211service.com
Vi tänker på cybersäkerhet helt fel
Michael Daniel har ett unikt perspektiv på dagens kaotiska värld av cybersäkerhet. Efter fyra år som president Obamas främsta cyberrådgivare är Daniel nu president för Cyberhotsalliansen , ett ideellt team av cybersäkerhetsföretag som bygger en plattform för att dela information om vanliga hot. MIT Technology Review träffade Daniel på Black Hats datorsäkerhetskonferens i Las Vegas förra veckan. Det som följer är en redigerad utskrift av diskussionen.
Du har sett cybersäkerhetsutmaningen från både regeringens och nu den privata sektorns perspektiv. Hur skulle du beskriva den stund vi befinner oss i just nu?
Där vi är just nu är att fler och fler länder börjar införliva cyberkapacitet i sina verktyg för statsskapande. Vi måste inse att det kommer att bli ett verktyg för statsskicklighet, inte bara för USA och avancerade aktörer som Ryssland, Kina, Israel och Storbritannien, utan för nästan alla. Som ett resultat måste vi börja tänka igenom hur vi sätter upp beteendenormer och trafikregler, så att detta inte är destabiliserande.
Kriminella såväl som nationalstater blir mer sofistikerade i sina cyberoperationer. Vilken roll kan Cyber Threat Alliance spela för att ta itu med detta?
På sin bredaste nivå är CTA en organisation för informationsdelning och analys, en som är fokuserad på leverantören och cybersäkerhetsleverantörernas community. Det finns egentligen ingen annan organisation som gör den här typen av arbete. I grunden handlar CTA om att göra två saker. För det första, kan vi ändra hur konkurrensen uppstår i cybersäkerhetsbranschen för att göra den mer fördelaktig för helheten? Istället för att fortsätta konkurrera på att min otillräckliga datapool är större än din otillräckliga datapool, måste vi ha delat våra datapooler, och konkurrensen borde ligga på att jag gör bättre saker med datan – jag är snabbare, eller Jag integrerar bättre med ditt företag, eller så förstår jag din affärsmodell bättre – vad det än är. Det är en konkurrens med högre värde. Alla kommer att ha det bättre.
För det andra, genom att kombinera informationen kan vi börja faktiskt kartlägga mer effektiva sätt att störa skurkarna, och göra det genom hela deras affärsprocess. Det här handlar inte om ett barn i hans källare; det är inte det verkliga hotet. Det här är organisationer som driver som företag, och vi måste börja tänka på det i termer av att störa deras affärsmodeller.
Men kommer det tillvägagångssättet att fungera om angriparen är en motståndare till en nationalstat?
Ja och nej. På en nivå skulle idén om att producera en lekbok fungera lika bra för en nationalstatsfiender. Nu är deras motivation annorlunda. De flesta nationalstater är villiga att investera tid och pengar på ett sätt som en kriminell organisation både inte vill och inte kan, så effekten som du kan ha kan vara annorlunda. Men du kan fortfarande lägga på dem kostnader och bromsa dem.
Men i slutändan kommer den privata sektorn att behöva hitta nya sätt att samarbeta med regeringen i dessa frågor, med tanke på hotets natur. Hur kan vi förnya oss på det politiska området för att möjliggöra det?
Jag kan ge dig två exempel. Vi har lärt oss att om du gör ditt pensionssystem opt-in, får du i allmänhet cirka 45 till 50 procent av dina anställda. Om du däremot väljer bort ditt pensionssystem får du 95 procents uttagsgrad. Det finns ingen teknisk skillnad mellan dessa två saker, men ur processsynpunkt ger de dramatiskt olika resultat. Varför? På grund av psykologin i det. Folk är lata. Om du får dem att fatta ett beslut, kommer de att hitta en anledning att inte göra det. Men om alternativet är Här är det här bra för dig och allt du behöver göra är att bara gå med på det, kommer bara en liten andel att säga nej. Så vad är cybermotsvarigheten till det? Hur får vi cybersäkerhet att välja bort snarare än att välja in?
På samma sätt har vi den här idén att cybersäkerhet är som gränssäkerhet. Det är ologiskt. Alla i cyberrymden rör vid någon annan. Det finns ingen barriär eller mellanhand. Det betyder att vi måste tänka på cybersäkerhet och relationen mellan regeringen och den privata sektorn med en helt annan modell. Kanske behöver vi låna några modeller. Titta till exempel på hur vi tänker om naturkatastrofer. Vid en naturkatastrof börjar reaktionen lokalt. Om det börjar överväldiga de lokala tjänstemännen, går delstatsregeringen in. Om det går utöver staten, kan de kalla på ömsesidig hjälp från andra stater. Om det går utöver det, kliver FEMA in från nationell nivå. Vad är cybermotsvarigheten till det? Hur gör vi överlämningen och bestämmer om något är den typ av sak som den privata sektorn kan och bör hantera på egen hand, kontra något som kräver att FBI ska hjälpa? Vi har ännu inte policyspråket för att prata om vad det förhållandet är.