211service.com
We denken helemaal verkeerd aan cyberbeveiliging
Michael Daniel heeft een unieke kijk op de chaotische wereld van cyberbeveiliging van vandaag. Vers van een periode van vier jaar als de beste cyberadviseur van president Obama, is Daniel nu president van de Alliantie voor cyberbedreigingen , een non-profitteam van cyberbeveiligingsbedrijven dat een platform bouwt voor het delen van informatie over veelvoorkomende bedreigingen. MIT Technology Review sprak Daniel vorige week op de Black Hat-computerbeveiligingsconferentie in Las Vegas. Wat volgt is een bewerkte transcriptie van de discussie.
Je hebt de cybersecurity-uitdaging gezien vanuit het perspectief van zowel de overheid als nu de particuliere sector. Hoe zou je het moment omschrijven waar we ons nu in bevinden?
Waar we ons nu bevinden, is dat steeds meer landen cybercapaciteiten beginnen op te nemen in hun instrumenten van staatsmanschap. We moeten erkennen dat het een instrument van staatsmanschap zal worden, niet alleen voor de VS en de high-end spelers zoals Rusland, China, Israël en Groot-Brittannië, maar voor bijna iedereen. Als gevolg hiervan moeten we gaan nadenken over hoe we gedragsnormen en verkeersregels opstellen, zodat dit niet destabiliserend werkt.
Zowel criminelen als natiestaten worden steeds geavanceerder in hun cyberoperaties. Welke rol kan de Cyber Threat Alliance spelen om dit aan te pakken?
Op het breedste niveau is CTA een organisatie voor het delen en analyseren van informatie, een organisatie die zich richt op de leverancier en de gemeenschap van cyberbeveiligingsproviders. Er is niet echt een andere organisatie die dit soort werk doet. In wezen gaat CTA over twee dingen doen. Ten eerste, kunnen we de manier waarop concurrentie plaatsvindt in de cyberbeveiligingsindustrie veranderen om het voor het geheel voordeliger te maken? In plaats van te blijven concurreren op mijn ontoereikende hoeveelheid gegevens die groter is dan uw ontoereikende gegevensverzameling, moeten we onze gegevensverzamelingen hebben gedeeld, en de concurrentie zou moeten zijn. Ik doe betere dingen met de gegevens - ik ben sneller, of Ik integreer beter met uw bedrijf, of ik begrijp uw bedrijfsmodel beter - wat het ook is. Dat is een hoger niveau van concurrentie. Iedereen zal er beter van worden.
Ten tweede kunnen we, door de informatie te combineren, effectievere manieren in kaart brengen om de slechteriken te ontwrichten, en dit in hun hele bedrijfsproces te doen. Dit gaat niet over een kind in zijn kelder; dat is niet de echte dreiging. Dit zijn organisaties die draaien als bedrijven, en we moeten erover gaan nadenken in termen van het verstoren van hun bedrijfsmodellen.
Maar zal die aanpak werken als de aanvaller een tegenstander van een natiestaat is?
Ja en nee. Op een bepaald niveau zou het idee om een draaiboek te maken net zo goed werken voor een tegenstander van een natiestaat. Nu zijn hun beweegredenen anders. De meeste natiestaten zijn bereid tijd en geld te investeren op een manier die een criminele organisatie niet wil en kan, dus de impact die u mogelijk kunt hebben, kan anders zijn. Maar je kunt ze nog steeds kosten opleggen en vertragen.
Maar uiteindelijk zal de private sector, gezien de aard van de dreiging, nieuwe manieren moeten vinden om met de overheid samen te werken op deze punten. Hoe kunnen we op beleidsgebied innoveren om dat mogelijk te maken?
Ik kan u twee voorbeelden geven. We hebben geleerd dat als u uw pensioensysteem opt-in maakt, u over het algemeen een opnamepercentage van 45 tot 50 procent krijgt onder uw werknemers. Als u uw pensioensysteem echter afmeldt, krijgt u een opnamepercentage van 95 procent. Er is geen technisch verschil tussen die twee dingen, maar vanuit een processtandpunt leveren ze dramatisch verschillende resultaten op. Waarom? Vanwege de psychologie ervan. Mensen zijn lui. Als u ervoor zorgt dat ze een beslissing nemen, zullen ze een reden vinden om het niet te doen. Maar als de optie hier is, is dit goed voor u en u hoeft er alleen maar mee in te stemmen, slechts een klein percentage zal nee zeggen. Dus wat is het cyber-equivalent daarvan? Hoe maken we cyberbeveiliging afmelden in plaats van aanmelden?
Evenzo hebben we het idee dat cyberbeveiliging vergelijkbaar is met grensbeveiliging. Dat is niet logisch. Iedereen in cyberspace raakt iemand anders aan. Er is geen barrière of tussenpersoon. Dat betekent dat we met een heel ander model moeten gaan nadenken over cybersecurity en de relatie tussen overheid en bedrijfsleven. Misschien moeten we wat modellen lenen. Kijk bijvoorbeeld hoe we denken over natuurrampen. Bij een natuurramp begint de respons lokaal. Als het de lokale functionarissen begint te overweldigen, grijpt de deelstaatregering in. Als het verder gaat dan de staat, kunnen ze een beroep doen op wederzijdse hulp van andere staten. Als het verder gaat, grijpt FEMA in vanaf het nationale niveau. Wat is daar het cyber-equivalent van? Hoe doen we de overdracht en beslissen we of iets iets is wat de particuliere sector alleen kan en zou moeten doen, of iets waarvoor de federale overheid moet worden geholpen? We hebben nog niet de beleidstaal om te praten over wat die relatie is.