Start Empfohlen Warum sind wir gescheitert und was müssen wir tun?

Warum sind wir gescheitert und was müssen wir tun?

7
0


Beim Anschauen der jüngsten hochkarätigen und sehr kostspieligen Sicherheitsverletzungen habe ich begonnen, die Frage zu stellen: „Warum sind wir gescheitert und was müssen wir tun?“ Wir sind gescheitert. Als ich in die Dämmerung meiner Karriere in unserer Branche eintrete, sind wir nicht besser geworden – Sicherheitsverletzungen sind teurer, sie sind schwieriger zu beheben, die wirtschaftliche Zerstörung ist real und Menschen werden verletzt oder sterben infolge der Cybersicherheit Verstöße. Wieso den? Wo haben wir einen Fehler gemacht und was müssen wir tun, um das Problem zu beheben?

Die erste Frage, die ich mir stellte, war: „Was machen wir gut?“ Wir sind eine Branche mit unglaublich talentierten Menschen. Im Laufe der Jahre haben wir gelernt, zusammenzuarbeiten und Informationen auszutauschen (womit wir nicht angefangen haben), und wir haben keinen Mangel an Tools. Unsere Werkzeugkiste ist mit Fähigkeiten bis auf die Kiemen gefüllt. Wir haben auch Vorstände und Führungskräfte, die Cyber-versierter sind als je zuvor. Als ich vor über zwei Jahrzehnten in unserer Branche anfing, konnte ich einem Vorstand nicht mit einer PowerPoint-Präsentation erklären, was Cybersicherheit ist. Jetzt sind sie alle besorgt über das Problem und achten darauf.

Wo sind wir also gescheitert? Ich habe nicht alle Antworten, aber ich habe ein paar Gedanken und würde mich über Ihre Perspektive zu diesem Thema freuen. Ich glaube in jedem Fall, dass wir versagt haben. Wir sind ungenauer als der Wettervorhersager, wenn es darum geht, Ergebnisse vorherzusagen, und wir bleiben erbärmlich zu kurz, wenn es darum geht, Schlimmes zu verhindern. Es ist nicht schlüssig, aber ich denke, es kommt auf fünf grundlegende Fehler an, die wir gemacht haben, seit ich vor über zwei Jahrzehnten in diesem Beruf angefangen habe:

  1. Verlorener technischer Vorteil — Wir haben vergessen, dass dies im Großen und Ganzen eine technische und technische Disziplin ist. Wir waren begeistert davon, mit „dem Geschäft“ zu sprechen und die Details des Risikos zu analysieren. Wir haben den technischen Vorsprung verloren, während unsere Gegner gleichzeitig „tief“ in die Technologie vorgedrungen sind. Wir begannen als eine Branche von „Geeks“ und haben uns erlaubt, eine Branche von Checklisten zu sein. Wir müssen zu unseren Wurzeln als technische Praktiker zurückkehren. Früher waren wir eine Industrie von Technikern, aber das haben wir beiseite gelegt.
  2. Nicht an Kriegsführung denken — Wir behandeln Cyber ​​nicht als echte Dimension der Kriegsführung. Wir haben eine Armee, Marine, Luftwaffe, Marine Corps, Küstenwache und vor kurzem haben wir eine Space Force gegründet. Aber wir haben Cyber ​​nie als Schlachtfeld behandelt – Cyber ​​hat sich als Methode für unsere Feinde herausgestellt, uns anzugreifen. Es macht Sinn – es ist asymmetrische Kriegsführung. Die meisten unserer Feinde würden es nicht bemerken, wenn wir das Internet in ihren Heimatländern abschalten, weil sie nicht in dem Maße von Konnektivität und Anwendungen abhängig sind wie wir. Wir haben die Atombomben, aber wir brauchen das Internet, um Lebensmittel zum Lebensmittelladen liefern zu lassen.
  3. Angst versus Tatsache — Mitte der 2010er Jahre hörten wir auf, über Bedrohungen zu sprechen. Wir waren besorgt über „Angst, Unsicherheit und Zweifel“. Wir hörten auf, darüber zu reden, was die Bösen taten, weil wir keine Angstmacher sein wollten. Das Problem dabei ist, dass wir uns nicht anpassungsfähig gemacht haben. Stattdessen haben wir uns mit 3- bis 5-jährigen Budgetzyklen selbstgefällig und uns in Bezug auf unsere Anpassungsfähigkeit in die Knie gezwungen. Mit anderen Worten, wir haben unseren Feinden ein Operationsfenster gegeben. Sie kennen unsere Frameworks (HIPAA, ISO, PCI, NIST) und haben herausgefunden, wie man die Schwächen dieser Frameworks ausnutzt, um uns Schaden zuzufügen. Wir kaufen Sicherheitsprodukte für 3-5 Jahre und die Bösen überlegen, wie sie in den nächsten 200-300 Tagen erfolgreich sein können.
  4. Grillen von unserer Regierung — Unsere Regierung hat uns im Stich gelassen. Versuchen Sie, in Kalifornien einzudringen, und sehen Sie, was passiert – der Feind würde mit einer erstaunlichen Menge militärischer Macht konfrontiert. Aber wir sind gegenüber laufenden Cyberangriffen desensibilisiert. Ich glaube, es ist ein direktes Ergebnis davon, dass den meisten unserer gewählten Beamten das Wissen über Cybersicherheit fehlt. Infolgedessen haben wir keine umfassende Haltung dazu, wie wir solche Angriffe angehen und abwehren sollten. Der Feind ist eine Gruppe von Hackern, während wir technisch unzulängliche Politiker haben, die öffentliche Richtlinien über eine Domäne schreiben, die sie nicht verstehen.
  5. Fehlende Standards — Unsere professionellen Standards spiegeln nicht die Ernsthaftigkeit unserer Branche wider. Ärzte haben Boards. Die Rechtsanwaltschaft hat die Rechtsanwaltskammer. Ehrlich gesagt sind unsere professionellen Zertifizierungen leichtgewichtig. Ich genieße es regelmäßig, Branchenleute zu befragen, die Alphabetsuppen-Zertifizierungen in ihrem Titel haben, aber funktional nichts darüber wissen, was wir beruflich machen.

Was müssen wir tun?

  • Das richtige Talent: Dies ist ein technischer und Ingenieurberuf. Trotz des „Talentmangels“ müssen wir aufhören, Checklisten-Experten einzustellen und kluge, talentierte, ingenieursorientierte Mitarbeiter einzustellen. Unsere Branche ist kein Hexenwerk, aber auch kein Damespiel. Wir brauchen Schachspieler.
  • Waffen unsere Antworten: Wir müssen Cyber ​​wie eine Dimension der Kriegsführung behandeln. Es gibt Feinde, Bedrohungen, Schwachstellen, Gegenmaßnahmen und Risiken. Wir müssen unseren Beruf wie ein Schlachtfeld behandeln. Wenn wir entschlossen sind, so zu tun, als ob es eine Geschäftsaufgabe wäre, die Papier drängt, werden wir weiterhin scheitern.
  • Fakten über Angst: Wir müssen aus dem Spiel „Ich will den Chef nicht erschrecken“ herauskommen und anfangen, über relevante Bedrohungen für die Unternehmen zu sprechen, die wir schützen sollen. Es ist kein FUD, über das zu sprechen, was der Feind tut. Es ist unsere Aufgabe, dies zu wissen, und wir müssen dies unseren nicht sicherheitsrelevanten Interessengruppen effektiv vermitteln.
  • Maßnahmen der Regierung: Wir brauchen unsere Regierung, um Cybersicherheit als eine Frage der nationalen Sicherheit zu behandeln. Wir brauchen eine öffentliche Politik, die anerkennt, dass der Privatsektor dieses Problem nicht allein lösen kann. Wir brauchen eine Außenpolitik, die unseren Feinden sagt, dass wir Cybersicherheit als eine Dimension der Kriegsführung betrachten, und als Land behalten wir uns das Recht vor, auf Cyberangriffe mit allen Methoden zu reagieren, die wir für notwendig erachten, einschließlich kinetischer Kriegsführung. Es ist fair für uns zu sagen: „Ich behalte mir das Recht vor, Sie zu bombardieren, wenn Sie die Benzinversorgung an der Ostküste absperren.“ Es ist fair, weil wir eine fortschrittliche und vernetzte Gesellschaft sind. Cyberangriffe sind für uns im Vergleich zu einem vergleichbaren Angriff auf die meisten anderen Länder unglaublich schädlich.

Cybersicherheit ist mein Lebenswerk. Wenn ich weg bin, werden die Leute darüber reden, wenn sie an mich denken. Ich liebe, was ich beruflich mache. Wir haben wirklich, ehrlich gesagt, bei unseren Jobs versagt. Dies ist mein Standpunkt, warum wir gescheitert sind und was wir dagegen tun müssen. Was ist Ihre Perspektive? Was sollen wir tun, um das Schiff aufzurichten und zu reparieren?

Bildnachweis: Leszek Glasner/Shutterstock

JR Cunningham ist Chief Security Officer, Nuspire. JR Cunningham ist ein versierter Innovator und führender Denker in den Bereichen Cybersicherheit und Risikomanagement mit nachgewiesener Erfolgsbilanz. JR Cunningham hat auf der ganzen Welt und in einer Vielzahl von Branchen wie Finanzen, Versicherungen, Gesundheitswesen, Bildung, Geheimdienste, Einzelhandel und Regierung. JR ist dafür bekannt, seinen IT-, Sicherheits- und Geschäftssinn zu nutzen, um branchenweit anerkannte Beratungspraktiken für Optiv und die Herjavec Group aufzubauen.



Vorheriger ArtikelDie besten Windows 10-Apps dieser Woche
Nächster ArtikelDas DOOGEE N100 ist ein sehr erschwingliches Telefon mit einem großen Bastard-Akku

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein