211service.com
Cybersäkerhet 2020: CISO:s uppkomst
Dataintrång lärde företag svåra lektioner under 2019. En viktig faktor: de behöver en informationssäkerhetschef, säger Forresters Stephanie Balaouras.
24 februari 2020
Tillverkad i samarbete med Microsoft säkerhet
När det nya året (och det nya decenniet) börjar är en sak säker: cybersäkerhet kommer att fortsätta att ha en ökande inverkan på affärer, på gott och ont. I det här avsnittet hör vi från Stephanie Balaouras, en cybersäkerhetsexpert som har pratat med tusentals kunder under sina 15 år på Forrester Research. Hon är vice vd och koncernchef för säkerhets- och riskforskning, samt infrastruktur- och operationsforskning.
Balaouras hävdar att alla företag bör ha en chef för informationssäkerhet, eller CISO, eftersom världen av cyberthot blir mer intrikat och farlig. 'Till och med företag som har en CISO bör ta en noggrann titt på hur högt i organisationen de rapporterar', säger Balaouras. 'Har de rätt budget? Har de tillräckligt med personal? Har du gett dem rätt kontroll?'
Balaouras granskar också några av de största cybersäkerhetstrenderna under 2019 och gör förutsägelser för 2020.
Business Lab är värd för Laurel Ruma, chef för Insights, den anpassade publiceringsavdelningen av MIT Technology Review. Showen är en produktion av MIT Technology Review, med produktionshjälp från Collective Next. Musiken är av Merlean, från Epidemic Sound.
Cybersäkerhet handlar inte bara om att stoppa de hot du ser. Det handlar om att stoppa de du inte kan se. Det är därför Microsoft Security anställer över 3 500 experter på it-brottslighet och använder AI för att förutse, identifiera och eliminera hot. Så du kan fokusera på att växa ditt företag och Microsoft Security kan fokusera på att skydda det. Läs mer på Microsoft.com/cybersecurity.
Visa anteckningar och länkar
Forrester Research: Cybersäkerhet
En CISOs guide till att leda förändring av Jinan Budge, Forrester Research
Behovet av komplett molnsäkerhet, en intervju med Stephanie Balaouras, på YouTube
Fullständig avskrift
Laurel Ruma: Från MIT Technology Review heter jag Laurel Ruma och det här är Business Lab, showen som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden.
Säkerhetshot finns överallt. Det är därför Microsoft Security har över 3 500 experter på it-brottslighet som ständigt övervakar efter hot för att skydda ditt företag. Mer på microsoft.com/cybersecurity.
Vårt ämne idag är cybersäkerhet och mer specifikt rollen som informationssäkerhetschefen, CISO. Vi kommer också att granska cybersäkerhetsnyheter från 2019 och se framåt mot cybersäkerhetstrender för 2020. Ett ord för dig: Deepfakes. Min gäst är Stephanie Balaouras som är cybersäkerhetsanalytiker och har pratat med tusentals kunder under sina nästan 15 år på Forrester Research. Stephanie är vice vd och koncernchef för säkerhets- och riskforskning samt infrastruktur- och driftsforskning. Stephanie, tack så mycket för att du pratade med mig på Business Lab.
Stephanie Balaouras: Tack.
Laurel: Så bara för att börja, 2017 publicerade Forester en rapport av Jeff Pollard, en medlem av ditt team, om karriärvägarna för CISOs, chefer för informationssäkerhet. Och jag gillar särskilt att prata om den här rollen eftersom den är så ny för C-sviterna i branschen. Om Citibank bara utsåg den första CISO någonsin, 1995, är det verkligen ny historia. Men om varje företag också är ett teknikföretag, varför har inte alla företag en CISO?
Stephanie: Om du tittar på historien om andra roller, som jag tror den första CMO, var marknadschef på 1950-talet du fortfarande hade företag 20, 30 år senare utan en CMO. Så när dessa framväxande roller först börjar, tar det lite tid för det att bli normen. Men jag kommer att säga att alla företag verkligen borde ha en CISO. Börsnoterade företag måste ha en CISO. Men vad vi ofta kommer att hitta är, beroende på företagets storlek, ibland kommer de undan med att kalla CIO också CISO eller någon annan IT-chef för CISO också. Så det är ganska vanligt med mindre företag – de kommer undan utan att ha en fristående roll.
Men vad du också kommer att upptäcka är om de har ett intrång eller någon form av större cybersäkerhetsproblem eller till och med en större överträdelse av efterlevnad som är datasäkerhetsrelaterad, det första de kommer att göra är att namnge en dedikerad CISO. Och sedan till och med företag som har en dedikerad CISO, när de har ett brott, många gånger vad som händer är att de inser att CISO inte rapporterade tillräckligt högt i organisationen eller inte hade rätt ansvarsområde eller tillräcklig budget eller tillräckligt många. Så då fixar de det. Namn CISO borde vara ett krav, men jag skulle säga att även företag som har ett CISO borde ta en ordentlig titt på hur högt i organisationen de rapporterar. Har de rätt budget? Har de tillräckligt med personal? Har du gett dem rätt span av kontroll?
Laurel: För det är en dyr fix, eller hur?
Stephanie: Ja exakt.
Laurel: Först efter en attack, måste vi se rollerna och ansvaret i ett nytt ljus, i ett mer ansvarsfullt ljus?
Stephanie: Exakt.
Laurel: Så om den perfekta CISO är lite av både en affärsman som kan prata direkt med VD:n, förklara nödvändigheten av säkerhet och riskreducering, men sedan också prata med kunder kanske liksom andra anställda och prata om säkerhet och hur den rollen är viktigt för företaget. Var kommer dessa människor ifrån? Var får de all denna utbildning?
Stephanie: När vi tittade på CISO:s karriärvägar, fann vi att de flesta av dem kom upp genom säkerhetsleden. Så vanligtvis började de som säkerhetsproffs. De fick årtionden av erfarenhet i rollen. Men vad vi ofta hittade är att majoriteten av dem ofta skulle gå tillbaka för examen, och de skulle faktiskt gå efter en handelsexamen. De fick ofta MBA, och det var för att de behövde uppfylla båda dessa krav, vilket är, ja, jag är en teknikchef, men samtidigt är jag en teknikchef som i ett stort företag rapporterar till styrelse på kvartalsbasis eller rapporterar direkt till CIO eller direkt till VD. Så det är definitivt en kombination av utbildning och erfarenhet.
Jag skulle säga att universiteten gör ett bättre jobb med att tillhandahålla grund- och forskarexamina i informationssäkerhet. Det finns vissa områden där de är otroligt svaga, som applikationssäkerhet inte lärs ut väl på grundnivå, om alls. Det är riktigt dåligt gjort. Den andra saken jag ska ta upp på universiteten är att de inte gör ett bra jobb med att rekrytera kvinnor till grund- och forskarutbildningar. Det finns en enorm kompetensklyfta såväl som en bemanningsfråga inom säkerhet, och på Forrester vill vi säga att det till stor del är självförvållat eftersom vi inte rekryterar från hälften av befolkningen, och vi rekryterar inte människor med olika bakgrunder. Vi har den här typen av individer som vi rekryterar från, och sedan blir vi chockade när vi inte kan hitta tillräckligt många personer med denna mycket smala kompetens, så.
Laurel: Ja, rapporten sa att nio av tio CISOs är män.
Stephanie: Exakt, precis. Vi har inte tittat på slutet av 2019 än, men de senaste åren har det varit sant. Och tittar man på personalen också så är det värre än den allmänna säkerhetsbranschen. Det är ungefär 11 % av säkerhetspersonalen är kvinnor. Det är värre än allmän IT. Allmän IT har också ett problem, men det är mer någonstans mellan 20% till 30%, så säkerheten är ännu värre.
Laurel: Så när vi pratar om bristande mångfald i säkerhet i allmänhet, hur försöker företagen svara på det? Ser du några särskilda företag som visar bästa praxis?
Stephanie: Det finns definitivt några bästa praxis. Jag har faktiskt sett många leverantörer, som stora teknikleverantörer, de samarbetar faktiskt med universitet och de samarbetar faktiskt till och med på gymnasienivå. Till exempel, med Girl Scouts of America, för att faktiskt främja program som gör tjejer upphetsade och intresserade av cybersäkerhet från en mycket ung ålder och sedan vill fortsätta att bedriva det på grund- och forskarnivå. På ett antal universitet finns det ganska aggressiva stipendieprogram.
Och sedan är det bara en hel del introspektion som händer på företagsnivå där vi ser på kulturen i säkerhetsteam. Vi tittar på många av de traditionella vägarna varifrån vi rekryterar, vilket är konferenser som är mansdominerade eller återigen, vi har dessa arbetsbeskrivningar som betonar mycket militär erfarenhet som exempel. Så det är ungefär som att bredda öppningen för människor som kommer att rekrytera till säkerhetsbranschen, en vilja att utveckla sina färdigheter samt att göra ett mycket bättre jobb med att faktiskt fylla tratten, fylla själva pipelinen på lång sikt.
Men till din punkt fattar olika team bättre beslut, och i det långa loppet presterar de bättre. Och sedan den andra saken jag skulle säga är att det finns så många lediga jobb inom säkerhet, inte bara i USA, utan också globalt. Det är också ett matematiskt problem. Vi kommer inte att fylla dessa lediga tjänster om vi inte rekryterar från hälften av befolkningen.
Laurel: Det verkade också som att inte många säkerhetstalanger nödvändigtvis befordrades inifrån. I rapporterna från Forrester lät det som att du hade större sannolikhet att bli befordrad om du gick till ett annat företag. Omprövar företag nu sina egna talanger?
Stephanie: Det är faktiskt sant på typ av individnivå såväl som CISO-nivå. Så vi har funnit bland Fortune 500 att förstagångs-CISO:er var sällsynta och att de inte marknadsfördes inifrån. Så de skulle vilja anställa externt för CISO:er, och de ville ha CISO:er som hade tidigare erfarenhet som CISO. Och faktiskt om du är någon i säkerhet, så det betyder att om du vill bli befordrad till CISO, är din bästa möjlighet faktiskt att titta externt, utanför ditt företag. Och vi fann också att när företag anlitade CISO:er externt i stället för att marknadsföra dem inifrån, var det mer sannolikt att de rapporterade högre upp i organisationen. Så ja, på CISO-nivå skulle företag kunna göra ett bättre jobb med att titta inom och ge dessa individer rätt möjlighet att rapportera högre i organisationen.
Men vi hittade också liknande saker igen på chefsnivåer och individuella bidragsgivare, det vill säga att de inte anställde från företaget eller när de anställde individer, de gav dem inte bra karriärvägar och pågående kompetensutveckling. Så igen, om dessa individer verkligen ville fortsätta sin karriär, slutade de flesta med att lämna. Så det är därför vi säger att så mycket av kompetensen och bemanningsutmaningarna är helt självförvållade.
Laurel: Så det är lite av en blind fläck som förmodligen alla skulle kunna göra lite bättre på, eller hur?
Stephanie: Exakt. Ja.
Laurel: Jag läste den här rapporten från Ponemon Institute, och just den här frasen slog mig och när vi pratade om CISO och vilken typ av person som skulle göra den rollen i första hand och erfarenheten de hade, mer än bara ett CV, det är även din attityd och förmåga att agera riktigt snabbt och riktigt smart och dessutom kommunicera väldigt bra. Men citatet var, och jag parafraserar lite här, teknik har förvandlat internetåldern till en period av grymma mirakel för säkerhetspersonal. Alla våra grymma mirakel är att vi har enheter i varje ficka. Vi kan gå var som helst, vi kan prata med vem som helst när som helst, och vi kan göra det med blixtens hastighet, men samtidigt om du är en CISO, hur säkrar du allt?
Stephanie: Höger. Ja. Alla dessa enheter som förlänger företagets fyra väggar, de förlänger i princip organisationens attackyta. Så för CISO:er har det varit en sådan här marsch bort från en traditionell perimeterbaserad strategi för säkerhet och att faktiskt ta mer av en datacentrerad och applikationscentrerad, och jag skulle till och med säga identitetscentrerad inställning till säkerhet.
Inte för att nätverket inte är viktigt, nätverkssäkerhet är oerhört viktigt, men det är mer den perimeterbaserade strategin för säkerhet som har förändrats dramatiskt. Så igen, där det inte finns några riktiga fyra väggar i företaget. Omkretsen är faktiskt mycket mindre. Så vi tenderar att tänka på säkra enklaver. Hur bygger jag en mikroperimeter runt våra viktigaste tillgångar?
När vi pratar om ett utökat nätverk av alla typer av enheter som du nämnde eller själva datormiljön, vilket kan vara en kombination av lokalt, moln, värd privat moln och alla varianter därav och vilken typ av användarpopulation som helst som interagerar med företagets system och data. Det kan vara dina egna anställda, det kan vara konsumenter och kunder, det kan vara tredjepartspartners. Så när du tänker på enheter, användarpopulationer och olika datormodeller finns det ingen omkrets. Så fokus blir på att skydda själva data oavsett vart den färdas och oavsett värdmodell eller plats. Verkligen, verkligen tittar hårt på identitet. Så begränsande och strikt upprätthållande av tillgång, både mänsklig och icke-mänsklig. Så det vänder liksom det traditionella säkerhetsparadigmet på huvudet. Du går bort från perimetercentrerad till data- och identitetscentrerad.
Det är vad vi vanligtvis rekommenderar till CISO. Och vi kallar det nollförtroendemodellen för säkerhet, vilket är att du antar att du redan har ett intrång, och du antar aldrig tillit till din omgivning. Du antar bara alltid att något går fel någonstans, men det fungerar. Det är kanske inte världens mest positiva snurr, som, åh, noll förtroende, men det fungerar. Det är väldigt effektivt.
Det andra jag skulle säga är att jag verkligen skulle uppmuntra tillverkare av alla dessa enheter, IoT-sensorer, IoT-enheter, allt du kan tänka dig att verkligen göra ett bättre jobb med att bygga in säkerheten i själva enheten från början. Det skulle definitivt göra CISO:s jobb mycket lättare. Det är bara så frustrerande. Det är till stor del utanför deras kontroll också.
Laurel: Höger? Tja, speciellt -
Stephanie: Förutom de CISO som faktiskt arbetar på produktföretag. Du bör vara delaktig i produktutveckling. Du bör ge råd till organisationen.
Laurel: Och det är intressant eftersom säkerheten inte alltid kommer först, eller hur?
Stephanie: Nej.
Laurel: Speciellt när du håller på med produktdesign. Så ser du att det händer ofta? CISO:er faktiskt aktivt involverade i produktdesign?
Stephanie: Inte hittills, tyvärr, men det är något som vi rekommenderar. Och jag skulle säga att vissa CISO:er inte nödvändigtvis ser det som sin traditionella roll, som deras traditionella roll har varit att säkra back-end-systemen för register och infrastruktur och företagets data och inte nödvändigtvis engagera sig i utvecklingen, men vi är faktiskt aktivt uppmuntra CISO:er att engagera sig i produktdesign och produktutveckling för att verkligen hjälpa organisationen att säkra det du säljer. Så vad det än är du säljer, vilken tjänst det än är, levererar du till en konsument, en patient, en medborgare, ett annat företag, om du är en B2B-organisation, aktivt involverad i att säkra det du säljer.
Laurel: Och det är verkligen en konkurrensskillnad, eller hur?
Stephanie: Ja, absolut. Absolut. Vi fann att säkerhet, såväl som integritet – och de är inte synonyma, men ibland går de hand i hand – skapar konkurrensdifferentiering för företag.
Laurel: Ja. Och det är en viktig skillnad, och allt buller som du har som kommer ut. Så om det är något mycket specifikt som du kan marknadsföra, skulle det vara bra. Men vi pratar också om att CISO verkligen tar en aktiv roll i allt. Så du måste vara den här mångbegåvade personen som både kan prata och förstå produkten och vara ute i samhället, eller hur? Allt samtidigt dela, men inte dela, företagshemligheter och hur du försvarar data eftersom det finns den här idén, särskilt inom teknikgemenskapen, där du delar dina bästa praxis och vad du har lärt dig av. Och jag undrade bara lite över det, hur delar CISOs egentligen men delar inte allt?
Stephanie: Ja, det finns den utmaningen. Många CISO:er avskyr att prata om detaljer om sina utplaceringar, och jag ser inte nödvändigtvis att det kommer att förändras någon gång snart. Men ibland i mindre grupper finns det många samhällen som stöder CISO:er. Egentligen på Forester har vi en peer-nätverksgrupp på cirka 100 CISO:er. Det finns alla typer av ISAC:er och gemenskaper som delar intelligens bland som CISO:er som är branschspecifika. Så ofta i sammansvetsade samhällen där det finns en förståelse för att allt är under NDA, där det finns uppriktighet, där det finns några personliga relationer, kommer CISO:er att dela mycket mer. Men jag har funnit att CISO är villiga att prata om övergripande strategi. När jag nämnde att gå från perimeterbaserade tillvägagångssätt till data- och identitetscentrerade. På tal om kultur. Kultur är faktiskt oerhört viktigt, inte bara på CISO utan även för resten av säkerhetsorganisationen.
Eftersom du behöver en organisation som har rätt sorts personal som faktiskt kan prata med utvecklare och vara en del av säker applikationsutveckling, som kan arbeta med infrastruktur- och driftsteam för att säkra molninstallationer. Det skulle faktiskt kunna fungera med marknadsföringsteam för att hjälpa dem förstå integritetskonsekvenserna av hur de kan anpassa tjänster och data och annonser till konsumenter. Så du behöver också säkerhetsteamet självt, inte bara CISO, säkerhetsteamet självt vara röststarka och frispråkiga, samarbetsvilliga och villiga att infoga sig i kärnverksamheten och IT-processer i hela organisationen. Så de kommer att prata om kultur, de kommer att prata om bemanning, de kommer att prata om vilken typ av kompetens som krävs också. Vi ser definitivt en förändring där.
Laurel: Och verksamheten måste också vara villig att tillåta säkerhet på något sätt full cirkel kring denna idé, men inte bara produkten utan även alla andra. Så marknadsföring, tänkande, igen, säkerhet först eller säkerhet någon gång. Hur har man då det här samtalet, så alla är lite utbildade? Du behöver inte vara expert på säkerhet om du är inom marknadsföring, men du måste vara villig att lyssna.
Stephanie: Många gånger berättade CISOs historier och allt var undergång och dysterhet. Jag tror att du tar ett mycket mer riskbaserat tillvägagångssätt där du hjälper verksamheten att förstå framtida risker och hjälper dem att bara förstå både sannolikhet och påverkan och ger dem råd om att fatta de rätta besluten, som att flytta från den avdelningen med nej till mer av det konsultativa roll tror jag hjälper. Ju mer du blir den där rådgivande ämnesexperten mer, jag tror att du kan ta med dig resten av organisationen. Jag tror att det är till stor hjälp och det varierar beroende på CISO-kompetens hur bra de är på att göra det. Jag tror att det hjälper när som helst du kan sätta saker i positiva affärstermer.
Det var en analytiker i mitt team som skrev den här rapporten, den kallades säkerhet för vinst, och i den beskrev han hur säkerhet potentiellt skulle kunna vara en intäktsgenererande för företaget. Återigen kan det vara mervärdesfunktioner som folk var villiga att betala mer, eller så blir det en konkurrenskraftig skillnad i en produkt eller tjänst som du erbjuder. Så det skulle faktiskt kunna bidra till topplinjen. Och sedan beskrev han också alla sätt som faktiskt kan spara företaget pengar utöver undvikande av intrång och undvikande av böter.
Det finns alla möjliga sätt där om du gör säkerheten rätt kan det faktiskt dramatiskt förbättra de anställdas upplevelse och minska driftskostnaderna inom företaget. Identitet är ett av de största exemplen när du tänker på att anställa en anställd och möjligheten att automatisera alla sätt som du ger dem tillgång till de system som de behöver. Återställa lösenord. Jag menar, det finns så många bara lågt hängande frukter där du kan göra de anställdas liv enklare, men då minskar du faktiskt riktigt hårda kostnader.
Laurel: Ja. Och det är säkert något du inte tänker på, men du blir säkert frustrerad när du ska göra om ditt lösenord och det tar en evighet och/eller måste gå på ett annat system och bla, bla, bla. Men den typen av effektivisering är inte bara ur ett säkerhetsperspektiv, utan som du sa, det är ur allas perspektiv att bara göra deras liv enklare, vilket i slutändan är vad varje anställd vill ha.
Stephanie: Japp.
Laurel: Så hur håller CISO:er sig på toppen av de senaste trenderna? Jag menar, konferenser, de där små grupperna som de pratar med?
Stephanie: Ja, jag tror att de gör sin egen forskning, oavsett om det är publikationer som dina, företag som Forrester, andra stora typer av strategikonsultföretag också. De gör dock sin egen forskning. De skickar ofta sin personal till många av konferenserna. Och sedan tror jag att de där peer-nätverksgrupperna också hjälper dramatiskt. Men det är svårt att hålla koll på alla möjliga trender. Så jag tror att det alltid hjälper att ha någon form av extern rådgivning också, för att ge dig koll på nya hot, om nya risker, framväxande efterlevnad och regelverk som händer över hela världen.
Laurel: Ja, och sedan, precis som du sa, att ha den där kamratgruppen för att skapa förtroende och någon form av transparens med att dela bästa praxis och bara höra olika historier, även om det är från en vän jag har hört, för att typ få ut de varningarna till olika organisationer och människor. På tal om det, förutom i dessa kamratgrupper, finns det mycket samarbete mellan regering och näringsliv? Ser du mer av det eller håller människor ganska mycket i deras körfält eftersom det finns andra konflikter att oroa sig för med företag och regeringar?
Stephanie: Ja. I USA och faktiskt andra länder som Storbritannien, om du anses vara en kritisk infrastrukturindustri, måste du ha nära relationer med federala regeringstjänstemän. Om du är i kritisk infrastruktur, menar jag, det kommer att finnas branschspecifika cybersäkerhetsbestämmelser som du måste följa, du vet, om du är i energi. Jag menar, även finansiella tjänster anses vara kritisk infrastruktur. Så då måste du följa NISTs riktlinjer, som ett exempel. Alla som gör affärer med den federala regeringen måste följa NIST.
Du vill inte vänta med att bilda relationer med den federala regeringen eller specifika myndigheter, som FBI. Du vill inte vänta tills du misstänker något eller har ett intrång. Eller i många fall är det tvärtom som är att de har upptäckt något, de varnar dig för det. Ibland kan de inte ge dig detaljer eftersom deras händer är bundna som en del av en större utredning. Så du kan faktiskt utveckla relationer med många av de amerikanska federala myndigheterna i förväg, så att du kan dela hotintelligens. Eller igen, om något verkligen skulle inträffa, har du redan de redan existerande relationerna på plats.
Laurel: Ja, och på tal om något som redan har inträffat och förberedelseplaner, ser du att fler företag utvecklar dessa förberedelseplaner för, återigen, inte om, men när de hackas eller en cyberattack inträffar och de måste offentliggöra det?
Stephanie: Så med incidentrespons, det finns typ den interna incidentresponsen, som är typ alla processer som du behöver upptäcka, sedan åtgärda och sedan svara. Och en stor del av svaren är mer av vad vi kallar för svar på rättsmedicinsk nivå: att fastställa exakt vad som hände, åtgärda det, eventuellt samla in rättsmedicinska bevis om du bestämde dig för att du faktiskt skulle väcka rättsliga åtgärder, beroende på vem det var efteråt. . Sedan är det det externa svaret, och du behöver verkligen båda. Du behöver verkligen en sofistikerad incidentrespons, process och initiativ inom företaget med dedikerade experter, särskilt om du är ett stort företag.
Men jag tror att där företag ofta faller på riktigt är på extern intrångsreaktion. Och återigen, regler kräver att om det är konsumentrelaterat, om det är drabbade individer, måste du meddela dem inom specifika dagar. I många fall är det 30 dagar. Enligt GDPR i Europa är det 72 timmar eller mindre. Och vi har sett företag som kungligt misslyckas med det externa intrångssvaret, vilket betyder att de var arga på att erbjuda information till konsumenter.
Jag vill inte välja företag eftersom att skuldbelägga offer ofta inte är så bra, men jag har sett att företag på ett sätt skyller på konsumenten och säger: 'Åh, om du hade bättre lösenordshygien, om du övervakade dina egna konton mycket mer noggrant, det här skulle inte ha så stor inverkan.' Nej. Du måste visa empati med dina kunder. Sätt dem först. Gör allt du kan för att skydda dem. Var inte arg på att dela information på grund av CYA-typer av oro. Och i vissa fall, om du gör det rätt, är det en möjlighet att inte förlora förtroendet, utan potentiellt till och med förstärka det och bygga upp det, om du har satt dem först. Men du kan verkligen missa det och göra intrånget så mycket värre än det behövde vara.
Laurel: Och det kostade bara företaget ännu mer pengar.
Stephanie: Exakt.
Laurel: När man ser tillbaka på 2019 och det finns mycket att prata om cybersäkerhetsmässigt, om vi ser på tre specifika områden, är det först bara cyberattacker, men mycket specifikt mot städer och kommuner. Så New Orleans var det senaste, i slutet av året, som vi känner till, men det var också i hälarna på att staten Louisiana hade en cybersäkerhetsattack. Vi vet att det händer över hela landet. Så för att ställa en mycket laddad fråga, varför utsätts städer och kommuner för cyberattacker när de inte nödvändigtvis är de mest välfinansierade kläderna?
Stephanie: Ja. Så det är därför, för de är lätta mål. Så om de har underfinansierat sina säkerhetsinsatser i flera år, så är de mycket lättare att tränga in och sedan begära en lösen, även om lösensumman är liten.
Laurel: Det är bättre än ingenting.
Stephanie: Det är bättre än ingenting. Det är faktiskt konsensus för många i teamet, eftersom så många av dessa lokala, stads- och statliga regeringar och kommuner är så lätta mål eftersom de har varit underfinansierade och underbemannade i flera år. Och för det mesta finns det ekonomisk motivation, men det finns andra typer av motivation. Det kan vara politiskt, socialt. Om du kommer till en större typ av stater eller federala organ, kan du till och med hamna i geopolitiska och till och med militära i vissa delar av naturen.
Faktiskt, staden New Orleans, det som var intressant med det är att angriparna inte bad om en lösen. Så de använde ransomware för att inaktivera dem. Allt var krypterat och tvingade dem. Jag tror att de ersatte massor av datorinfrastruktur. Det kan vara riktigt svårt att återställa från säkerhetskopior. Vi säger det så lättvindigt, som 'Åh, återställ dig bara från dina säkerhetskopior.' De flesta säkerhetskopior kompletta med fel och möjligheten att återställa från en säkerhetskopia i stor skala är faktiskt väldigt, väldigt svår. Och vem vet när ransomwaren faktiskt introducerades? Så då installerar du bara om ransomware.
Laurel: Intressant.
Stephanie: Men ja. Såvitt jag förstår bad de faktiskt inte om lösen. Så deras motivation var inte ekonomisk. Så det kunde ha varit...
Laurel: Bara störning.
Stephanie: ... bara störning för sakens skull.
Laurel: För att se om de kunde göra det, ja.
Stephanie: Eller intressant nog, jag läste den här artikeln där den tvingade staden att ersätta massor av datorinfrastruktur, bärbara datorer, stationära datorer, serverinfrastruktur. Så det finns en del av mig som undrar, 'Åh, det kan vara stadsanställda. Jag vet hur man får staden att uppgradera.'
Laurel: Eller hur. Tvinga dem.
Stephanie: Tvinga dem.
Laurel: Genom att förstöra allt.
Stephanie: Ja. Så de är lätta mål och motiven för attacken är mycket varierande, tror jag, när det gäller kritisk infrastruktur och sedan stad, delstat och lokala myndigheter.
Laurel: Och det är inte nödvändigtvis när man begär lösen som man någonsin får reda på var de kommer ifrån eller vilka de är eller om de är utländska statliga aktörer.
Stephanie: Ja, du vet inte nödvändigtvis.
Laurel: Du kommer aldrig få veta. Det är bara en gissning.
Stephanie: Ja. Vi lade faktiskt ut en kontroversiell rapport i år som sa att organisationer i vissa fall kanske vill överväga att betala lösensumman. Jag ska vara ärlig, jag tror att för stad, delstat och lokala myndigheter kan de vara förbjudna att betala lösensumman. jag vet inte. Jag skulle behöva undersöka det, men privata företag, även om jag är säker på att FBI och andra brottsbekämpande myndigheter skulle föredra att de inte gör det, i vissa fall kan det faktiskt vara vettigt. Och cyberförsäkringsbolag skulle till och med säga att det kan vara vettigt i vissa fall. Och det finns faktiskt företag som är specialiserade på att hjälpa företag att betala lösensumman. Ibland kan du faktiskt förhandla om en lägre lösensumma. Det är som byteshandel. De kommer att fungera som mellanhand mellan de olika karaktärerna i företaget. Uppenbarligen betalar du dem i en kryptovaluta. Du överför inte bara kontanter.
Laurel: Självklart.
Stephanie: Så de kan underlätta det också. Jag menar, om du tittar på staden Baltimore, vad de slutade spendera för att återhämta sig från ransomware-attacken var förmodligen hundra gånger mer än den faktiska lösen. Jag glömmer siffrorna, men skillnaden var löjlig.
Laurel: Så några råd till städer och kommuner skulle vara att faktiskt titta på dina system och försöka få dem uppdaterade och skyddade på något sätt.
Stephanie: Ja. Säkert med ransomware, se till att alla dina system är uppdaterade, patchade. Om du tittar på de flesta framgångsrika attacker, externa attacker, drar de fördel av sårbarheter och andra typer av mjukvaruexploater. Det är inget fancy. Alla älskar alltid att använda avancerade attacker eller statligt sponsrade attacker. Verkligheten är att de flesta av dessa attacker är ganska lågbudgetar, men ändå effektiva.
Den andra saken är att ta en närmare titt på dina säkerhetskopior. Jag kan inte betona det nog. Folk förbiser alltid sina säkerhetskopior. Det blir denna rote IT-process som ingen någonsin tittar på två gånger eller som folk förnekar den och kallar den oviktig. Det kan vara viktigare idag om du inte vill betala lösensumman.
****
Laurel: Cybersäkerhet handlar inte bara om att stoppa de hot du ser. Det handlar om att stoppa de du inte kan se. Det är därför Microsoft Security anställer över 3 500 experter på it-brottslighet och använder AI för att förutse, identifiera och eliminera hot så att du kan fokusera på att växa ditt företag och Microsoft Security kan fokusera på att skydda det. Läs mer på microsoft.com/cybersecurity.
****
Laurel: Så ett annat intressant ämne som kom ut under 2019 var bara allmänna dataintrång. Så 2019 verkade det verkligen som om något företag eller någon varannan dag tillkännagav ett dataintrång. Och sedan, enligt Risk Based Security, exponerades 2019 mer än sju miljarder poster. Så när vi kommer tillbaka till CISO:er, hur reagerar CISO:er och företagsledare egentligen på det om 2019 var ungefär det här året där vi [har sett så många] intrång på ett år?
Stephanie: Ja. Jag tror att 2019 äntligen var ett år av brottströtthet. Jag menar, det var till och med svårt för oss att hänga med i varje intrång som drabbade nyheterna. Jag tror att det hjälper att sätta det i perspektiv. Inte vart och ett av dessa intrång var en attack. Många av dem var faktiskt resultatet av oavsiktliga exponeringar. Så om du till exempel har felkonfigurerat molnlagring, anses det faktiskt vara ett intrång, även om det inte nödvändigtvis finns några bevis för att någon form av tredje part eller extern angripare eller organisation faktiskt har missbrukat eller missbrukat data. Bara det faktum att någon antingen internt eller ofta är det säkerhetsforskaren som faktiskt upptäcker att all information var mindre exponerad. Det anses vara ett brott.
Men ja. Om man tittar på intrång själva, hade 51% av företagen minst ett brott under det senaste året. Och den siffran är förmodligen högre eftersom många organisationer inte vet om det direkt. Men sedan finns det en stor andel av dem, faktiskt majoriteten, är interna, ett resultat av interna incidenter, tredjepartsincidenter eller bara förlorade eller stulna enheter. Och om du tittar på verkliga externa intrång, där det var en extern part som attackerade dig och fick tillgång till dina känsliga data, för att komma tillbaka till mycket av sin låga budget, var de tre bästa attackvektorerna en direkt attack på din applikation, dra nytta av en sårbarhet i programvaran eller komprometterade användaruppgifter.
Och de tre av dem, om du tittar på det ... jag hatar att vara snett och säga att det är lätt att lösa, men det krävs inte nödvändigtvis den mest avancerade mjukvarutekniken för att ta itu med det, men det är säker applikationsutveckling. För att komma tillbaka till hela vår produktutveckling och design, det är bara att se till att de applikationer som du utvecklar som är kundinriktade är säkra genom design – att du bygger in säkerhet i dem från början. Det kommer att minska ett stort antal direkta attacker mot applikationer. Och när applikationerna väl är utplacerade i produktionen, skyddar de igen med allt från webbapplikationsbrandväggar till andra typer av säkerhetsåtgärder som liksom täcker applikationen och skydden.
Den andra saken är mjukvaruexploater. Så många angripare utnyttjar bara sårbarheter som inte har åtgärdats. Så att ha ett riktigt starkt program för sårbarhetshantering – inte det sexigaste ämnet i världen, sårbarhetshantering, men företag har faktiskt inte ett bra sätt att prioritera sårbarheter och sedan ta itu med dem.
Laurel: Och det är lågt hängande frukt.
Stephanie: Sådan lågt hängande frukt. Och sedan kompromiss med användaruppgifterna, multifaktorautentisering.
Laurel: Ja. Gå till din telefon. Skriv in lösenordet. Men vi har vant oss ganska bra.
Stephanie: Höger. Och så många gånger med dessa stora intrång ... och vi brukade skriva den här årsrapporten om lärdomar och det blev nästan tråkigt eftersom jag bara fortsatte att ge samma råd om och om igen, som säker apputveckling, sårbarhetshantering, kryptering av det mesta känslig data som du har och sedan tvåfaktorsautentisering och sedan ha ett robust program för upptäckt och incidentrespons på plats. Så det finns fortfarande lågt hängande frukt där ute. Jag menar, vi pratar så mycket om förskottsattacker och den ökande attackytan och det är sant, men återigen, vi har fortfarande inte tagit upp så många av grunderna.
Laurel: Och de där grunderna, som du sa, du har skrivit om dem i flera år. Tror du att några av dessa mer anmärkningsvärda attacker sätter färg och kanske får folks uppmärksamhet på ett sätt som de är villiga att faktiskt ägna en del av en IT-budget till sårbarhet?
Stephanie: Dom gör. Till din poäng om multifaktorautentisering, jag tror att det nu har blivit en glömd slutsats och accepterad bästa praxis - du måste ha den på plats. Det tog ett tag. Det fick bli brott efter brott. Det måste vara branschen som säger tvåfaktor, tvåfaktor, tvåfaktor. Till och med konsumentteknikföretag som säger till sina kunder: 'Slå på tvåfaktor, slå på tvåfaktor.' Så jag tror att ju mer vi upprepar några av dessa bästa praxis, desto mer blir de till slut inarbetade. Jag hoppas att samma sak kommer att hända med säker applikationsutveckling.
Och sedan sårbarhetshantering, återigen, att ha ett sätt att prioritera de sårbarheter som du behöver åtgärda är verkligen viktigt. Och tusentals sårbarheter läggs till i National Vulnerability Database varje år och 30 % av dem anses vara kritiska. Så det hjälper inte. Du behöver en process, internt, för att ytterligare prioritera sårbarheterna baserat på din egen affärskontext, IT-kontext, din egen hotmiljö för att hjälpa dig att patcha systemet.
Laurel: För annars är det bara...
Stephanie: Det skulle vara överväldigande.
Laurel: Så överväldigande.
Stephanie: Ja.
Laurel: Jag tror att banker och banksektorn är en av de branscher som tvingar fram tvåfaktorsautentisering längre fram. Ser du någon speciell bransch som gör det med att säkra applikationer eller bygga säkra appar?
Stephanie: Att bygga säkra appar, vem tror jag kan vara i täten? Det är en bra fråga. Jag vet inte om någon annan bransch verkligen sticker ut. Vi gjorde den här säkerhetsrapporten om tillämpningstillstånd nyligen och den var ganska ögonöppnande, såväl som dyster. Det var ingen feel-good-rapport. Och sedan gjorde vi en branschspecifik version av den där vi filtrerade de data som vi hade av regeringen. Och den federala regeringen var ännu värre än den privata sektorn, så det är ganska oroande. Jag tror att de branscher som kanske oroar mig mest skulle vara sjukvård och myndigheter.
Laurel: Och det är två som de flesta förmodligen använder mer regelbundet än nästan allt annat.
Stephanie: Höger.
Laurel: Ja. Sjukvården är inte ett litet bekymmer alls. Idén med sjukhusdata, personuppgifter, men också PII [personlig identifierbar information] och att bara komma in i system och maskiner. Är allt ett bekymmer? När allt är ett bekymmer, hur prioriterar man egentligen det om man är en vårdinstitution?
Stephanie: Ja. Jag tror att med hälso- och sjukvården, under lång tid, så låg tonvikten på att följa HIPAA. På tal om USA-specifikt. I USA låg det så mycket betoning på att följa HIPAA, till och med CISO:erna var typ fokuserade på HIPAA i motsats till äkta cybersäkerhet. Så historiskt sett fann vi ofta att sjukvården tyvärr spenderade mindre än andra branscher på säkerhet. Och igen, om de hade en CISO, fann vi ofta att han eller hon inte rapporterade tillräckligt högt i organisationen eller hade rätt kontrollspann. Det håller på att förändras. Jag tror att sjukvården också kämpar, även om de tar itu med några av de historiska budgetfrågor som de hade, så är det en bransch som kämpar med kostnader. Om du har en dollar att spendera på ett kliniskt system kontra cybersäkerhet, är det ett riktigt svårt val, särskilt i USA där vi spenderar så mycket på hälsovård, men fortfarande har de sämsta hälsovårdsresultaten av alla utvecklade länder. Det är den verkliga kampen är att säkerhet kräver en anständig mängd budget för att göra bra ifrån sig.
Ja. Så sjukvård, det är det som oroar mig är att de ligger efter andra branscher när det gäller mognad, men jag tror att det håller på att förändras. Jag tror att nästa område som förmodligen oroar mig inom hälso- och sjukvården skulle vara medicinteknisk säkerhet och applikationssäkerhet.
Laurel: Ja, det är ett helt annat, läskigt ämne, eller hur? Tja, så slutligen, vad jag tänkte på från 2019 är att det här ämnet är brett och stort, men också väldigt viktigt för de flesta företag som faktiskt producerar en fysisk vara eller skickar saker från en plats till en annan, vilket är säkerhetsattacker i supply chain. Om ett företags leveranskedja är så väldigt lång och komplicerad pratar vi inte bara om att säkra, ja, dina fysiska lokaler eller moln. Det är också produkten. Var den skickas ifrån, vart den ska och sedan även försäljarna.
Stephanie: Komponenterna.
Laurel: Komponenterna och leverantörerna som du arbetar med.
Stephanie: Ja. Jag tror att mycket av det kommer att börja med den övergripande risken för tredje part. Tredjepartsrisk och försörjningskedjarisk, jag menar, försörjningskedjan är en sorts delmängd av övergripande tredjepartsrisk. Generellt sett skulle jag säga att risk för tredje part har varit en av de fem största utmaningarna som många av våra CISO-kunder – de pratar med oss om under de senaste åren. Återigen, om du tittar på intrångsdata, nästan drygt 25% till 30%, någonstans i det intervallet av intrång är resultatet av tredje part. Och ett typiskt stort företag kan ha så många som 300 tredjepartsrelationer när man räknar ihop inte bara leverantörer, utan man tänker på IT-tjänsteleverantörer, molnleverantörer. Jag gjorde en gång en affärskonsekvensanalys där jag inventerade alla tredjepartsrelationer för en riktigt medelstor organisation, tusen anställda. Och jag hittade ett 30-tal tredjepartsrelationer som IT-organisationen inte visste något om.
Laurel: Åh, wow.
Stephanie: Och så nu tar du det till ett stort företag. Så jag tror att mycket av det kommer att komma tillbaka till om du kan börja med kärnprogrammet för tredjepartsrisk. En, har du en? Är säkerhet inbäddad i tredje parts risk? Har de vetorätt mot tredje parts relationer? Och det är inte bara en engångsutvärdering av tredje parters säkerhetsställning. Det är också ett pågående förhållande där du regelbundet omvärderar dem. Det finns många krav för att definiera som servicenivåavtal kring säkerhet med tredje part. Så allt börjar med grundläggande riskhantering från tredje part. Och sedan tror jag att det kommer att sträcka sig in i risken för leveranskedjan också.
Laurel: Och du kommer förmodligen att se det som med människor eller företag som verkligen bara uppvisar bästa praxis. De skickar det nedströms till alla sina leverantörer. Så om du förväntar dig att arbeta med oss måste du följa dessa procedurer.
Stephanie: Exakt.
Laurel: OK.
Stephanie: Exakt. Ja. Jag har velat skriva den här rapporten ett tag, som är, för långsiktig affärsframgång, agera som ett intrångsföretag. Företag som faktiskt har haft stora intrång och typ överlevt det första efterspelet, efter ungefär fem år faktiskt fortsätter att ha affärsresultat som ofta kommer att överträffa S&P 500. Och om du går tillbaka och tittar på mycket av vad de har gjort, tvingar det dem att fatta både riktigt tuffa affärs- och IT- och säkerhetsbeslut. Så ur ett affärsperspektiv kommer det att tvinga dem att gilla omprioritera många av sina strategiska initiativ eftersom intrånget slutade kosta dem 300 miljoner dollar, 500 miljoner dollar, till och med 1 miljard dollar. Så det tvingar dem att ta ut mycket svårare att se på sin övergripande affärsstrategi och deras affärsverksamhet eftersom de helt enkelt inte har pengar att spendera på allt. Eller i vissa fall måste de skära sig loss från dåliga beslut som de höll som att hälla pengar på.
Ur ett IT-perspektiv kommer vi att se dem implementera saker som de borde ha gjort hela tiden. Tredjepartsrisk. Jag hade ett företag som hade ett intrång sa att efter intrånget, du vet, kunde du inte köpa en penna utan ...
Laurel: Godkännande.
Stephanie: Godkännande. Och man vill inte nödvändigtvis gå till det extrema, men det var tydligt att de inte hade någon tredjepartsrisk på förhand. Eller så kommer de att anställa CSO eller så kommer de att ändra var CSO rapporterar in, börja finansiera incidentrespons och intrångsprogram. Så intrånget tvingar dem faktiskt att vara ett mycket mognare och bättre företag. Det är bara olyckligt att de var tvungna att gå igenom genombrottet för att komma dit.
Laurel: Att ta sig dit. Jag antar att det förmodligen är så varje företag någon gång borde se på det, gör vi faktiskt allt som vi borde vara på rätt sätt? Hur är läget, läget för företaget? och tittar hårt. Men jag är säker på att det inte heller skulle göra dig särskilt populär om detta bara var en övning.
Stephanie: Ja.
Laurel: Om du går igenom ett fruktansvärt säkerhetsintrång, så har du liksom en ursäkt. Så vi återgår till det hela där när något hemskt händer, nu har du en ursäkt att...
Stephanie: Jag tror att mognadsbedömningar hjälper där. Jag menar att det finns många branschspecifika mognadsbedömningar för cybersäkerhet. På Forrester har vi våra egna mognadsbedömningar. Så vi kommer ofta att upptäcka att kunder kommer att använda det som en baslinje, och sedan kan de gå till styrelsen och de går till sina affärs- och IT-chefer och säger: 'Se, mot branschens bästa praxis, här är vi mogna , och det är verkligen här vi är svaga.' Och sedan hjälper det dem också att börja skapa liknande färdplaner och sedan motivera finansiering för specifika initiativ eftersom man kan säga att det kommer att förbättra vår mognad från en 1,5 till en 3. Och det här är verkligen, för vår bransch måste vi vara åtminstone en 3:a i detta område.
Så jag tänker på din poäng, att ta den baslinjen mot branschens bästa praxis och välja en mognadsbedömning, du vet – Forresters, någon annan konsultfirmas. Men basera dig själv i din säkerhetsställning, kommunicera resultaten, arbeta med företag för att sätta realistiska mål om var du bör vara som företag och bransch. Och sedan driver det verkligen din färdplan och mycket av din finansiering. Så det ger dig som ett äkta norr att peka på.
Laurel: Och det får dig på vägen att ha säkerhet som en differentiator.
Stephanie: Exakt.
Laurel: Ja. Så under 2020 kommer vi förmodligen att se mer av det. Men några fler oroande tillägg. Vi berörde bara kort geopolitik. Slutet av året visade oss lite av en ojämn väg med Iran specifikt. Så hur mycket tror du att genomsnittliga företag är oroliga för geopolitik, eller är det bara någon dålig aktör som kommer i deras väg de behöver för att stärka säkerheten?
Stephanie: Vi hade faktiskt skrivit den här rapporten tillbaka, vill jag säga från början 2016, och det var för CISO. Och titeln på den var Ignorera geopolitisk risk på din risk. Och det var denna idé som CISO verkligen behövde vakna upp till cybersäkerhetskonsekvenserna av geopolitiska risker. Så, ja, det är Iran idag. Det kan bli ett annat land i framtiden. Även om du tror att, åh, jag är inte i regeringen, jag är inte i kritisk infrastruktur, organisationer i den privata sektorn riktas mot hela tiden. Återigen, i vissa fall för att de är lätta mål, eftersom du gör affärer med den federala regeringen.
Så du måste vara orolig för geopolitiska risker. Och återigen, för många stora företag där du är multinationell, måste du tänka på hur det påverkar dina anställda, dina kontor, de tredje parterna som du gör affärer med. Så som om CSOs inte hade tillräckligt att göra, måste de ta hänsyn till geopolitiska risker. Hur ökar det risken? Gör det dem mer till ett mål? Egentligen, intressant nog, om du tittar på några av brotten så känner du till Marriott till exempel. Anthem, jag glömmer om det var ungefär tre år sedan. De skulle inte ha trott att de var måltavlor för en nationalstat, men det var deras data de ville ha.
Laurel: Självklart. Och är den typen av tältnamn mer i riskzonen eller är det verkligen bara, ja, du har bra data?
Stephanie: Jag tror att det handlade mindre om namnet och mer om, i de särskilda fallen, om uppgifterna som de hade. Du vet, i fallet med Marriott hade de otroligt detaljerad information om resvanorna för statligt anställda och högre tjänstemän. Jag tror att de i vissa fall till och med hade kopior av sina passnummer som en del av den känsliga informationen som äventyras.
När det gäller Anthem har du känslig medicinsk information om individer. Du måste tänka på geopolitiska risker och hur en nationalstat kan använda dina uppgifter.
Laurel: Det finns definitivt mycket där. Men för vad sägs om inrikespolitik och risk? 2020 är ett valår. Men förutom valurnsäkerhet, vilken annan typ av specialintressegrupper och kampanjer kan samla in data som kan riktas mot?
Stephanie: Ja, jag menar att det är intressant. Nåväl, återigen, förmågan att rikta in sig på väljare är mycket kraftfull. Så igen, om du är en konsumentorganisation som har mycket detaljerad information om individer som preferenser, gillar, vanor. Kanske inte nödvändigtvis används för skändliga ändamål som identitetsstöld. Men återigen, det kan användas av någon som vill rikta in sig på och påverka dessa individer. Så jag kan definitivt se, igen, om du är ett konsumentföretag som har otroligt detaljerad information om preferenser, köpbeteenden, attityder, allt detta skulle definitivt vara riktigt moget för inriktning.
Laurel: Liksom attacker som deepfakes, eller hur?
Stephanie: Ja.
Laurel: Så skulle du säga att deepfakes är som det nya nätfiske eller är det bara en smak av nätfiske?
Stephanie: Smak. Det är typ nästa utveckling av social ingenjörskonst. Som om social ingenjörskonst inte var tillräckligt svårt att ta itu med, nu måste vi också brottas med deepfakes. Och jag känner att med deepfakes mognade de så mycket snabbare än vad branschen förväntade sig. Jag menar, jag minns att jag läste och lyssnade på poddsändningar och experter sa som 'Åh, du vet, vi är fortfarande år borta från deepfakes som verkligen kan lura experter.' Och jag känner att den tidslinjen var långt borta.
Laurel: Sätt accelererad.
Stephanie: Sätt accelererad.
Laurel: Så Forrester har den här fantastiska rapporten som heter Predictions 2020, och förutsägelsen är att deepfakes kommer att kosta företag mer än en fjärdedel av 1 miljard dollar nästa år. Så tekniken går snabbare, men även påverkan och skadan är det.
Stephanie: Ja, korrekt. Och jag tror precis som ett typiskt brott, det finns de omedelbara kostnaderna. Så om du tänker på dina typiska som social ingenjörsattacker. Nyligen var det ett tyskt företag som någon faktiskt på ett övertygande sätt kunde fejka VD:ns röst och de övertygade en annan chef inom företaget att överföra något som en kvarts miljon dollar till dem. Så, det finns ett exempel på din nästa utveckling av affärskompromisser och sociala ingenjörsattacker. Så du kan föreställa dig att det är ännu mer sofistikerat, mer storslaget, men då är det också att hantera följderna av det. Att bevisa att det var en djupförfalskning, att hantera intrångssvaret, hur du hanterar det. Den totala kostnaden för det tror vi definitivt kan bli betydande.
Laurel: Är det något försäkringsbolag är redo att hantera eller kan hantera?
Stephanie: Intressant nog, det där exemplet som jag precis gav, så det är en deepfake, allt hände över eller datorinfrastruktur. Det skulle betraktas som bedrägeri i motsats till en extern attack. Så jag är inte säker på att din cyberförsäkring faktiskt ens skulle täcka det.
Laurel: Wow.
Stephanie: Och jag vet att många företag gör det som en del av deras svar. Det finns ett antagande att en stor del av det kommer att täckas. För ett stort företag är det inte ovanligt att ha en cyberförsäkring på 100 miljoner dollar. Så om du satsar på att kunna använda dessa 100 miljoner dollar, beroende på arten av exakt vad som hände. Om det klassificeras som bedrägeri kanske de inte täcker det.
Laurel: Vad kan chefer göra? Gå tillbaka till hemliga lösenord och handslag eller...
Stephanie: Ja, allt skämt åsido. Om det i dessa banköverföringstillfällen eller något annat som involverar som känsliga data, att ha den andra faktorn, autentisering, tror jag faktiskt är väldigt viktigt.
Laurel: Intressant. Uppenbarligen deepfakes, massor av snabbrörlig teknik, allt rör sig och blir så mycket mer sofistikerat. Så vi pratar inte bara om att de goda killarna har tillgång till all teknik. De onda gör det också. Så vad tittar vi på i en annan Forrester-förutsägelse här om beväpnad artificiell intelligens och maskininlärning? Det är ett stort ämne, men med så snabbt framskridande teknik och alla har tillgång till samma verktyg, pågår det en kapprustning, eller är det bara att vi alla måste se upp för varandra och bara få det gjort?
Stephanie: Jag tror att det är både och. Jag menar att säkerhet är en ständig kapprustning. Jag kommer att säga att jag tror att säkerhetsteam måste ta till sig maskininlärning och andra typer av artificiell intelligens mycket snabbt. Lika snabba som de onda är. Jag menar att det finns enorma möjligheter att automatisera många av våra kärnprocesser inom säkerhet. Allt från upptäckt till sanering till själva åtgärden.
Använder maskininlärning för bättre upptäcktsmöjligheter. Så tänk om vi kunde upptäcka något snabbare och sedan så mycket mer av vårt svar var automatiserat. Just nu är mycket av det vi gör väldigt manuellt. Detekteringsmanualen, som säkerhetsteam faktiskt ofta är, som att om du tittar på en typisk SOC, menar jag att de är översvämmade med tusentals varningar. Att försöka förstå vilka varningar som är viktigare än andra är svårt. Så återigen, det är typ prioriteringen. Som att omedelbart förstå vilka som verkligen är skändliga och farliga är avgörande. Och du kan anställa hur många som helst. Du skulle aldrig kunna hänga med.
Laurel: Höger.
Stephanie: Så du behöver verkligen teknik för att göra det åt dig. Men när du väl vet att något verkligen är skadligt, återigen, just nu är det en manuell process som har startat, vilket innebär att du manuellt skulle behöva återställa användarens lösenord. Du skulle manuellt behöva isolera enheter från nätverket. Allt görs manuellt och i vissa fall har vi fortfarande många steg där vi ber om godkännande. I framtiden skulle allt detta ske automatiskt. Du skulle behöva företag att arbeta med dig för att säga, 'OK, från och med nu om det når en viss tröskel, om vi är 90% säkra på att detta är skadligt, då säkerhetsteamet, alla processer är automatiserade.' Allt jag just beskrev som återställning av lösenord, isolering av enheter, allt detta kan ske automatiskt. Du behöver inte vänta på någons godkännande.
Laurel: Och tiden är avgörande?
Stephanie: Ja, så vi måste prata om företag som behöver genomgå digital transformation för att möta nya kunders förväntningar och förändrade affärskrav. Jag tror att säkerhetsteam måste genomgå sin egen digitala transformation, eftersom allt vi gör idag är så manuellt och så tidskrävande. Och om vi ska hålla jämna steg med cyberbrottslingar som drar fördel av dessa tekniker måste vi göra det förr snarare än senare.
Det var ett företag som använde algoritmer för maskininlärning för att rikta in sig på individer med mer sofistikerade budskap om social ingenjörskonst och som kunde öka inte bara det totala antalet människor som de kunde socialt konstruera, utan även framgången för klickningarna exponentiellt med maskininlärning och automationstekniker. Så ja, vi måste hänga med.
Laurel: Skulle du säga att det finns några andra speciella trender du tittar på för 2020 eller saker som folk borde hålla utkik?
Stephanie: Jag tror faktiskt att tredje parts risk och leveranskedja kommer att fortsätta att vara ett stort, stort problem. Och det är faktiskt ett annat område på grund av problemets storlek. När jag pratar om ett företag som har 300 tredjepartsrelationer – det är bara ett genomsnitt. Det finns stora företag med ännu fler än så, och det är mycket tidskrävande att bedöma hållningen, förhandla SLA, fortsätta att bedöma dem, hålla koll på dem, få loggar från dem så att du förstår var din data finns. Så enbart riskutmaningen från tredje part behöver sin egen uppsättning av automationsverktyg och regler för försörjningskedjan. Jag tror att omvandlingen av SOC kommer att fortsätta att vara ett problem under 2019.
Laurel: Säkerhetscentralen?
Stephanie: Säkerhetsoperationscentralen. Som om vi inte hade kompetens och personalbrist. Även om du skulle kunna anställa alla människor du vill kan du inte hänga med i omfattningen och utmaningen med problemen. Så du måste använda automatisering där också.
Laurel: Ser du att företag anammar automation först kanske inom säkerhet där de kan ha varit mer tveksamma i andra delar av verksamheten?
Stephanie: Ja. Och under lång tid fanns det en tveksamhet att införa automatisering, eftersom det fanns en rädsla för att jag skulle kunna blockera en legitim affärstransaktion. Och du vet, historiskt sett kämpade säkerhetsteamet för att ses som en affärspartner. De var avdelningen för nr. Och så det fanns denna fruktade rädsla för att potentiellt blockera någon form av legitim affärstransaktion. Jag tror att den rädslan är borta nu med tanke på alla överträdelser som vi har. Verksamheten är som, 'Nej, du vet att något är skadligt, du blockerar det.'
Laurel: Höger.
Stephanie: 'Eller inom ett visst förtroende, du tror att det är skadligt, du blockerar det.' Så det finns definitivt en öppenhet för automatisering. Jag kommer att säga, det finns den här frasen som automatisera inte dum. Du kan inte bara investera i en automationsteknik om du saknar grundläggande processer i din SOC. Så du måste mogna dina SOC-operationer och ha mogna processer och sedan kan du automatisera dem. Annars automatiserar du bara dumt. Och i vissa fall också, det är därför många företag vänder sig till hanterade tjänster.
Den stora majoriteten av säkerhetsbudgeten går faktiskt nu åt tjänster nu. Oavsett om det är rådgivande, professionellt hanterade tjänster eller säkerhet som faktiskt levereras som en tjänst från molnet. Det har gått bort från produkter på plats till tjänster. Och jag tror att en del av det speglar behovet av säkerhetsteam, de behöver extern hjälp. De har en problemskala, de har ett expertproblem, så de vänder sig mer och mer till tjänster. Och sedan verksamheten blir mer och mer molnbaserad, måste din säkerhetsteknik också bli molnbaserad.
Laurel: Och snabbt.
Stephanie: Exakt.
Laurel: Ja. Och det kommer verkligen tillbaka till en hel cirkel, gå inte ensam. Du kan inte göra det här helt själv ute i vildmarken.
Stephanie: Definitivt inte.
Laurel: Tack så mycket, Stephanie. Det var fantastiskt att ha dig i Business Lab idag.
Stephanie: Tack för att jag fick komma. Det var fantastiskt att vara här.
Laurel: Det var Stephanie Balaouras, vicepresident och gruppchef för säkerhets- och riskforskning samt infrastruktur- och operationsforskning vid Forrester Research, som jag pratade med från Cambridge, Massachusetts, hemmet för MIT och MIT Technology Review, med utsikt över Charles River. Tack också till vår partner, Microsoft Security.
Det var allt för det här avsnittet av Business Lab. Jag är din värd, Laurel Ruma. Jag är chef för Insights, avdelningen för anpassad publicering av MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology, och du kan också hitta oss i tryckt form, på webben, vid dussintals liveevenemang varje år. För mer information om oss och showen, kolla in vår hemsida, TechnologyReview.com. Den här showen är tillgänglig var du än får dina poddar. Om du gillade det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss. Business Lab är en produktion av MIT Technology Review. Det här avsnittet producerades av Collective Next. Tack för att du lyssna.
Säkerhetshot finns överallt. Det är därför Microsoft Security har över 3 500 experter på it-brottslighet som ständigt övervakar efter hot för att skydda ditt företag. Mer på Microsoft.com/cybersecurity.
