211service.com
Nous pensons mal à la cybersécurité
Michael Daniel a une perspective unique sur le monde chaotique de la cybersécurité d'aujourd'hui. Tout juste sorti d'un mandat de quatre ans en tant que principal cyberconseiller du président Obama, Daniel est maintenant président de la Alliance contre les cybermenaces , une équipe à but non lucratif d'entreprises de cybersécurité créant une plate-forme de partage d'informations sur les menaces courantes. Examen de la technologie MIT a rencontré Daniel lors de la conférence sur la sécurité informatique Black Hat à Las Vegas la semaine dernière. Ce qui suit est une transcription éditée de la discussion.
Vous avez vu le défi de la cybersécurité du point de vue du gouvernement et maintenant du secteur privé. Comment décririez-vous le moment où nous sommes en ce moment ?
Là où nous en sommes actuellement, c'est que de plus en plus de pays commencent à intégrer des cybercapacités dans leurs outils de gouvernement. Nous devons reconnaître que cela va devenir un outil de politique, non seulement pour les États-Unis et les acteurs haut de gamme comme la Russie, la Chine, Israël et la Grande-Bretagne, mais pour presque tout le monde. En conséquence, nous devons commencer à réfléchir à la manière dont nous établissons des normes de comportement et des règles de la route, afin que cela ne soit pas déstabilisant.
Les criminels ainsi que les États-nations deviennent de plus en plus sophistiqués dans leurs cyberopérations. Quel rôle la Cyber Threat Alliance peut-elle jouer pour résoudre ce problème ?
À son niveau le plus large, CTA est une organisation de partage et d'analyse d'informations, qui se concentre sur le fournisseur et la communauté des fournisseurs de cybersécurité. Il n'y a pas vraiment d'autre organisation qui fasse ce genre de travail. Fondamentalement, le CTA consiste à faire deux choses. Premièrement, pouvons-nous changer la façon dont la concurrence se produit dans l'industrie de la cybersécurité pour la rendre plus bénéfique pour l'ensemble ? Au lieu de continuer à rivaliser sur mon pool de données inadéquat est plus grand que votre pool de données inadéquat, nous devons avoir partagé nos pools de données, et la concurrence devrait être sur Je fais de meilleures choses avec les données—je suis plus rapide, ou Je m'intègre mieux à votre entreprise ou je comprends mieux votre modèle d'entreprise, quel qu'il soit. C'est un niveau de concurrence de plus grande valeur. Tout le monde s'en portera mieux.
Deuxièmement, en combinant les informations, nous pouvons commencer à définir des moyens plus efficaces de perturber les méchants et de le faire sur l'ensemble de leur processus métier. Il ne s'agit pas d'un enfant dans son sous-sol ; ce n'est pas la vraie menace. Ce sont des organisations qui fonctionnent comme des entreprises, et nous devons commencer à y penser en termes de perturbation de leurs modèles commerciaux.
Mais cette approche fonctionnera-t-elle si l'attaquant est un adversaire d'un État-nation ?
Oui et non. À un certain niveau, l'idée de produire un livre de jeu fonctionnerait tout aussi bien pour un État-nation adversaire. Maintenant, leurs motivations sont différentes. La plupart des États-nations sont prêts à investir du temps et de l'argent d'une manière qu'une organisation criminelle ne veut pas et ne peut pas, de sorte que l'impact que vous pourriez avoir peut être différent. Mais vous pouvez toujours leur imposer des coûts et les ralentir.
En fin de compte, cependant, le secteur privé devra trouver de nouvelles façons de coopérer avec le gouvernement sur ces questions, compte tenu de la nature de la menace. Comment pouvons-nous innover dans le domaine politique pour permettre cela ?
Je peux vous donner deux exemples. Nous avons appris que si vous optez pour votre système de retraite, vous obtenez en général un taux de participation d'environ 45 à 50 % parmi vos employés. Si, toutefois, vous optez pour votre système de retraite, vous obtenez un taux de participation de 95 %. Il n'y a pas de différence technique entre ces deux choses, mais du point de vue du processus, elles donnent des résultats radicalement différents. Pourquoi? A cause de sa psychologie. Les gens sont paresseux. Si vous leur faites prendre une décision, ils trouveront une raison de ne pas le faire. Mais si l'option est Voici cette bonne chose pour vous et que tout ce que vous avez à faire est de l'accepter, seul un petit pourcentage dira non. Alors, quel est l'équivalent cybernétique de cela ? Comment rendre la cybersécurité opt-out plutôt que opt-in ?
De même, nous avons cette idée que la cybersécurité est comme la sécurité des frontières. Ça n'a aucun sens. Tout le monde dans le cyberespace touche quelqu'un d'autre. Il n'y a ni barrière ni intermédiaire. Cela signifie que nous devons penser à la cybersécurité et à la relation entre le gouvernement et le secteur privé en utilisant un modèle complètement différent. Peut-être devrions-nous emprunter des modèles. Par exemple, regardez comment nous pensons aux catastrophes naturelles. Lors d'une catastrophe naturelle, la réponse commence localement. S'il commence à submerger les responsables locaux, le gouvernement de l'État intervient. Si cela dépasse l'État, ils peuvent faire appel à l'aide mutuelle d'autres États. Si cela va au-delà, la FEMA intervient au niveau national. Quel est l'équivalent cyber de cela? Comment procédons-nous au transfert et décidons-nous si quelque chose est le genre de chose que le secteur privé peut et devrait gérer par lui-même, par opposition à quelque chose qui demande l'aide du gouvernement fédéral? Nous n'avons pas encore le langage politique pour parler de ce qu'est cette relation.