211service.com
Cybersecurity in 2020: de opkomst van de CISO
Datalekken hebben bedrijven in 2019 harde lessen geleerd. Eén belangrijke conclusie: ze hebben een Chief Information Security Officer nodig, zegt Stephanie Balaouras van Forrester.
24 februari 2020
Geproduceerd in samenwerking met Microsoft-beveiliging
Nu het nieuwe jaar (en het nieuwe decennium) begint, is één ding zeker: cyberbeveiliging zal een steeds grotere impact blijven hebben op het bedrijfsleven, zowel ten goede als ten kwade. In deze aflevering horen we van Stephanie Balaouras, een cyberbeveiligingsexpert die gedurende haar 15 jaar bij Forrester Research duizenden klanten heeft gesproken. Ze is de vice-president en groepsdirecteur van beveiligings- en risicoonderzoek, evenals infrastructuur- en operationeel onderzoek.
Balaouras pleit ervoor dat alle bedrijven een Chief Information Security Officer of CISO zouden moeten hebben, aangezien de wereld van cyberdreigingen ingewikkelder en gevaarlijker wordt. 'Zelfs bedrijven die een CISO hebben, moeten goed kijken hoe hoog ze in de organisatie rapporteren', zegt Balaouras. 'Hebben ze het juiste budget? Hebben ze genoeg personeel? Heb je ze de juiste span of control gegeven?'
Balaouras beoordeelt ook enkele van de grootste cyberbeveiligingstrends in 2019 en doet voorspellingen voor 2020.
Business Lab wordt gehost door Laurel Ruma, directeur van Insights, de custom publishing-divisie van MIT Technology Review. De show is een productie van MIT Technology Review, met productiehulp van Collective Next. Muziek is van Merlean, van Epidemic Sound.
Cyberbeveiliging gaat niet alleen over het stoppen van de bedreigingen die u ziet. Het gaat over het stoppen van degenen die je niet kunt zien. Daarom heeft Microsoft Security meer dan 3.500 experts op het gebied van cybercriminaliteit in dienst en gebruikt het AI om te helpen anticiperen, identificeren en elimineren van bedreigingen. U kunt zich dus concentreren op de groei van uw bedrijf en Microsoft Security kan zich richten op het beschermen ervan. Lees meer op Microsoft.com/cybersecurity.
Toon notities en links
Forrester Research: cyberbeveiliging
Een CISO-gids voor het leiden van verandering door Jinan Budge, Forrester Research
De behoefte aan volledige cloudbeveiliging, een interview met Stephanie Balaouras, op YouTube
Volledig transcript
Laurel Ruma: Van MIT Technology Review, ik ben Laurel Ruma en dit is Business Lab, de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen.
Beveiligingsbedreigingen zijn overal. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts die voortdurend controleren op bedreigingen om uw bedrijf te helpen beschermen. Meer op microsoft.com/cybersecurity.
Ons onderwerp van vandaag is cybersecurity en meer specifiek de rol van de Chief Information Security Officer, de CISO. We zullen ook cyberbeveiligingsnieuws uit 2019 bekijken en vooruitkijken naar cyberbeveiligingstrends voor 2020. Eén woord voor u: deepfakes. Mijn gast is Stephanie Balaouras, een cyberbeveiligingsanalist en in haar bijna 15 jaar bij Forrester Research met duizenden klanten gesproken. Stephanie is de vice-president en groepsdirecteur van beveiligings- en risicoonderzoek, evenals infrastructuur- en operationeel onderzoek. Stephanie, heel erg bedankt dat je met me hebt gesproken over Business Lab.
Stephanie Balaouras: Bedankt.
Laurier: Om te beginnen publiceerde Forester in 2017 een rapport van Jeff Pollard, een lid van uw team, over de loopbaantrajecten van CISO's, Chief Information Security Officers. En ik vind het vooral leuk om over deze rol te praten omdat het zo nieuw is voor de C-suites in het bedrijf. Als Citibank net de eerste CISO ooit heeft aangesteld, in 1995, is dat echt recente geschiedenis. Maar als elk bedrijf ook een technologiebedrijf is, waarom heeft dan niet elk bedrijf een CISO?
Stefanie: Als je kijkt naar de geschiedenis van andere rollen, zoals ik denk dat de eerste CMO, Chief Marketing Officer was in de jaren vijftig, had je 20, 30 jaar later nog steeds bedrijven zonder een CMO. Dus wanneer deze opkomende rollen voor het eerst beginnen, duurt het enige tijd voordat het de norm wordt. Maar ik zal zeggen dat elk bedrijf echt een CISO zou moeten hebben. Beursgenoteerde bedrijven moeten een CISO hebben. Maar wat we vaak zullen ontdekken, is dat, afhankelijk van de grootte van het bedrijf, ze er soms mee wegkomen om de CIO ook de CISO te noemen of een andere IT-manager ook de CISO te noemen. Dus dat is vrij gebruikelijk bij kleinere bedrijven - ze zullen wegkomen zonder een zelfstandige rol te hebben.
Maar wat u ook zult vinden, is dat als ze een inbreuk of een soort groot cyberbeveiligingsprobleem hebben of zelfs een grote nalevingsschending die verband houdt met gegevensbeveiliging, het eerste dat ze zullen doen, is een toegewijde CISO aanwijzen. En dan, zelfs bedrijven met een toegewijde CISO, wanneer ze een inbreuk hebben, realiseren ze zich vaak dat de CISO niet hoog genoeg in de organisatie rapporteerde of niet de juiste verantwoordelijkheden of voldoende budget had of genoeg mensen. Dus dan lossen ze dat op. Naam CISO zou een vereiste moeten zijn, maar ik zou zeggen dat zelfs bedrijven met een CISO eens goed moeten kijken naar hoe hoog in de organisatie ze rapporteren. Hebben ze het juiste budget? Hebben ze genoeg personeel? Heb je ze de juiste span of control gegeven?
Laurier: Want dat is een dure oplossing, nietwaar?
Stefanie: Ja precies.
Laurier: Gaan we pas na een aanval in een nieuw licht, in een meer verantwoordelijk licht naar de rollen en verantwoordelijkheden kijken?
Stefanie: Precies.
Laurier: Dus als de perfecte CISO een beetje zowel een zakenman is die rechtstreeks met de CEO kan praten, de noodzaak van beveiliging en risicobeperking kan uitleggen, maar dan ook met klanten kan praten, misschien en met andere werknemers en over beveiliging kan praten en hoe die rol is belangrijk voor het bedrijf. Waar komen deze mensen vandaan? Waar halen ze al dit onderwijs vandaan?
Stefanie: Toen we naar CISO-carrièrepaden keken, ontdekten we dat de meeste wel door de beveiligingsrangen kwamen. Ze begonnen dus meestal als beveiligingsprofessionals. Ze hebben tientallen jaren ervaring opgedaan in de rol. Maar wat we vaak ontdekten, is dat de meerderheid van hen vaak terug zou gaan voor een graduaat, en dat ze eigenlijk een bedrijfsdiploma zouden halen. Ze haalden vaak MBA's, en dat was omdat ze aan beide vereisten moesten voldoen, namelijk, ja, ik ben een technologiemanager, maar tegelijkertijd ben ik een technologiemanager die in een groot bedrijf rapporteert aan de op kwartaalbasis of rapporteert rechtstreeks aan de CIO of rechtstreeks aan de CEO. Het is dus zeker een combinatie van opleiding en ervaring.
Ik zou zeggen dat universiteiten beter hun best doen om bachelor- en masterdiploma's op het gebied van informatiebeveiliging te verstrekken. Er zijn een aantal gebieden waar ze ongelooflijk zwak zijn, zoals applicatiebeveiliging wordt niet goed onderwezen op het bachelorniveau, of helemaal niet. Het is echt slecht gedaan. Het andere waar ik het over zal hebben over universiteiten, is dat ze er niet goed in zijn om vrouwen te rekruteren voor bachelor- en masterprogramma's. Er is een enorme vaardigheidskloof en een personeelsprobleem op het gebied van beveiliging, en bij Forrester zeggen we graag dat het grotendeels door onszelf is veroorzaakt, omdat we niet uit de helft van de bevolking rekruteren, en we rekruteren geen mensen met verschillende achtergronden. We hebben deze ene persoon waaruit we rekruteren, en dan zijn we geschokt als we niet genoeg mensen kunnen vinden met deze zeer beperkte vaardigheden, dus.
Laurier: Ja, volgens het rapport zijn negen van de tien CISO's man.
Stefanie: Precies, precies. We hebben nog niet naar het einde van 2019 gekeken, maar de laatste jaren is dat wel zo. En als je ook naar het personeel kijkt, is het erger dan de algemene beveiligingsindustrie. Ongeveer 11% van het beveiligingspersoneel is vrouw. Het is erger dan algemene IT. Algemeen IT heeft ook een probleem, maar het is meer ergens tussen de 20% en 30%, dus de beveiliging is nog erger.
Laurier: Dus als we het hebben over een gebrek aan diversiteit in beveiliging in het algemeen, hoe proberen bedrijven daar dan op in te spelen? Zie je bepaalde bedrijven best practices tonen?
Stefanie: Er zijn zeker enkele best practices. Ik heb eigenlijk veel leveranciers gezien, zoals grote technologieleveranciers, die samenwerken met universiteiten en zelfs op het niveau van de middelbare school. Bijvoorbeeld met de Girl Scouts of America, om daadwerkelijk programma's te bevorderen die meisjes al op zeer jonge leeftijd enthousiast maken en geïnteresseerd maken in cyberbeveiliging en dit vervolgens willen blijven nastreven op bachelor- en masterniveau. Bij een aantal universiteiten zijn er behoorlijk agressieve beursprogramma's.
En dan is er ook gewoon veel introspectie die plaatsvindt op bedrijfsniveau, waarbij we een beetje kijken naar de cultuur van beveiligingsteams. We kijken naar veel van de traditionele routes van waaruit we rekruteren, dat zijn conferenties die door mannen worden gedomineerd of nogmaals, we hebben deze functiebeschrijvingen die veel militaire ervaring als voorbeeld benadrukken. Dus het is net zoiets als het vergroten van het bereik van mensen die zullen rekruteren in de beveiligingsindustrie, een bereidheid om hun vaardigheden te ontwikkelen en het veel beter doen om de trechter daadwerkelijk te vullen, de daadwerkelijke pijplijn op de lange termijn te vullen.
Maar als je het mij vraagt, nemen diverse teams betere beslissingen, en op de lange termijn presteren ze beter. En dan zou ik als tweede willen zeggen dat er zoveel vacatures in de beveiliging zijn, niet alleen in de VS, maar ook wereldwijd. Het is ook een wiskundig probleem. We gaan deze openstaande vacatures niet invullen als we niet uit de helft van de bevolking rekruteren.
Laurier: Ook leek het erop dat niet veel beveiligingstalent noodzakelijkerwijs van binnenuit werd gepromoot. In de rapporten van Forrester klonk het alsof je meer kans had op een promotie als je naar een ander bedrijf ging. Herbekijken bedrijven nu hun eigen talenten?
Stefanie: Dat geldt eigenlijk zowel op individueel niveau als op CISO-niveau. Dus we hebben bij de Fortune 500 ontdekt dat CISO's die voor het eerst kwamen, zeldzaam waren en niet van binnenuit werden gepromoot. Ze wilden dus extern inhuren voor CISO's, en ze wilden CISO's met eerdere ervaring als CISO. En eigenlijk als je iemand in de beveiliging bent, dus dat betekent dat als je wilt promoveren naar CISO, je beste kans is om extern te kijken, buiten je bedrijf. En we ontdekten ook dat wanneer bedrijven CISO's extern inhuurden in plaats van ze van binnenuit te promoten, ze eerder geneigd waren hen hoger in de organisatie te laten rapporteren. Dus ja, op CISO-niveau zouden bedrijven beter naar binnen kunnen kijken en die individuen de juiste kans geven om hoger in de organisatie te rapporteren.
Maar we ontdekten ook weer soortgelijke dingen op het niveau van managers en individuele bijdragers, namelijk dat ze niet binnen het bedrijf aanwerven of wanneer ze wel individuen in dienst namen, ze hen geen goede loopbaantrajecten en voortdurende ontwikkeling van vaardigheden gaven. Dus nogmaals, als die individuen echt hun carrière wilden voortzetten, vertrokken de meesten van hen uiteindelijk. Daarom zeggen we dat veel van de uitdagingen op het gebied van vaardigheden en personeelsbezetting volledig aan onszelf te wijten zijn.
Laurier: Dus het is een beetje een blinde vlek waar waarschijnlijk iedereen het een beetje beter op zou kunnen doen, toch?
Stefanie: Precies. Ja.
Laurier: Ik was dit Ponemon Institute-rapport aan het lezen, en deze specifieke zin sprong me te binnen en terwijl we het hadden over de CISO en wat voor soort persoon die rol in de eerste plaats zou vervullen en de ervaring die ze hadden, meer dan alleen een cv, het is ook je houding en vermogen om heel snel en heel slim te handelen en ook heel goed te communiceren. Maar het citaat was, en ik parafraseer hier een beetje, technologie heeft het internettijdperk getransformeerd in een periode van wrede wonderen voor beveiligingsprofessionals. Al onze wrede wonderen zijn dat we apparaten in elke zak hebben. We kunnen overal heen, we kunnen met iedereen praten op elk moment, en we kunnen het doen met de snelheid van een bliksemschicht, maar tegelijkertijd, als je een CISO bent, hoe beveilig je het allemaal?
Stefanie: Rechts. Ja. Al deze apparaten die de vier muren van het bedrijf uitbreiden, ze vergroten in feite het aanvalsoppervlak van de organisatie. Dus voor CISO's is het zo'n beetje weggegaan van een traditionele, op de perimeter gebaseerde benadering van beveiliging en is het eigenlijk meer een data- en applicatiegerichte benadering geworden, en ik zou zelfs zeggen een identiteitsgerichte benadering van beveiliging.
Niet dat het netwerk niet belangrijk is, netwerkbeveiliging is enorm belangrijk, maar het is meer de perimetergebaseerde benadering van beveiliging die drastisch is veranderd. Dus nogmaals, waar er geen echte vier muren van het bedrijf zijn. De omtrek is eigenlijk veel kleiner. Dus we hebben de neiging om te denken aan veilige enclaves. Hoe bouw ik een microperimeter rond onze belangrijkste activa?
Als we het hebben over een uitgebreid netwerk van allerlei soorten apparaten zoals je noemde of de computeromgeving zelf, wat een combinatie zou kunnen zijn van on-premise, cloud, gehoste private cloud, en elke variant daarvan en elke soort gebruikerspopulatie die interactie heeft met de bedrijfssystemen en gegevens. Dat kunnen uw eigen medewerkers zijn, dat kunnen consumenten en klanten zijn, of externe partners. Dus als je denkt aan apparaten, gebruikerspopulaties en verschillende computermodellen, is er geen perimeter. Dus de focus komt te liggen op het beschermen van de gegevens zelf, ongeacht waar deze naartoe gaat en ongeacht het hostingmodel of de locatie. Echt, echt een harde kijk op identiteit. Dus de toegang beperken en strikt afdwingen, zowel menselijk als niet-menselijk. Dus het zet het traditionele veiligheidsparadigma op zijn kop. U gaat van perimetergericht naar gegevens- en identiteitgericht.
Dat is wat we CISO's doorgaans aanraden. En dat noemen we het zero-trust-model van beveiliging, dat wil zeggen dat je ervan uitgaat dat je al een inbreuk hebt gemaakt, en je gaat nooit uit van vertrouwen in je omgeving. Je gaat er gewoon altijd vanuit dat er ergens iets mis gaat, maar het werkt. Het is misschien niet de meest positieve spin ter wereld, zoals, oh, nul vertrouwen, maar het werkt. Het is erg effectief.
Het andere dat ik zou willen zeggen, is dat ik fabrikanten van al deze apparaten, IoT-sensoren, IoT-apparaten, alles wat je maar kunt bedenken, echt zou aanmoedigen om vanaf het begin echt beter beveiliging in het apparaat zelf in te bouwen. Dat zou het werk van de CISO zeker veel gemakkelijker maken. Het is gewoon zo frustrerend. Het is ook grotendeels buiten hun controle.
Laurier: Rechts? Nou, vooral-
Stefanie: Behalve de CISO's die daadwerkelijk bij productbedrijven werken. Je moet betrokken zijn bij productontwikkeling. Je zou de organisatie moeten adviseren.
Laurier: En het is interessant omdat veiligheid niet altijd op de eerste plaats komt, toch?
Stefanie: Nee.
Laurier: Zeker als je bezig bent met productontwerp. Maar zie je dat vaak gebeuren? CISO's daadwerkelijk actief betrokken bij productontwerp?
Stefanie: Tot op heden helaas niet, maar het is iets dat we wel aanraden. En ik zou zeggen dat sommige CISO's het niet per se als hun traditionele rol zien, zoals het hun traditionele rol was om de back-end-systemen van record en infrastructuur en de bedrijfsgegevens te beveiligen en niet noodzakelijkerwijs betrokken te raken bij ontwikkeling, maar we zijn eigenlijk actief moedig CISO's aan om betrokken te raken bij productontwerp en productontwikkeling om de organisatie echt te helpen veilig te stellen wat u verkoopt. Dus wat je ook verkoopt, welke dienst je ook levert aan een consument, een patiënt, een burger, een ander bedrijf, als je een B2B-organisatie bent, actief betrokken bij het veiligstellen van wat je verkoopt.
Laurier: En dat is zeker een onderscheidende factor, nietwaar?
Stefanie: Ja, absoluut. Absoluut. We ontdekten dat beveiliging en privacy - en dat zijn geen synoniemen, maar soms gaan ze hand in hand - voor bedrijven zorgen voor concurrentiedifferentiatie.
Laurier: Ja. En dat is een belangrijke onderscheidende factor, en al het lawaai dat eruit komt. Dus als er iets heel specifieks is dat je op de markt kunt brengen, zou dat een goede zijn. Maar we hebben het ook een beetje over de CISO die echt overal een actieve rol in speelt. Dus je moet deze multi-getalenteerde persoon zijn die kan praten en producten kan begrijpen, maar ook in de gemeenschap kan zijn, toch? Allemaal tegelijkertijd delen, maar niet delen, bedrijfsgeheimen en hoe je de gegevens verdedigt, want er is een idee, vooral in de technische gemeenschap, waar je je best practices deelt en wat je hebt geleerd. En ik vroeg me daar gewoon een beetje over af, hoe delen CISO's eigenlijk alles, maar niet alles?
Stefanie: Ja, die uitdaging is er. Veel CISO's hebben een hekel aan praten over details over hun implementaties, en ik zie dat niet per se snel veranderen. Soms zijn er echter in kleinere groepen veel gemeenschappen die CISO's ondersteunen. Bij Forester hebben we een peer-netwerkgroep van ongeveer 100 CISO's. Er zijn allerlei ISAC's en gemeenschappen voor het delen van inlichtingen, zoals CISO's die branchespecifiek zijn. Zo vaak in hechte gemeenschappen waar men begrijpt dat alles onder NDA valt, waar er openhartigheid is, waar er enkele persoonlijke relaties zijn, zullen CISO's veel meer delen. Maar ik heb CISO's gevonden die bereid waren om over de algemene strategie te praten. Toen ik het had over de overgang van perimetergebaseerde benaderingen naar data- en identiteitsgericht. Over cultuur gesproken. Cultuur is eigenlijk enorm belangrijk, niet alleen bij de CISO, maar ook voor de rest van de beveiligingsorganisatie.
Omdat u een organisatie nodig hebt met het juiste soort personeel dat daadwerkelijk met ontwikkelaars kan praten en deel kan uitmaken van veilige applicatie-ontwikkeling, dat kan werken met infrastructuur- en operationele teams om cloudimplementaties te beveiligen. Dat zou echt kunnen werken met marketingteams om hen te helpen begrijpen wat de gevolgen zijn voor de privacy van hoe ze services, gegevens en advertenties voor consumenten personaliseren. U hebt dus ook het beveiligingsteam zelf nodig, niet alleen de CISO, maar het beveiligingsteam zelf moet vocaal en openhartig zijn, samenwerken en bereid zijn zich in te zetten in de kernactiviteiten en IT-processen in de hele organisatie. Dus ze zullen praten over cultuur, ze zullen praten over personeel, ze zullen ook praten over het soort vaardigheden dat nodig is. Daar zien we zeker verandering.
Laurier: En het bedrijf moet ook bereid zijn toe te staan dat de beveiliging rond dit idee rondkomt, maar niet alleen voor het product, maar ook voor alle anderen. Dus marketing, nogmaals, beveiliging eerst of beveiliging op een gegeven moment. Hoe voer je dan dit gesprek, zodat iedereen een beetje geschoold is? Je hoeft geen expert in beveiliging te zijn als je in marketing zit, maar je moet bereid zijn om te luisteren.
Stefanie: Vaak vertelden CISO's de verhalen en was alles kommer en kwel. Ik denk dat je een veel meer op risico's gebaseerde benadering kiest, waarbij je het bedrijf helpt toekomstige risico's te begrijpen en hen helpt zowel de waarschijnlijkheid als de impact te begrijpen en hen adviseert over het nemen van de juiste beslissingen, zoals het verplaatsen van die afdeling van nee naar meer van dat adviserende rol helpt denk ik. Hoe meer je die adviserende materiedeskundige wordt, ik denk dat je de rest van de organisatie mee kunt nemen. Ik denk dat dat een grote hulp is en het verschilt een beetje per CISO-vaardigheden hoe goed ze dat doen. Ik denk dat wanneer je dingen ook in positieve zakelijke termen kunt zeggen, dat helpt.
Er was een analist in mijn team die dit rapport schreef, het heette beveiliging voor winst, en daarin schetste hij manieren waarop beveiliging mogelijk een inkomstenbron voor het bedrijf zou kunnen zijn. Nogmaals, het kunnen functies met toegevoegde waarde zijn waarvoor mensen bereid waren meer te betalen, of het kan een onderscheidende factor worden in een product of dienst die u aanbiedt. Het zou dus daadwerkelijk kunnen bijdragen aan de omzet. En toen schetste hij ook alle manieren waarop het bedrijf geld kan besparen, behalve het vermijden van inbreuken en het vermijden van nalevingsboetes.
Er zijn allerlei manieren waarop, als u de beveiliging goed doet, dit de werknemerservaring drastisch kan verbeteren en de operationele kosten binnen het bedrijf kan verlagen. Identiteit is een van de grootste voorbeelden als je denkt aan het in dienst nemen van een medewerker en de mogelijkheid om alle manieren te automatiseren waarop je ze toegang geeft tot de systemen die ze nodig hebben. Wachtwoorden resetten. Ik bedoel, er is zo veel laaghangend fruit waarmee je het leven van je medewerkers gemakkelijker kunt maken, maar dan verlaag je echt de harde kosten.
Laurier: Ja. En dat is zeker iets waar je niet aan denkt, maar je bent zeker gefrustreerd als je je wachtwoord opnieuw moet doen en het een eeuwigheid duurt en/of je op een ander systeem moet gaan en bla, bla, bla. Maar dat soort stroomlijnen is niet alleen vanuit veiligheidsperspectief, maar zoals je al zei, het is vanuit ieders perspectief om hun leven gewoon gemakkelijker te maken, wat uiteindelijk elke medewerker wil.
Stefanie: Ja.
Laurier: Dus hoe blijven CISO's op de hoogte van de laatste trends? Ik bedoel, conferenties, die kleine groepen waar ze mee praten?
Stefanie: Ja, ik denk dat ze hun eigen onderzoek doen, of het nu gaat om publicaties zoals die van jou, bedrijven als Forrester, en ook andere grote soort strategieadviesbureaus. Ze doen wel hun eigen onderzoek. Ze sturen hun personeel vaak naar veel van de conferenties. En dan denk ik dat die peer-netwerkgroepen ook enorm helpen. Maar het is moeilijk om op de hoogte te blijven van elke mogelijke trend. Dus ik denk dat het altijd helpt om ook een soort extern advies te hebben, om je op de hoogte te houden van opkomende bedreigingen, opkomende risico's, opkomende naleving en regelgeving die overal ter wereld plaatsvindt.
Laurier: Ja, en dan, zoals je al zei, die peer group hebben om vertrouwen en een soort van transparantie te creëren door best practices te delen en gewoon verschillende verhalen te horen, zelfs als het van een vriend is die ik heb gehoord, om die waarschuwingen een beetje naar buiten te brengen verschillende organisaties en mensen. Daarover gesproken, is er behalve in deze peergroups veel samenwerking tussen overheid en bedrijfsleven? Zie je er meer van of blijven mensen zo goed als op hun pad omdat er andere conflicten zijn om je zorgen over te maken met bedrijven en overheden?
Stefanie: Ja. In de VS en eigenlijk andere landen, zoals het VK, moet u, als u wordt beschouwd als een kritieke infrastructuurindustrie, nauwe relaties hebben met federale overheidsfunctionarissen. Als je in kritieke infrastructuur zit, ik bedoel, er zullen branchespecifieke cyberbeveiligingsvoorschriften zijn die je moet volgen, weet je, als je in de energie zit. Ik bedoel, zelfs financiële diensten worden als kritieke infrastructuur beschouwd. Dus dan moet je als voorbeeld de NIST-richtlijnen volgen. Iedereen die zaken doet met de federale overheid zal NIST moeten volgen.
U wilt niet wachten om relaties aan te gaan met de federale overheid of specifieke instanties, zoals de FBI. U wilt niet wachten tot u iets vermoedt of een lek heeft. Of in veel gevallen is het omgekeerd, dat wil zeggen, ze hebben iets gedetecteerd, ze waarschuwen je ervoor. Soms kunnen ze je geen details geven omdat hun handen gebonden zijn als onderdeel van een groter onderzoek. U kunt dus van tevoren relaties ontwikkelen met veel van de Amerikaanse federale overheidsinstanties, zodat u informatie over bedreigingen kunt delen. Of nogmaals, als er echt iets gebeurt, heb je die reeds bestaande relaties al op hun plaats.
Laurier: Ja, en als we het hebben over iets dat al gebeurt en voorbereidingsplannen, zie je dat meer bedrijven die voorbereidingsplannen ontwikkelen voor, nogmaals, niet als, maar wanneer ze worden gehackt of een cyberaanval plaatsvindt en ze ermee naar buiten moeten?
Stefanie: Dus met incidentrespons is er een soort van interne incidentrespons, dat zijn een soort van alle processen die u moet detecteren, vervolgens verhelpen en vervolgens reageren. En veel van het reageren is meer van wat we een soort forensisch reageren noemen: precies bepalen wat er is gebeurd, het herstellen, mogelijk forensisch bewijs verzamelen als je besluit dat je daadwerkelijk juridische stappen gaat ondernemen, afhankelijk van wie het daarna was . Dan is er nog de externe reactie, en je hebt beide echt nodig. Je hebt echt een geavanceerde respons op incidenten, processen en initiatieven nodig binnen het bedrijf met toegewijde experts, vooral als je een grote onderneming bent.
Maar ik denk dat bedrijven vaak echt ten onder gaan bij het reageren op externe inbreuken. En nogmaals, de regelgeving vereist dat als het consumentengerelateerd is, als het individuen betreft, u hen binnen bepaalde dagen op de hoogte moet stellen. In veel gevallen is het 30 dagen. Onder de AVG in Europa is dit 72 uur of minder. En we hebben gezien dat bedrijven de externe reactie op een inbreuk royaal verknoeien, wat betekent dat ze terughoudend waren in het aanbieden van informatie aan consumenten.
Ik wil bedrijven niet bekritiseren, omdat het beschuldigen van slachtoffers vaak niet zo nuttig is, maar ik heb gezien dat bedrijven de consument op een bepaalde manier de schuld geven door te zeggen: 'O, als u een betere wachtwoordhygiëne had, als u als je je eigen rekeningen veel nauwer in de gaten zou houden, zou dat niet zo'n grote impact hebben.' Nee. Je moet empathie tonen voor je klanten. Zet ze op de eerste plaats. Doe er alles aan om ze te beschermen. Wees niet terughoudend bij het delen van informatie vanwege CYA-problemen. En in sommige gevallen, als je het goed doet, is het een kans om hun vertrouwen niet te verliezen, maar mogelijk zelfs om het te versterken en op te bouwen, als je hen op de eerste plaats hebt gezet. Maar je kunt het echt verknoeien en de inbreuk zo veel erger maken dan nodig was.
Laurier: En dat heeft het bedrijf alleen maar meer geld gekost.
Stefanie: Precies.
Laurier: Als je terugkijkt op 2019 en er valt veel te praten over cyberbeveiliging, als we een beetje naar drie specifieke gebieden kijken, zijn de eerste alleen cyberaanvallen, maar heel specifiek op steden en gemeenten. Dus New Orleans was de meest recente, vanaf het einde van het jaar, die we kennen, maar het zat ook op de hielen van de staat Louisiana met een cyberbeveiligingsaanval. We weten dat het in het hele land gebeurt. Dus om een zeer beladen vraag te stellen: waarom worden steden en gemeenten het doelwit van cyberaanvallen als ze niet per se de best gefinancierde outfits zijn?
Stefanie: Ja. Dus daarom, want het zijn gemakkelijke doelwitten. Dus als ze hun beveiligingsinspanningen jarenlang hebben ondergefinancierd, dan zijn ze veel gemakkelijker binnen te dringen en vervolgens om losgeld te vragen, zelfs als het losgeld klein is.
Laurier: Het is beter dan niets.
Stefanie: Het is beter dan niets. Dat is eigenlijk de consensus van veel van het team, dat zoveel van deze lokale, stads- en deelstaatregeringen en gemeenten zulke gemakkelijke doelwitten zijn omdat ze jarenlang ondergefinancierd en onderbemand zijn geweest. En meestal is er financiële motivatie, maar er zijn ook andere soorten motivatie. Het kan politiek, sociaal zijn. Als je bij een groter soort staten of federaal agentschap komt, zou je zelfs geopolitiek en zelfs militair kunnen worden in een deel van de natuur.
Eigenlijk, de stad New Orleans, wat interessant was, was dat de aanvallers niet om losgeld vroegen. Dus gebruikten ze ransomware om ze uit te schakelen. Alles was versleuteld en dwong hen. Ik denk dat ze tonnen computerinfrastructuur aan het vervangen waren. Het kan erg moeilijk zijn om back-ups te herstellen. We zeggen dat zo luchthartig, zoals: 'Oh, herstel gewoon van je back-ups.' De meeste back-ups zijn compleet met fouten en de mogelijkheid om op grote schaal te herstellen van een back-up is eigenlijk heel, heel moeilijk. En wie weet wanneer de ransomware daadwerkelijk is geïntroduceerd? Dus dan installeer je gewoon de ransomware opnieuw.
Laurier: Interessant.
Stefanie: Maar ja. Voor zover ik weet, hebben ze niet echt om losgeld gevraagd. Dus hun motivatie was niet financieel. Dus het had kunnen zijn...
Laurier: Gewoon storing.
Stefanie: ... gewoon verstoring omwille van het.
Laurier: Om te zien of ze het konden, ja.
Stefanie: Of interessant genoeg las ik dit artikel waarin het de stad dwong een hoop computerinfrastructuur, laptops, desktops, serverinfrastructuur te vervangen. Dus er is een deel van mij dat zich afvraagt: 'Oh, het kunnen stadsmedewerkers zijn. Ik weet hoe ik de stad moet laten upgraden.'
Laurier: Juist, juist. Forceer ze.
Stefanie: Forceer ze.
Laurier: Door alles kapot te maken.
Stefanie: Ja. Het zijn dus gemakkelijke doelwitten en de motivaties voor de aanval zijn zeer uiteenlopend, denk ik, als het gaat om kritieke infrastructuur en vervolgens stads-, staats- en lokale overheden.
Laurier: En dat is niet per se wanneer er losgeld wordt gevraagd, dat je er ooit achter komt waar ze vandaan komen of wie ze zijn, of dat het buitenlandse staatsactoren zijn.
Stefanie: Ja, je hoeft het niet per se te weten.
Laurier: Je zult het nooit weten. Het is maar een gok.
Stefanie: Ja. We hebben dit jaar zelfs een controversieel rapport uitgebracht waarin stond dat organisaties in sommige gevallen zouden kunnen overwegen het losgeld te betalen. Ik zal eerlijk zijn, ik denk dat het voor stads-, staats- en lokale overheden mogelijk wordt verboden om het losgeld te betalen. Ik weet het niet. Ik zou dat moeten onderzoeken, maar bedrijven in de particuliere sector, hoewel ik zeker weet dat de FBI en andere wetshandhavingsinstanties dit liever niet doen, kan het in sommige gevallen zelfs zinvol zijn. En cyberverzekeraars zouden zelfs zeggen dat het in sommige gevallen zinvol kan zijn. En er zijn zelfs bedrijven die gespecialiseerd zijn in het helpen van bedrijven om het losgeld te betalen. Soms kun je zelfs onderhandelen over een lager losgeld. Het is als ruilhandel. Ze fungeren als de tussenpersoon tussen de verschillende personages in het bedrijf. Uiteraard betaal je ze in een cryptocurrency. Je maakt niet alleen contant geld over.
Laurier: Natuurlijk.
Stefanie: Dus ook dat kunnen ze faciliteren. Ik bedoel, als je kijkt naar de stad Baltimore, wat ze uiteindelijk uitgaven om te herstellen van de ransomware-aanval was waarschijnlijk honderd keer meer dan het daadwerkelijke losgeld. Ik ben de cijfers vergeten, maar het verschil was belachelijk.
Laurier: Dus wat advies aan steden en gemeenten zou zijn om echt naar uw systemen te kijken en te proberen ze op de een of andere manier up-to-date en beschermd te krijgen.
Stefanie: Ja. Zeker bij ransomware, zorg ervoor dat al je systemen up-to-date zijn, gepatcht. Als je kijkt naar de meest succesvolle aanvallen, externe aanvallen, dan profiteren ze van kwetsbaarheden en andere soorten software-exploits. Het is niets bijzonders. Iedereen houdt er altijd van om geavanceerde aanvallen of door de staat gesponsorde aanvallen te gebruiken. De realiteit is dat de meeste van deze aanvallen vrij laag budget zijn, maar toch effectief.
Het andere is om uw back-ups goed te bekijken. Ik kan het niet genoeg benadrukken. Mensen kijken altijd naar hun back-ups. Het wordt dit standaard IT-proces waar niemand ooit naar kijkt of mensen het vernederen en het niet belangrijk noemen. Het kan vandaag belangrijker zijn als u het losgeld niet wilt betalen.
****
Laurier: Cyberbeveiliging gaat niet alleen over het stoppen van de bedreigingen die u ziet. Het gaat over het stoppen van degenen die je niet kunt zien. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts in dienst en gebruikt het AI om te helpen anticiperen, identificeren en elimineren van bedreigingen, zodat u zich kunt concentreren op de groei van uw bedrijf en Microsoft Security zich kan concentreren op het beschermen ervan. Lees meer op microsoft.com/cybersecurity.
****
Laurier: Dus een ander interessant onderwerp dat uit 2019 kwam, waren gewoon algemene datalekken. Dus 2019, het leek er echt op dat om de dag een bedrijf of iemand een datalek aankondigde. En dan, volgens Risk Based Security, werden in 2019 meer dan zeven miljard records blootgelegd. Dus als we terugkomen op CISO's, hoe reageren CISO's en bedrijfsleiders daar echt op als 2019 een soort van dit jaar was waar we [zoveel] inbreuken hebben gezien, in één jaar?
Stefanie: Ja. Ik denk echt dat 2019 eindelijk het jaar van inbreukmoeheid was. Ik bedoel, het was zelfs moeilijk voor ons om elke inbreuk die in het nieuws kwam bij te houden. Ik denk dat het helpt om het in perspectief te zien. Niet elk van deze inbreuken was een aanval. Veel van hen waren eigenlijk het resultaat van onbedoelde blootstellingen. Dus als je bijvoorbeeld cloudopslag verkeerd hebt geconfigureerd, wordt dat eigenlijk als een inbreuk beschouwd, ook al is er niet per se enig bewijs dat een derde partij of externe aanvaller of organisatie de gegevens daadwerkelijk heeft misbruikt of misbruikt. Alleen al het feit dat iemand intern, of vaak de beveiligingsonderzoeker, ontdekt dat alle informatie minder openbaar was. Dat wordt gezien als een overtreding.
Maar ja. Als je kijkt naar de inbreuken zelf, had 51% van de bedrijven het afgelopen jaar minstens één inbreuk. En dat aantal is waarschijnlijk hoger omdat veel organisaties er niet meteen van op de hoogte zijn. Maar een groot percentage daarvan, eigenlijk de meerderheid, is intern, het gevolg van interne incidenten, incidenten van derden of gewoon verloren of gestolen apparaten. En als je kijkt naar echte externe inbreuken, waarbij het een externe partij was die je aanviel en toegang kreeg tot je gevoelige gegevens, om terug te komen op veel van zijn lage budget, waren de top drie aanvalsvectoren een directe aanval op je applicatie, misbruik maken van een softwarekwetsbaarheid of gecompromitteerde gebruikersreferenties.
En die drie, als je ernaar kijkt... Ik haat het om luchtig te zijn en te zeggen dat het gemakkelijk op te lossen is, maar er is niet per se de meest geavanceerde softwaretechnologie voor nodig, maar het is veilige applicatie-ontwikkeling. Om terug te komen op onze hele productontwikkeling en -ontwerp, het is er gewoon voor zorgen dat de applicaties die u ontwikkelt en die gericht zijn op de klant, door hun ontwerp veilig zijn - dat u er vanaf het begin beveiliging in inbouwt. Dat zal een groot deel van de directe aanvallen op applicaties verminderen. En dan, als de applicaties eenmaal in productie zijn genomen, opnieuw, ze worden beschermd met alles van webapplicatie-firewalls tot andere soorten beveiligingsmaatregelen die de applicatie en beveiligingen als het ware omhullen.
Het andere is software-exploitatie. Zoveel aanvallers maken gewoon misbruik van kwetsbaarheden die niet zijn aangepakt. Dus het hebben van een echt sterk programma voor kwetsbaarheidsbeheer - niet het meest sexy onderwerp ter wereld, kwetsbaarheidsbeheer, maar bedrijven hebben niet echt een goede manier om prioriteit te geven aan kwetsbaarheden en deze vervolgens aan te pakken.
Laurier: En dat is laaghangend fruit.
Stefanie: Zo laaghangend fruit. En dan het compromitteren van gebruikersreferenties, multi-factor authenticatie.
Laurier: Ja. Ga naar je telefoon. Typ het wachtwoord. We zijn er echter behoorlijk aan gewend geraakt.
Stefanie: Rechts. En zo vaak met deze grote inbreuken ... en we schreven dit jaarlijkse rapport met geleerde lessen en het werd bijna vervelend omdat ik steeds hetzelfde advies bleef geven, zoals veilige app-ontwikkeling, kwetsbaarheidsbeheer, het meest versleutelen gevoelige gegevens die u hebt en vervolgens tweefactorauthenticatie en vervolgens een robuust detectie- en incidentresponsprogramma. Er is dus nog steeds laaghangend fruit. Ik bedoel, we praten zoveel over geavanceerde aanvallen en het toenemende aanvalsoppervlak en dat is waar, maar nogmaals, we hebben nog steeds niet zoveel basiszaken behandeld.
Laurier: En die basis, zoals je zei, je schrijft er al jaren over. Denk je dat sommige van deze meer opvallende aanvallen kleur toevoegen en misschien de aandacht van mensen trekken op een manier dat ze bereid zijn om daadwerkelijk een deel van een IT-budget te besteden aan kwetsbaarheid?
Stefanie: Zij doen. Wat betreft uw punt over multifactor-authenticatie, ik denk dat dat nu een uitgemaakte zaak is geworden en een geaccepteerde beste praktijk is - u moet het hebben. Het heeft even geduurd. Het moest breuk na breuk zijn. Het moest de industrie zijn die zei twee-factor, twee-factor, twee-factor. Zelfs consumententechnologiebedrijven vertellen hun klanten: 'Zet twee-factor aan, zet twee-factor aan.' Dus ik denk dat hoe meer we sommige van deze best practices herhalen, hoe meer ze uiteindelijk ingesleten raken. Ik hoop dat hetzelfde zal gebeuren met veilige applicatie-ontwikkeling.
En dan is kwetsbaarheidsbeheer, nogmaals, het hebben van een manier om prioriteit te geven aan de kwetsbaarheden die u moet aanpakken, erg belangrijk. En elk jaar worden duizenden kwetsbaarheden toegevoegd aan de National Vulnerability Database, waarvan 30% als kritiek wordt beschouwd. Dus dat helpt niet. U hebt intern een proces nodig om de kwetsbaarheden verder te prioriteren op basis van uw eigen bedrijfscontext, IT-context, uw eigen bedreigingsomgeving om u te helpen het systeem te patchen.
Laurier: Want anders is het gewoon...
Stefanie: Het zou overweldigend zijn.
Laurier: Zo overweldigend.
Stefanie: Ja.
Laurier: Ik denk dat banken en de banksector een van de sectoren zijn die in de loop van de tijd twee-factor-authenticatie afdwingen. Zie je bepaalde industrieën dat doen met het beveiligen van applicaties of het bouwen van veilige apps?
Stefanie: Veilige apps bouwen, wie denk ik dat de leiding heeft? Dat is een goede vraag. Ik weet niet of een andere branche er echt uitspringt. We hebben onlangs dit beveiligingsrapport over de stand van zaken gemaakt en het was een behoorlijk eye-opener, maar ook somber. Het was geen feelgood-verslag. En toen hebben we er een branchespecifieke versie van gemaakt waarin we de gegevens filterden die we van de overheid hadden. En de federale overheid was nog erger dan de particuliere sector, dus dat is behoorlijk zorgwekkend. Ik denk dat de sectoren die mij misschien het meest zorgen baren de gezondheidszorg en de overheid zijn.
Laurier: En dat zijn er twee die de meeste mensen waarschijnlijk vaker gebruiken dan bijna al het andere.
Stefanie: Rechts.
Laurier: Ja. De gezondheidszorg is helemaal geen kleine zorg. Het idee van ziekenhuisgegevens, persoonlijke gegevens, maar ook PII [persoonlijk identificeerbare informatie] en gewoon toegang krijgen tot systemen en machines. Is alles een zorg? Als alles een zorg is, hoe geef je dat dan eigenlijk prioriteit als je een zorginstelling bent?
Stefanie: Ja. Ik denk dat bij de gezondheidszorg lange tijd zoveel nadruk lag op het voldoen aan HIPAA. Over VS specifiek gesproken. In de VS lag zoveel nadruk op het naleven van HIPAA, zelfs de CISO's waren een beetje gefocust op HIPAA in tegenstelling tot echte cyberbeveiliging. Historisch gezien hebben we dus vaak geconstateerd dat de gezondheidszorg helaas minder aan beveiliging uitgaf dan andere sectoren. En nogmaals, als ze een CISO hadden, ontdekten we vaak dat hij of zij niet hoog genoeg rapporteerde in de organisatie of de juiste span of control had. Dat is aan het veranderen. Ik denk dat waar de gezondheidszorg ook worstelt, zelfs als ze enkele van de historische budgetproblemen aanpakken die ze hadden, het een industrie is die worstelt met kosten. Als je een dollar te besteden hebt aan een klinisch systeem versus cyberbeveiliging, dan is dat een hele moeilijke keuze, vooral in de VS, waar we zoveel uitgeven aan gezondheidszorg, maar nog steeds de slechtste resultaten van de gezondheidszorg hebben van alle ontwikkelde landen. Dat is de echte strijd: beveiliging vereist een behoorlijk budget om het goed te doen.
Ja. Dus de gezondheidszorg, dat is wat mij zorgen baart, is dat ze achterlopen op andere industrieën in termen van algemene volwassenheid, maar ik denk dat dat aan het veranderen is. Ik denk dat het volgende gebied dat mij waarschijnlijk zorgen baart binnen de gezondheidszorg de beveiliging van medische apparatuur en applicatiebeveiliging is.
Laurier: Ja, dat is een heel ander, eng onderwerp, toch? Tot slot, waar ik vanaf 2019 aan dacht, is dat dit onderwerp breed en groot is, maar ook erg belangrijk voor de meeste bedrijven die daadwerkelijk een fysiek item produceren of dingen van de ene plaats naar de andere verzenden, namelijk aanvallen op de toeleveringsketen. Als de toeleveringsketen van een bedrijf zo erg lang en ingewikkeld is, hebben we het niet alleen over het beveiligen van, ja, je fysieke pand of cloud. Het is ook het product. Waar het vandaan komt, waar het naartoe gaat, en dan ook de verkopers.
Stefanie: De onderdelen.
Laurier: De componenten en de leveranciers waarmee u werkt.
Stefanie: Ja. Ik denk dat veel daarvan zal beginnen met het algemene risico van derden. Risico van derden en risico van de toeleveringsketen, ik bedoel, toeleveringsketen is een soort subset van het algemene risico van derden. Over het algemeen zou ik zeggen dat het risico van derden een van de top vijf uitdagingen is geweest waar veel van onze CISO-klanten - ze praten met ons over de afgelopen jaren. Nogmaals, als je kijkt naar de datalekken, bijna een goede 25% tot 30%, ergens in dat bereik van datalekken is het resultaat van derden. En een typische grote onderneming zou wel 300 relaties met derden kunnen hebben als je niet alleen leveranciers bij elkaar optelt, maar dan denk je aan IT-serviceproviders, cloudproviders. Ik heb ooit een bedrijfsimpactanalyse gedaan waarbij ik alle relaties met derden inventariseerde voor een echt middelgrote organisatie, duizend werknemers. En ik vond zo'n 30 relaties met derden waar de IT-organisatie niets van af wist.
Laurier: Oh Allemachtig.
Stefanie: En dus breng je dat nu naar een grote onderneming. Dus ik denk dat veel ervan terug zal komen als je kunt beginnen met het kernprogramma voor risico's van derden. Een, heb je er een? Is beveiliging ingebed in het risico van derden? Hebben ze vetorecht over relaties met derden? En het is niet zomaar een eenmalige evaluatie van de beveiligingshouding van derden. Het is ook een voortdurende relatie waarbij je ze periodiek opnieuw beoordeelt. Er zijn veel vereisten om te definiëren, zoals serviceovereenkomsten rond beveiliging met derden. Het begint dus allemaal met basisrisicobeheer door derden. En dan denk ik dat het zich ook zal uitstrekken tot supply chain-risico's.
Laurier: En je zult dat waarschijnlijk zien bij de mensen of bedrijven die eigenlijk alleen maar best practices vertonen. Ze pushen dat stroomafwaarts naar al hun leveranciers. Dus als u verwacht met ons samen te werken, moet u deze procedures volgen.
Stefanie: Precies.
Laurier: OKE.
Stefanie: Precies. Ja. Ik wilde dit rapport al een tijdje schrijven, dat wil zeggen, voor zakelijk succes op de lange termijn, handelen als een inbreukbedrijf. Bedrijven die daadwerkelijk mega-inbreuken hebben gehad en de eerste nasleep hebben overleefd, hebben na ongeveer vijf jaar daadwerkelijk bedrijfsresultaten die vaak beter zullen presteren dan de S&P 500. En als je teruggaat en je kijkt naar veel van wat ze hebben Als het klaar is, worden ze gedwongen om zowel zeer moeilijke zakelijke als IT- en beveiligingsbeslissingen te nemen. Dus vanuit een zakelijk perspectief, zal het hen dwingen om veel van hun strategische initiatieven opnieuw te prioriteren, omdat de inbreuk hen uiteindelijk $ 300 miljoen, $ 500 miljoen, zelfs $ 1 miljard heeft gekost. Het dwingt hen dus om veel harder te kijken naar hun algemene bedrijfsstrategie en hun bedrijfsvoering, omdat ze gewoon niet het geld hebben om aan alles uit te geven. Of in sommige gevallen moeten ze zich losmaken van slechte beslissingen waar ze steeds maar geld in stopten.
Vanuit een IT-perspectief zullen we zien dat ze dingen implementeren die ze altijd al hadden moeten doen. Risico van derden. Ik had een bedrijf dat een inbreuk had en zei dat je na de inbreuk, weet je, geen potlood kon kopen zonder...
Laurier: Goedkeuring.
Stefanie: Goedkeuring. En zo extreem wil je niet gaan, maar vooraf was duidelijk dat ze geen derde partij risico liepen. Of ze huren de CSO in of ze veranderen waar de CSO rapporteert, beginnen met het financieren van incidentrespons- en inbreukresponsprogramma's. De inbreuk dwingt hen dus om een veel volwassener en beter bedrijf te zijn. Het is alleen jammer dat ze door de bres moesten om daar te komen.
Laurier: Om daar te komen. Ik denk dat dat is waar elk bedrijf op een bepaald moment waarschijnlijk naar zou moeten kijken, doen we eigenlijk alles wat we zouden moeten doen op de juiste manier? Wat is de stand van zaken, de staat van het bedrijf? en goed kijken. Maar ik ben er zeker van dat je ook niet erg populair zou worden als dit slechts een oefening was.
Stefanie: Ja.
Laurier: Als je door een vreselijke inbreuk op de beveiliging gaat, heb je een soort excuus. Dus we komen een beetje terug op het hele ding, wanneer er iets vreselijks gebeurt, heb je nu een excuus om ...
Stefanie: Ik denk dat maturiteitsbeoordelingen daar helpen. Ik bedoel, er zijn veel branchespecifieke volwassenheidsbeoordelingen voor cyberbeveiliging. Bij Forrester hebben we onze eigen maturiteitsbeoordelingen. Dus we zullen vaak merken dat klanten dat als uitgangspunt nemen, en dan kunnen ze naar het bestuur gaan en ze gaan naar hun bedrijfs- en IT-managers en zeggen: 'Kijk, tegen de beste praktijken in de sector in, hier zijn we volwassen , en hier zijn we echt zwak.' En dan helpt dat hen ook om roadmaps te maken en vervolgens financiering voor specifieke initiatieven te rechtvaardigen, omdat je kunt zeggen dat het onze volwassenheid zal verbeteren van een 1,5 naar een 3. En dit is echt, voor onze branche, we moeten op zijn minst een 3 op dit gebied.
Dus ik denk waar je het over hebt, neem die basislijn tegen de beste praktijken in de sector en kies een volwassenheidsbeoordeling, weet je wel - die van Forrester, een ander adviesbureau. Maar stel uzelf op de hoogte van uw beveiligingshouding, communiceer de resultaten, werk samen met het bedrijfsleven om realistische doelen te stellen over waar u als bedrijf en branche zou moeten zijn. En dan is dat echt bepalend voor uw routekaart en veel van uw financiering. Dus het geeft je een echt noorden om naar te wijzen.
Laurier: En het helpt je op weg om beveiliging als onderscheidend element te hebben.
Stefanie: Precies.
Laurier: Ja. Dus in 2020 zullen we daar waarschijnlijk meer van zien. Maar nog een paar zorgwekkende toevoegingen. We hebben slechts kort geopolitiek aangeroerd. Het einde van het jaar liet ons een beetje een hobbelige weg zien, specifiek met Iran. Dus hoeveel denk je dat gemiddelde bedrijven zich zorgen maken over geopolitiek, of is het gewoon een slechte acteur die hun kant op komt die ze nodig hebben om de veiligheid op te krikken?
Stefanie: We hadden dit rapport eigenlijk al geschreven, ik wil in eerste instantie zeggen in 2016, en het was voor CISO's. En de titel ervan was Negeer geopolitiek risico op eigen risico. En het was dit idee dat CISO's echt wakker moesten worden voor de cyberbeveiligingsimplicaties van geopolitieke risico's. Dus ja, het is Iran vandaag. Het zou in de toekomst een ander land kunnen zijn. Zelfs als je denkt dat, oh, ik zit niet in de regering, ik zit niet in kritieke infrastructuur, organisaties uit de particuliere sector worden voortdurend het doelwit. Nogmaals, in sommige gevallen omdat ze gemakkelijke doelwitten zijn, omdat je zaken doet met de federale overheid.
U moet zich dus wel zorgen maken over geopolitieke risico's. En nogmaals, voor veel grote ondernemingen waar u multinationaal bent, moet u nadenken over de impact ervan op uw werknemers, uw kantoren, de derde partijen waarmee u zaken doet. Dus alsof maatschappelijke organisaties nog niet genoeg te doen hebben, moeten ze wel rekening houden met geopolitieke risico's. Hoe vergroot het het risico? Maakt het hen meer een doelwit? Interessant genoeg, als je naar enkele van de inbreuken kijkt, ken je bijvoorbeeld Marriott. Anthem, ik ben vergeten of dat ongeveer drie jaar geleden was. Ze zouden niet hebben gedacht dat ze het doelwit waren van een natiestaat, maar het waren hun gegevens die ze wilden.
Laurier: Natuurlijk. En lopen dat soort selectiekadernamen meer risico of is het eigenlijk gewoon, ja, je hebt geweldige gegevens?
Stefanie: Ik denk dat het minder om de naam ging en meer om, in die specifieke gevallen, om de gegevens die ze hadden. Weet je, in het geval van Marriott hadden ze ongelooflijk gedetailleerde informatie over de reisgewoonten van overheidsmedewerkers en hoge functionarissen. Ik denk dat ze in sommige gevallen zelfs kopieën van hun paspoortnummers hadden als onderdeel van de gevoelige gegevens die waren gecompromitteerd.
In het geval van Anthem heb je gevoelige medische informatie over individuen. U moet wel nadenken over geopolitieke risico's en hoe een natiestaat uw gegevens zou kunnen gebruiken.
Laurier: Er is daar zeker veel. Maar hoe zit het met de binnenlandse politiek en risico's? 2020 is een verkiezingsjaar. Maar behalve de beveiliging van de stembus, welke andere soorten speciale belangengroepen en campagnes verzamelen mogelijk gegevens die kunnen worden getarget?
Stefanie: Ja, ik bedoel, dat is een interessante. Nou, nogmaals, het vermogen om kiezers te targeten is erg krachtig. Dus nogmaals, als u een consumentenorganisatie bent die zeer gedetailleerde informatie heeft over individuen, zoals voorkeuren, voorkeuren, gewoonten. Mogelijk niet noodzakelijkerwijs gebruikt voor snode doeleinden, zoals identiteitsdiefstal. Maar nogmaals, het kan worden gebruikt door iemand die die individuen wil targeten en beïnvloeden. Dus ik kan zeker, nogmaals, zien dat als je een consumentenbedrijf bent dat ongelooflijk gedetailleerde gegevens heeft over voorkeuren, koopgedrag, attitudes, dat alles zeker echt rijp zou zijn voor targeting.
Laurier: Evenals aanvallen zoals deepfakes, toch?
Stefanie: Ja.
Laurier: Dus zou je zeggen dat deepfakes het nieuwe phishing zijn of is het slechts een voorproefje van phishing?
Stefanie: Smaak. Het is een soort van de volgende evolutie van social engineering. Alsof social engineering niet moeilijk genoeg was om aan te pakken, hebben we nu ook te maken met deepfakes. En ik heb het gevoel dat deepfakes veel sneller volwassen zijn geworden dan de industrie had verwacht. Ik bedoel, ik herinner me het lezen en luisteren naar podcasts en experts die zeiden: 'O, weet je, we zijn nog jaren verwijderd van deepfakes die experts echt voor de gek kunnen houden.' En ik heb het gevoel dat die tijdlijn ver weg was.
Laurier: Weg versneld.
Stefanie: Weg versneld.
Laurier: Dus Forrester heeft dit geweldige rapport genaamd Predictions 2020, en de voorspelling is dat deepfakes bedrijven volgend jaar meer dan een kwart van $ 1 miljard zullen kosten. Dus de technologie versnelt, maar ook de impact en schade.
Stefanie: Ja klopt. En ik denk dat er, net als bij een typische inbreuk, de directe kosten zijn. Dus als je nadenkt over je typische social engineering-aanvallen. Onlangs was het een Duits bedrijf dat iemand overtuigend in staat was om de stem van de CEO te vervalsen en ze overtuigden een andere leidinggevende binnen het bedrijf om iets van een kwart miljoen dollar aan hen over te maken. Er is dus een voorbeeld van uw volgende evolutie van zakelijke compromissen en social engineering-aanvallen. Dus je kunt je voorstellen dat het nog geavanceerder is, op grotere schaal, maar dan heeft het ook te maken met de gevolgen ervan. Bewijzen dat het een deepfake was, omgaan met de reactie op de inbreuk, hoe je ermee omgaat. We denken zeker dat de totale kosten ervan aanzienlijk kunnen zijn.
Laurier: Is dat iets dat verzekeringsmaatschappijen aankunnen of aankunnen?
Stefanie: Interessant genoeg, dat voorbeeld dat ik net gaf, dus het is een deepfake, alles gebeurde over of computerinfrastructuur. Het zou worden beschouwd als fraude in tegenstelling tot een externe aanval. Dus ik weet niet zeker of je cyberverzekering het echt dekt.
Laurier: Wauw.
Stefanie: En ik weet dat veel bedrijven dat doen als onderdeel van hun reactie. Er is een veronderstelling dat een groot deel ervan zal worden gedekt. Voor een grote onderneming is het niet ongebruikelijk om een cyberverzekering van $ 100 miljoen te hebben. Dus als u erop rekent dat u die $ 100 miljoen kunt gebruiken, afhankelijk van de aard van wat er precies is gebeurd. Als het geclassificeerd is als fraude, dekken ze het misschien niet.
Laurier: Wat zouden leidinggevenden kunnen doen? Ga terug naar geheime wachtwoorden en handdrukken of...
Stefanie: Ja, alle grappen terzijde. Als in die gevallen van overboeking of iets anders met gevoelige gegevens, die tweede factor, authenticatie, denk ik eigenlijk heel belangrijk is.
Laurier: Interessant. Het is duidelijk dat deepfakes, veel snel bewegende technologie, alles in beweging is en zo veel geavanceerder wordt. We hebben het dus niet alleen over de goeden die toegang hebben tot alle technologie. De slechteriken doen dat ook. Dus waar kijken we naar in een andere Forrester-voorspelling hier over bewapende kunstmatige intelligentie en machine learning? Het is een groot onderwerp, maar met zo'n snel voortschrijdende technologie en iedereen heeft toegang tot dezelfde tools, is er een wapenwedloop gaande, of moeten we gewoon allemaal op elkaar letten en het gewoon voor elkaar krijgen?
Stefanie: Ik denk dat het beide is. Ik bedoel veiligheid is een eeuwige wapenwedloop. Ik zal zeggen dat ik denk dat beveiligingsteams zeer snel machine learning en andere vormen van kunstmatige intelligentie moeten omarmen. Zo snel als de slechteriken zijn. Ik bedoel, er zijn enorme mogelijkheden om veel van onze kernprocessen op het gebied van beveiliging te automatiseren. Alles van detectie tot herstel tot de daadwerkelijke respons.
Machine learning gebruiken voor betere detectiemogelijkheden. Dus stel je voor dat we iets sneller zouden kunnen detecteren en dan zou zoveel meer van onze reactie geautomatiseerd zijn. Op dit moment is veel van wat we doen erg handmatig. De handleiding van de detectie, zoals beveiligingsteams vaak zijn, alsof je naar een typische SOC kijkt, ik bedoel, ze worden overspoeld met duizenden waarschuwingen. Proberen te begrijpen welke waarschuwingen belangrijker zijn dan andere, is moeilijk. Dus nogmaals, het is een soort van prioritering. Zoals het van cruciaal belang is om onmiddellijk te begrijpen welke echt snode en gevaarlijk zijn. En je kunt zoveel mensen aannemen als je wilt. Je zou het nooit kunnen bijhouden.
Laurier: Rechts.
Stefanie: Je hebt dus echt technologie nodig om dat voor je te doen. Maar als je eenmaal weet dat iets echt kwaadaardig is, nogmaals, het is nu een handmatig proces dat wordt gestart, wat betekent dat je de gebruikerswachtwoorden handmatig opnieuw moet instellen. U zou apparaten handmatig van het netwerk moeten isoleren. Alles gebeurt handmatig en in sommige gevallen hebben we nog veel stappen waarbij we om goedkeuring vragen. In de toekomst zou dat allemaal automatisch gebeuren. Je zou het bedrijfsleven nodig hebben om met je samen te werken om te zeggen: 'Oké, als het vanaf nu een bepaalde drempel bereikt, als we er voor 90% zeker van zijn dat dit kwaadaardig is, dan is het beveiligingsteam, alle processen zijn geautomatiseerd.' Alles wat ik zojuist heb beschreven, zoals het opnieuw instellen van wachtwoorden, het isoleren van apparaten, dat kan allemaal automatisch gebeuren. U hoeft niet te wachten op iemands goedkeuring.
Laurier: En tijd is van essentieel belang?
Stefanie: Ja, dus we moeten het hebben over bedrijven die een digitale transformatie moeten ondergaan om aan nieuwe klantverwachtingen en veranderende zakelijke eisen te voldoen. Ik denk dat beveiligingsteams hun eigen digitale transformatie moeten ondergaan, omdat alles wat we tegenwoordig doen zo handmatig en zo tijdrovend is. En als we cybercriminelen willen bijhouden die misbruik maken van deze technologieën, moeten we dat vroeg of laat doen.
Er was een bedrijf dat algoritmen voor machinaal leren gebruikte om individuen te targeten met meer geavanceerde social engineering-berichten en niet alleen het totale aantal mensen dat ze sociaal konden engineeren kon vergroten, maar ook het succes van de doorkliks exponentieel kon vergroten met machine learning en automatiseringstechnologieën. Dus ja, we moeten bijblijven.
Laurier: Zou je zeggen dat er nog andere specifieke trends zijn waar je naar kijkt voor 2020 of dingen die mensen in de gaten moeten houden?
Stefanie: Ik denk echt dat het risico van derden en de toeleveringsketen een groot, groot probleem zullen blijven. En dat is eigenlijk een ander gebied vanwege de omvang van het probleem. Als ik het heb over een onderneming met 300 relaties met derden, is dat slechts een gemiddelde. Er zijn grote bedrijven met zelfs een groter aantal, en het is erg tijdrovend om de houding te beoordelen, SLA's te onderhandelen, ze te blijven beoordelen, ze in de gaten te houden, logboeken van ze te krijgen zodat je begrijpt waar je gegevens zich bevinden. Dus alleen de risico-uitdaging van derden heeft zijn eigen soort automatiseringstools en supply chain-regels nodig. Ik denk dat de transformatie van het SOC ook in 2019 een issue zal blijven.
Laurier: Het veiligheidsoperatiecentrum?
Stefanie: Het veiligheidsoperatiecentrum. Alsof we geen vaardigheden en personeelstekort hadden. Zelfs als je alle mensen zou kunnen aannemen die je wilt, kun je de schaal en de uitdaging van de problemen niet bijhouden. Dus ook daar moet je automatiseren.
Laurier: Zie je bedrijven die automatisering eerst toepassen, misschien in de beveiliging, waar ze in andere delen van het bedrijf aarzelen?
Stefanie: Ja. En lange tijd was er een aarzeling om automatisering toe te passen, omdat de angst bestond dat ik een legitieme zakelijke transactie zou blokkeren. En weet je, historisch gezien had het beveiligingsteam er moeite mee om gezien te worden als een zakenpartner. Zij waren de afdeling van nr. En dus was er die gevreesde angst om mogelijk elke vorm van legitieme zakelijke transacties te blokkeren. Ik denk dat die angst nu weg is, gezien alle inbreuken die we hebben. Het bedrijf is als, 'Nee, je weet dat iets kwaadaardig is, je blokkeert het.'
Laurier: Rechts.
Stefanie: 'Of binnen een zeker vertrouwen, denk je dat het kwaadaardig is, blokkeer je het.' Er is dus zeker een openheid voor automatisering. Ik zal zeggen, er is een zin als do not automatiseer dom. Je kunt niet zomaar investeren in een automatiseringstechnologie als je fundamentele processen in je SOC mist. U moet dus uw SOC-activiteiten volwassen maken en volwassen processen hebben om ze vervolgens te automatiseren. Anders ben je gewoon dom aan het automatiseren. En in sommige gevallen is dat ook de reden waarom veel bedrijven zich tot managed services wenden.
Het overgrote deel van het beveiligingsbudget wordt nu besteed aan services. Of het nu gaat om adviserende, professionele beheerde services of beveiliging die daadwerkelijk als een service vanuit de cloud wordt geleverd. Het is verschoven van on-premise producten naar services. En ik denk dat een deel daarvan de behoefte weerspiegelt die beveiligingsteams nodig hebben, ze hebben externe hulp nodig. Ze hebben een omvang van het probleem, ze hebben een expertiseprobleem, dus wenden ze zich steeds meer tot diensten. En naarmate het bedrijf meer en meer cloudgebaseerd wordt, moeten uw beveiligingstechnologieën ook cloudgebaseerd worden.
Laurier: En snel.
Stefanie: Precies.
Laurier: Ja. En dat komt zeker een beetje terug op, doe het niet alleen. Je kunt dit niet alleen doen in de wildernis.
Stefanie: Zeker niet.
Laurier: Nou, heel erg bedankt, Stephanie. Het was geweldig om je vandaag in het Business Lab te hebben.
Stefanie: Bedankt dat je me hebt. Het was geweldig om hier te zijn.
Laurier: Dat was Stephanie Balaouras, vice-president en groepsdirecteur van veiligheids- en risicoonderzoek en infrastructuur- en operationeel onderzoek bij Forrester Research, met wie ik sprak vanuit Cambridge, Massachusetts, de thuisbasis van MIT en MIT Technology Review, met uitzicht op de Charles River. Dank ook aan onze partner, Microsoft Security.
Dat was het voor deze aflevering van het Business Lab. Ik ben je gastheer, Laurel Ruma. Ik ben de directeur van Insights, de custom publishing-divisie van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology, en je kunt ons ook in gedrukte vorm, op het web en bij tientallen live-evenementen per jaar vinden. Kijk voor meer informatie over ons en de show op onze website, TechnologyReview.com. Deze show is overal beschikbaar waar je je podcasts vandaan haalt. Als je deze aflevering leuk vond, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te beoordelen. Business Lab is een productie van MIT Technology Review. Deze aflevering is geproduceerd door Collective Next. Bedankt voor het luisteren.
Beveiligingsbedreigingen zijn overal. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts die voortdurend controleren op bedreigingen om uw bedrijf te helpen beschermen. Meer op Microsoft.com/cybersecurity.
