки

Нітін Натараджан є заступником директора СНД (Агентство з кібербезпеки та безпеки інфраструктури) і має великий досвід у сфері кібербезпеки, включаючи нагляд за критичною інфраструктурою для Ради національної безпеки США та Міністерства охорони здоров’я та соціальних служб США. 

У цій дискусії з генеральним партнером a16z Джоелем де ла Гарса (який раніше був головним спеціалістом із безпеки в Box і очолював команди безпеки в багатьох фінансових установах), Натараджан пояснює, чому мінливий ландшафт загроз кібербезпеці змушує організації будь-якого розміру, а також люди — щоб стати більш обізнаними в кіберпространстві. Він також охоплює ряд інших тем, зокрема те, як промисловість і уряд можуть найкраще співпрацювати, щоб обмінюватися інформацією та захищати всіх.

Це відредагована версія живої дискусії, яка відбулася у травні. Ти можеш прослухати всю дискусію у формі подкасту тут.

---

ДЖОЕЛЬ ДЕ ЛА ГАРСА: Як ви та як CISA думаєте про пріоритетність загроз? Здається, це ключ до всього, що ви намагаєтеся зробити.

НІТІН НАТАРАДЖАН: Коли ми дивимося на визначення пріоритетів, це зводиться до справжнього розуміння, що це за системні ризики. Як ми можемо допомогти розповісти історію каскадного аналізу впливу, щоб люди могли приймати рішення про те, куди інвестувати та від яких ризиків інвестувати для захисту? 

Або як ми дивимося на ризик як на трилапий табурет? Я думаю, що ми витрачаємо багато часу на розмови про ідентифікацію ризиків. Ми витрачаємо багато часу на розмови про зменшення ризиків. Ми забуваємо цю третю ногу, яка для мене є нею ми приймаємо кожен ризик, який ми виявляємо та не зменшуємо. І ми завжди приймаємо певний ризик. Я маю на увазі, я приїхав сюди. Я піднявся на сцену. Я ризикнув, підійшовши сюди. Я піду на ризик, піду і, можливо, впаду.

Але як переконатися, що наші очі широко відкриті до того, що ми приймаємо? І як ми розуміємо цей ландшафт ризику та використовуємо його для визначення пріоритетів? І як тоді ми дивимося на це в 16 критичних секторах, які знаходяться на різних рівнях зрілості?

Такі галузі, як фінансовий сектор, отримали віддачу від інвестицій у кібербезпеку, яка піддається кількісному вимірюванню, але є й інші сектори, які не інвестували в цю сферу так довго чи так багато. Ми хочемо мати можливість розглядати ризики таким чином, щоб визнати, що люди знаходяться в різних місцях, і це стосується як великих транснаціональних корпорацій, так і малого бізнесу. Коли ми дивимося на ризики ланцюга постачання, велика частина цих ризиків припадає не на великі транснаціональні корпорації, а на малий бізнес, який створює цю маленьку частинку, той один критично важливий віджет.

Тож визначення пріоритетів для нас є викликом, оскільки ми розглядаємо цілі галузі — вертикально та горизонтально. Але те, що ми хочемо спробувати – це зрозуміти, що таке системний ризик.

ЗМІ та індустрія безпеки завжди говорять про ті самі загрози. Які речі, про які ви пам’ятаєте, ми чуємо не щодня?

Я вважаю, що найбільшою загрозою є самовдоволення. Там було багато розмов про те, хто такий супротивник і як він виглядає. А як ми займаємось? Але мене справді хвилює те, щоб люди по-справжньому усвідомили, чи можуть вони стати жертвами, і як вони сприймають загрозу як свою.

Такі речі Злом колоніального трубопроводу і інші випадки допомогли в цьому, коли люди в минулому думали: «Я не можу бути жертвою. Ніхто за мною не піде: я маленький бізнес, чи я маленький сільський район, чи я школа, і що там. Вони не хвилюються за мене. Вони стурбовані Нью-Йорком у всьому світі, вони стурбовані великими транснаціональними корпораціями». Я думаю, що ми бачимо, що люди можуть побачити, що загроза для них реальна. 

У нас був інцидент із невеликим шкільним округом, який став жертвою програм-вимагачів. Подзвонили за номером і сказали: «У нас немає грошей. Ми просто маленький шкільний округ. Ви не розумієте». А нападники сказали: «Ні, ми знаємо, скільки у вас грошей».

Як ви думаєте про те, щоб трохи подолати це заціпеніння чи самовдоволення з боку широкої громадськості?

Я думаю, що це освіта. Споживач змушує ставити запитання. Отже, наприклад, якщо ви йдете в банк, чи використовує банк багатофакторну автентифікацію? Ви хочете шукати такі типи можливостей, а також те, що ця установа робить з вашою особистою інформацією та вашими ресурсами, і яку цінність вони мають.

Я думаю, що змусити людей зрозуміти навіть такі речі Інтернет речей, і те, що ми вводимо у світ набагато більше вразливостей, є важливим. Я маю на увазі, що у нас є холодильники, підключені до Інтернету. Я не проти. Я не знаю, чим він відрізняється від мого холодильника. Але всі ці речі створюють нові вразливі місця. 

Я жартома сказав комусь днями, що хотів би повернутися до старого Motorola StarTAC днів. Ми додали багато можливостей і технологій у наші мобільні пристрої. Але цим ми ризикували. І я не думаю, що ми витратили достатньо часу на розмови про ризик, тому що ми говоримо про розмір пікселя та можливість грати в ігри.

Я вважаю, що нам також потрібно виховувати наступне покоління. Можливо, я заблукав. Я вірю у те, у що вірю, знаєте, і як ви змінюєте мою думку? Але я дивлюся на своїх дітей, які закінчують середню школу, і люди кажуть: «О, вони такі кібер-підкований.” І я б сказав, що ні — я б запропонував, що вони є технічно підковані. Вони користуються iPad з того часу, як їм було два місяці, але вони все ще приклеюють пароль до задньої панелі iPad або до задньої панелі клавіатури.

Отже, я думаю, що ми зрівняли технічна підкованість з кіберрозумність. Нам потрібно зробити їх кіберпідкованими. Нам потрібно впровадити це в наступне покоління, щоб вони справді впровадили це у своє повсякденне життя, як особисте, так і професійне.

Чи існують загрози, якими ми просто одержима, і які, ймовірно, відволікають нас від реального ризику?

Ми витрачаємо багато часу на короткострокову перспективу. Це природа, це за замовчуванням. Ми зосереджуємося на тому, що тут і зараз, що перед нами. Але я не знаю, чи витрачаємо ми достатньо часу на довгострокову перспективу — чи дійсно ми дивимося на те, як виглядає стійкість через 5 років, 10 років, 15 років. І я думаю, що це тому, що це важко. Ми не знаємо, де будуть технології через 5 чи 10 років, тому важко визначити, на чому зосередитися. Тож ми зосереджуємось на тому, що безпосередньо перед нами.

Я думаю, що нам потрібно приділяти більше часу цій довгостроковій стійкості, тому що для її створення потрібен час. Коли я розглядаю корпоративні рішення чи урядові рішення, багато з таких речей є багаторічними зусиллями. І часто, принаймні в процесі державних закупівель, до того моменту, як ми визначимо наш обсяг і здійснимо придбання, воно вже застаріло. І ми просто починаємо цикл знову.

Найголовніше – це взаємодіяти з нами. У нас чудові відносини з партнерами що ми знаємо. Мене найбільше хвилює те, що у нас багато партнерів не знаю.

Поговоримо про ситуацію з Росією та Україною. Одна з речей, яка була дуже цікава для пасивного спостерігача, полягає в тому, що ми не мали такого хаосу, як у минулому… NotPetya і ці речі, які були розроблені та розроблені, щоб зруйнувати Україну, але вийшли та порушили світову торгівлю. Здається, що в цій ітерації було набагато менше побічних збитків. 

Це тому, що ми щойно піднялися на новий рівень і робимо багато? Чи це робота державних стандартів водіння та інформування людей? Тому що ми отримали Щити вгору оголошення, яке дуже серйозно сприйняли багато рад директорів, до яких я входжу, і люди, з якими я працюю. 

Я думаю, що це змінилося з кількох сторін. Безумовно, були зміни з суперником і деякі підходи. Я вважаю, що є певні зміни з боку уряду та роботи, яку ми виконували протягом кількох років, щоб дійсно підняти планку. Багато в чому це завдяки співпраці з промисловістю та багатьом тим, що допомогло промисловості стати більш стійкою. Я думаю, що люди вірять у кібербезпеку більше, ніж кілька років тому. І, отже, всі ці речі разом привели нас у гарне місце.

Я деякий час працював у сфері охорони здоров’я, і ми тривалий час боремося з пандемією. Для нас це не нове. І ми боролися з пандемією, я пам’ятаю, коли грип H1N1 — те, що ми вважали пандемією — стався. Ми мало що знали. І, знаєте, тоді ми фактично сказали, що ми не можемо перейти до повної віддаленої роботи чи дистанційної роботи, оскільки ІТ-системи не можуть з цим впоратися. Ну, перемотайте 12 років вперед, і ми це зробили. Ми зробили це не лише завдяки переходу на хмару — багато речей привели нас туди, де ми є сьогодні.

Тож я думаю, що, дивлячись на NotPetya проти теперішнього, частково це дійсно зміни на стороні супротивника, зміни на нашому боці, а також зміни в партнерстві та стосунках. Shields Up є чудовим прикладом того, як ми можемо опертися вперед і поділитися набагато більше інформації з галузевими партнерами, як на секретному рівні, так і на несекретному рівні. Як ми отримуємо інформацію? Як змусити людей довіряти інформації, яку ми оприлюднюємо?

Зрештою, наша мета полягає не в тому, щоб кожен секретний документ був доступний кожному або щоб кожен отримав дозвіл безпеки. Ми ніколи не отримаємо цю інформацію вчасно. Це розповсюдження інформації таким чином, щоб люди могли її фактично використати. За ці роки я виробив своєрідну мантру щодо обміну інформацією. Для мене це: Як ми своєчасно доносимо потрібну інформацію до потрібних людей, що призводить до більш поінформований прийняття рішень. Отже, незважаючи на те саме рішення, воно принаймні є кращим поінформованим.

І тому, коли ми дивилися на цю подію та те, що ми бачили, у нас були механізми, щоб отримати інформацію. У нас були люди, які вірили в якість інформації, яка надходила. Я також вважаю, що варто нахилитися вперед і сказати, що у нас не так багато інформації. І ми побачили справді унікальні речі. У нас було багато інформації, яку ми змогли перенести з закритого простору на трибуну досить швидко — у деяких випадках у рекордно короткий термін — і справді змогли використати це, щоб спонукати людей приймати рішення щодо того, які дії вони мають зробити. Тому я вважаю, що це була сильна та ефективна відповідь.

Але вся справа в співпраці та партнерстві, тому що ми не просто викладаємо інформацію, якщо її не можна використати. І доки ми не зможемо отримати зворотній зв’язок і не побудувати ці системи таким чином, щоб ми могли працювати разом, ми цього не змінимо національний краєвид, оскільки ми розглядаємо критичну інфраструктуру.

Я дивлюся на своїх дітей, які закінчують середню школу, і люди кажуть: «О, вони такі кібер-підкований.” І я б сказав, що ні — я б запропонував, що вони є технічно підковані. Вони користуються iPad з того часу, як їм було два місяці, але вони все ще приклеюють пароль до задньої панелі iPad або до задньої панелі клавіатури.

Я хотів би дізнатися ваше бачення програми-вимагача. Адміністрація дуже серйозно поставилася до цього. І так сталося, що він зосереджений переважно в областях, які зараз воюють між собою. Мені цікаво, як ви підходите до боротьби з програмами-вимагачами та як ви, можливо, позбавляєтеся від деяких із них. Тому що здається, що, можливо, стало краще...

Я зроблю свою вилку для наш сайт програм-вимагачів, де ми намагалися об’єднати все на центральному веб-сайті, щоб отримувати інформацію. Але я думаю, що багато чого залежить від освіти. Це навчання людей, що ви не отримаєте мільйон доларів електронною поштою — ви отримаєте великий паперовий чек, хтось підійде до ваших дверей і подзвонить. Я думаю, що це зводиться до того, щоб дати людям зрозуміти, хто є потенційними жертвами.

Ми мали інцидент із невеликим шкільним округом, який став жертвою програми-вимагача. Подзвонили за номером і сказали: «У нас немає грошей. Ми просто маленький шкільний округ. Ви не розумієте».

А нападники сказали: «Ні, ми знаємо, скільки у вас грошей. У нас є виписки з вашого банківського рахунку. Ми знаємо, скільки у вас є. І ми знаємо, скільки ви можете заплатити, і те, що ми вас просимо, цілком відповідає сумі, яку ви маєте в банку. Тому ми не беремо все, ми залишаємо дещо. Але насправді це те, чого ми хочемо».

І шкільний округ сказав: «Ну, ви хочете біткойни. Я не знаю, як це зробити». 

«У нас є довідкова служба. У нас є довідкові служби 14 різними мовами, які можуть допомогти вам отримати біткойни. Отже, як ми можемо вам допомогти?»

Тож я думаю, що за допомогою програм-вимагачів ми повинні дати людям зрозуміти вразливі місця, ризики, хто може бути цілями та дії, які необхідно вжити [див. спільну консультацію CISA щодо тенденцій програм-вимагачів за 2021 рік]. І грошовий ефект. З атаками програм-вимагачів та іншими типами речей, які ми бачимо, люди індивідуальний користувачів. Але я також думаю, що люди починають звертати увагу. Я думаю, що люди починають натискати не все.

I do турбуватися про такі речі, як пандемії та ті типи речей, де ми маємо підвищений потенціал можливостей. Або хтось із 300 електронними листами в папці "Вхідні", якому просто потрібно їх переглянути, і хто стає жертвою таких речей. Тому нам потрібно продовжувати тиск. Нам потрібно продовжувати обмін повідомленнями. 

І ми маємо змусити це усвідомити й молоде покоління. Тому що я зробив помилку, переглянувши поштову скриньку свого старшокласника. І я не знаю, чи читають вони свої електронні листи, чи що. Я не знаю, що вони… є сотні… сотні… електронних листів. Я навіть не знаю, звідки вони і як вони їх взяли. Як ми виховуємо наступне покоління, щоб воно було в кращому місці?

Зрештою, наша мета полягає не в тому, щоб кожен секретний документ був доступний кожному або щоб кожен отримав дозвіл безпеки. . . . Для мене це: як ми своєчасно доносимо потрібну інформацію до потрібних людей, що приносить результати більш поінформований прийняття рішень.

Було б чудово зрозуміти, як ми можемо в приватному секторі краще співпрацювати з урядом і допомагати покращувати ситуацію. Тому що це один із командних видів спорту, де ми всі разом програємо, якщо не виграємо.

Я вважаю, що найголовніше – це взаємодіяти з нами. У нас чудові відносини з партнерами що ми знаємо. Мене найбільше хвилює те, що у нас багато партнерів не знаю. Ми не знаємо, де вони і як туди потрапити. CISA — це організація, що розвивається — у нас є польові сили по всій країні, які налічують 500 або близько того людей, і нам потрібно продовжувати їх розвивати, але навіть 500 людей — це крапля, що переливає воду. Отже, ми повинні знати, як і з ким співпрацювати. І в цьому, на мою думку, галузь може допомогти, тому що є набагато більше можливостей для взаємодії з галуззю, щоб зв’язати нас із тими правильними партнерами, які можуть допомогти нам підняти цю планку стійкості.

А потім тримай нас чесними. Зберігайте нас чесними та навчайте нас. Ви знаєте, ми дійсно намагаємося йти вперед у багатьох наших зобов’язаннях, тому що я думаю, що в минулому було багато страху щодо того, як ми взаємодіємо з промисловістю: «Що ми можемо зробити?» «Що ми можемо сказати?» «Чого ми не можемо сказати?» 

Зараз ми створили в CISA команду, яка дійсно орієнтована на майбутнє, і ми не боїмося такого залучення. Так, є лінії, але ми маємо велику широту в межах цих ліній. Ми справді намагаємося триматися за ці огорожі — ми не хочемо прорізатися та злітати зі скелі, — але поки ми залишаємося за огорожею, у нас усе гаразд.

Тож я вважаю, що найбільше — розповісти нам те, чого ми не знаємо. І я знаю, що ми багато чого не знаємо. Але я справді вважаю, що допомога в роз’ясненні нам, що це таке, допомога нам залишатися відповідальними за те, що ми робимо або не робимо, допоможе нам рухатися вперед і робити ті значні стрибки, які нам потрібно зробити.

Опубліковано 4 липня 2022 р