Get Cyber Resilient Ep 92 | Wie man ein Ransomware-Muskelgedächtnis aufbaut - mit Nick Abrahams
Bei uns ist Nick Abrahams, Global Co-Leader Digital Transformation Practice bei Norton Rose Fullbright.
Nick ist auch der Gründer der erfolgreichen juristischen Online-Website "LawPath", er hat den weltweit ersten KI-fähigen Chatbot für den Datenschutz "Parker" entwickelt, er hat eine blühende Karriere als Keynote-Speaker zu Zukunftstrends und Innovation und ist der Autor der meistverkauften Kindle-Bücher "Big Data, Big Responsibilities" und "Digital Disruption in Australia".
In dieser Folge, die vollgepackt ist mit seinen Erkenntnissen über Ransomware, erzählt Nick von seinen Erfahrungen in der Zusammenarbeit mit Vorständen bei Sicherheitsverletzungen und wie sie ihr Muskelgedächtnis für den Umgang mit Lösegeldzahlungen aufbauen können. Nick blickt auch in die Kristallkugel, um uns seine Vision von der Zukunft des Web3 zu erläutern.
Die Get Cyber Resilient Show Episode #92 Transkript
Garrett O'Hara: Willkommen zum Get Cyber Resilient-Podcast, ich bin Gar O'Hara. Heute haben wir Nick Abrahams zu Gast, der bei Norton Rose Fulbright als globaler Co-Leiter für die digitale Transformation zuständig ist. Nick ist außerdem Anwalt für Corporate Tech, Redner zu den Themen web3, Krypto, NFT und Metaverse, Unternehmer über LawPath und Autor von Big Data, Big Responsibilities and Digital Disruption in Australia. Wir hatten ein interessantes Gespräch, in dem Nick über seine Erfahrungen in der Zusammenarbeit mit Vorständen bei Sicherheitsverletzungen berichtete und, was vielleicht noch wichtiger ist, über seine Arbeit mit Vorständen, um ihr Muskelgedächtnis zu trainieren, was sie im Falle von Lösegeldzahlungen tun werden. Er führt mit den Vorständen Simulationen in sechs Schritten durch, um ihnen zu helfen, Klarheit zu gewinnen, ohne dass sie unter großem Stress stehen. Wir kamen auch kurz auf web3 zu sprechen, was das ist und einen kleinen Vorgeschmack darauf, was es in Zukunft für uns alle bedeuten kann. Zurück zum Gespräch.
Willkommen zum Get Cyber Resilient-Podcast. Ich bin Gar O'Hara. Heute ist Nick Abrahams bei mir, der bei Norton Rose Fulbright unter anderem als globaler Co-Leiter für die digitale Transformation zuständig ist, aber ich werde Nick nicht den Wind aus den Segeln nehmen. Wie geht es Ihnen heute, Nick? Willkommen zum Podcast.
Nick Abrahams: Vielen Dank, Gar, ich freue mich sehr, hier zu sein. Mir geht es wirklich sehr gut, danke.
Garrett O'Hara: Glückliche Tage, ja, wir überleben beide die biblischen Flutpegel, die wir hier in Sydney erleben, also ja, schön, dass Sie heute dabei sind. Nick, die erste Frage, die wir so gut wie jedem stellen, ist: Wie sind Sie dahin gekommen, wo Sie heute sind? Ich schaue mir die Dinge an, die du tust [lacht], und das ist eine ziemlich breite Palette von Dingen, in die du involviert bist. Aber ich würde mich freuen, wenn du uns erzählen würdest, wie du dahin gekommen bist, wo du heute bist.
Nick Abrahams: Sicher, sicher. Nun, und nur ... Ich denke ... Nun, ich sage, ich werde es schnell sagen, und meine Frau sagt, "Nun, nein, du arbeitest immer an dieser Geschichte." Wie dem auch sei. Also ja, ich habe als Anwalt angefangen, dann hatte ich eine kleine Persönlichkeitsstörung und wollte ein Hollywood-Studioleiter werden. Also ging ich nach Los Angeles und besuchte die Filmschule an der University of Southern California. Und das war alles großartig, und ich arbeitete bei Warner Brothers als eine Art kreative Führungskraft, und dann hatte ich eine weitere Erleuchtung, nämlich dass die Zahl der Soziopathen in Film und Fernsehen in Los Angeles wirklich ziemlich hoch ist.
Ich verließ das Unternehmen und kam dann mit einer Dotcom zusammen, das war '98, also wirklich zu Beginn des ersten Dotcom-Booms, und ich war Chief Operating Officer dieses Unternehmens. Wir brachten es an der ASX an die Börse, und es sah für mich so aus, als würde ich nie wieder arbeiten. Aber Gar, weißt du, das Geld hätte mich verwöhnt, und so mit dem...
Garrett O'Hara: [lacht]
Nick Abrahams: ... nach dem Dotcom-Crash ging es mit meinem Aktienkapital sehr schnell bergab, und mein Interesse an der Rechtswissenschaft erwachte in ähnlichem Maße wieder, und dann kam ich von L.A. zurück nach Australien und konzentrierte mich darauf, das zu tun, was ich bei einer Reihe von US-Tech-Firmen gesehen hatte [inaudible 00:03:07], nämlich mich super in die Technologie-Community zu integrieren. Seit 2002 habe ich versucht, ein Teil der Technologie-Gemeinschaft zu sein, indem ich Dienstleistungen im Bereich des Technologierechts anbiete, aber auch, indem ich einfach im Netzwerk helfe und so weiter, indem ich Menschen helfe, wo ich kann.
Meine Haupttätigkeit ist die Technologiearbeit, ich mache also Technologie, M&A, und dann mache ich auch datenbezogene Arbeit, Datenschutz und Cyber, worüber wir heute ein wenig sprechen werden, und ich habe zwei Bücher über Technologie geschrieben. Und um das Ganze abzurunden, habe ich ein separates Unternehmen, das ich vor sieben Jahren gegründet habe, LawPath, ein juristisches Online-Unternehmen, das [unhörbar 00:03:54] ist, so dass ich 45 Leute eingetragen habe, und ich war auch in einem börsennotierten Vorstand, einem Softwareunternehmen, ASX 300, sechs Jahre lang, und sitze auch in drei anderen Vorständen. Ja, so bin ich hierher gekommen.
Garrett O'Hara: Und um das zusammenzufassen, deshalb sollten wir Ihnen zuhören, Sie haben ein...
Nick Abrahams: [lacht] Da bin ich mir nicht so sicher.
Garrett O'Hara: ... ja, ziemlich, [
Nick Abrahams: Crosstalk 00:04:19]-
Garrett O'Hara: ... Und ich denke, Sie haben, Sie können wahrscheinlich hinter Ihnen sehen, Nick, ich glaube, Ihr Buch Big Data, Big Responsibilities steht irgendwo in diesem Regal.
Nick Abrahams: Ach, jetzt redest du schon, Gar.
Garrett O'Hara: So,
Nick Abrahams: Normalerweise hält er den Monitor hoch.
Garrett O'Hara: [lacht] Bitte sehr.
Nick Abrahams: Das ist die Art und Weise, wie die meisten Leute es verwenden.
Garrett O'Hara: [lacht] Fantastisch. Also, ja, ganz klar jemand, der einen starken Stammbaum in der Technologie hat, und dann natürlich die juristische Seite, also das, das ist fantastisch, und ein wirklich guter Einstieg in dieses Gespräch. Eines der Themen, über die wir heute sprechen wollten, war Ransomware, die eindeutig ein sehr aktuelles Thema ist. Und ich weiß, dass Sie offensichtlich viel Arbeit mit Gremien und in der Industrie zu diesem Thema geleistet haben. Ich denke, man kann mit Fug und Recht behaupten, dass der Vorstand normalerweise nicht an den operativen Entscheidungen beteiligt ist, wenn es darum geht, sich von einem Cyberangriff zu erholen. Das ist irgendwie nicht ihre Sache, sonst hätten sie die Aufsicht, aber sie treffen nicht wirklich die Entscheidungen. Warum ist es also notwendig, dass ein Gremium in die Entscheidung einbezogen wird, wenn es um Lösegeldzahlungen geht?
Nick Abrahams: Ja, es ist also eine ganz andere Sache mit Ransomware als eine normale Datenkompromittierung. Bei einer normalen Datenkompromittierung, bei der es nicht um Lösegeld geht, hat der Vorstand lediglich die Aufsicht. In der Regel überlassen sie es den leitenden Technikern, dafür zu sorgen, dass der Betrieb so schnell wie möglich wieder aufgenommen wird. Der Vorstand hat also nur die Aufsicht. Interessanterweise muss der Vorstand im Falle von Ransomware eine Entscheidung treffen, auf die jeder Vorstand nur schwer vorbereitet ist. Denn wenn wir es auf den Punkt bringen, geht es um die Entscheidung, ob das Unternehmen einen Kriminellen bezahlen soll, um ein für das Unternehmen vorteilhaftes Ergebnis zu erzielen. Die Verwaltungsräte haben diese Entscheidung noch nie getroffen. Es ist also eine sehr komplizierte Frage für sie.
Garrett O'Hara: Ja, das kann ich mir gut vorstellen. Und in Ihren Versuchen, sie dabei zu unterstützen oder ihnen dabei zu helfen, an einen Punkt zu kommen, an dem das einfacher wird, und ich nehme an, dass sie diese Entscheidung nicht zum ersten Mal treffen [lacht], wenn es - wenn es eine Art echtes Leben ist, haben Sie tatsächlich eine Simulation geschaffen, um den Gremien dabei zu helfen, diese Frage der Lösegeldzahlung in den Griff zu bekommen, zu zahlen oder nicht zu zahlen und, Sie wissen schon, verhandeln wir mit Terroristen? Wissen Sie, es gibt eine Menge T-Shirt-Sprüche, die in der Branche gesagt werden. Warum haben Sie die Simulation erstellt?
Nick Abrahams: Ja, also, es ist, es basiert auf der Grundlage von ... Ich habe also eine Langzeitsimulation durchgeführt, eine zweistündige Simulation, die für das Senior Leadership Team war. Wir führen sie durch die ganzen Ransomware- und Datenschutz-Benachrichtigungs-Probleme, und so w- das war sehr erfolgreich, wir haben das viele, viele Male gemacht, und es hat Spaß gemacht. Es wurde jedoch deutlich, dass Vorstandsmitglieder in der Regel nicht an diesen Simulationen des Senior Leadership Teams teilnahmen, und es kam zu einem Ransomware-Angriff, und wir hatten mit vielen, vielen Ransomware-Angriffen zu tun. Ich meine, es ist bedauerlich, aber es ist ein sehr wichtiger Teil meiner Praxis und der Praxis meines Teams geworden. Was bei einem Ransomware-Angriff passiert, ist, dass die Organisation in einen Schockzustand gerät und in massive Angst versetzt wird, und zu diesem Zeitpunkt kommt der Vorstand zusammen und muss eine schnelle Entscheidung darüber treffen, ob Lösegeld gezahlt werden soll oder nicht.
Wie ich bereits sagte, haben die Gremien noch nie eine derartige Entscheidung getroffen. Ich wurde also mit dem Fallschirm abgesetzt, um mich an die Vorstände zu wenden, wenn sie sich in einer Extremsituation befinden, und um ihnen ein Gefühl dafür zu vermitteln, welche Fragen sie stellen sollten.
Und was dann ... Und, und es ist eine sehr es ist eine sehr komplizierte Entscheidung für Gremien aus einer Vielzahl von Gründen, auf die wir noch eingehen werden. Aber ich habe dann beschlossen, dass die Gremien einen Rahmen brauchen, um damit umzugehen, und auch ein gewisses Muskelgedächtnis. Ich denke, es wäre gut, wenn ein Gremium eine Simulation durchlaufen hätte, in der es eine Entscheidung darüber getroffen hätte, ob es Lösegeld zahlt oder nicht, und dann einen Rahmen für diese Entscheidung gehabt hätte. Also habe ich die Idee einigen Gremien vorgestellt, und sie war sehr erfolgreich, so dass ich sie viele, viele Male umgesetzt habe. Wenn man in die Gremien geht, und das ist eine verkürzte Version, dann sind es im Grunde nur 45 Minuten, denn alle Gremien haben wenig Zeit.
Und so verbringe ich die ersten 15 Minuten damit, den Leuten die sechs Fragen zu stellen, die sich jeder Vorstand stellen sollte, bevor er entscheidet, ob er das Lösegeld zahlt oder nicht. In den ersten 15 Minuten geht es also darum, und in den nächsten 30 Minuten geht es um den Vorstand. Ich gebe dem Vorstand dann sozusagen ihre, Sie wissen schon, ihre Parameter, und dann geht es darum, den Vorstand dabei zu beobachten, wie er versucht, diese Entscheidung zu treffen. Und es ist faszinierend, und ich sollte sagen, dass dieses Thema so umstritten ist, dass ich noch nie einen einstimmigen Vorstand hatte. Es gibt immer ein oder zwei Leute, die das nicht bezahlen wollen, oft aus moralischen Gründen. Es ist also wichtig, dass alle Vorstände das vorher in Rollenspielen durchgespielt haben, damit sie wissen, wie sie damit umgehen können, wenn... Und leider, wissen Sie, ist es wahrscheinlich eher eine Frage des Wann als eine des Ob.
Garrett O'Hara: Haben Sie irgendwelche Unterschiede in Bezug auf die Art der Organisation gesehen, und, wissen Sie, die, wissen Sie, woran der Vorstand beteiligt ist, und, wissen Sie, hier denke ich an Organisationen, bei denen, wissen Sie, ein Ransomware-Angriff, abhängig von, wissen Sie, was im Voraus eingerichtet wurde, von Bedeutung sein kann oder nicht. Es könnte also eine abgespeckte Version des Drucks geben. Und dann gibt es noch das andere Szenario, bei dem es Organisationen gibt, bei denen der Druck erheblich erhöht werden könnte, und, wissen Sie, hier denke ich an die Dinge, bei denen es buchstäblich darum geht, dass wir etwas tun, das auf dem Papier unethisch ist, aber es hält die Leute in Arbeit, hält das Geschäft am Laufen, möglicherweise unter der Annahme, dass die Schlüssel nach der Zahlung übergeben werden. Das muss unglaublich schwierig sein, sich in einer Vorstandssituation zurechtzufinden, wissen Sie. Aber, wissen Sie, ich nehme an, die Frage ist, ob Sie bei den vielen Vorständen, mit denen Sie sprechen, Muster erkennen können, wie z. B. "Oh, wenn es sich um diese Art von Organisation handelt, neigen wir dazu, dass sie sich mehr auf die Bezahlung konzentrieren, während dies bei dieser Art von Organisation vielleicht weniger der Fall ist?"
Nick Abrahams: Ja, ja. Ich denke, dass in gründergeführten Unternehmen oder in Unternehmen, in denen ein starker Anteilseigner im Vorstand sitzt, in der Regel ein enormes Maß an Pragmatismus herrscht, und das ist bei börsennotierten Unternehmen im Allgemeinen der Fall. Also ein hohes Maß an Pragmatismus. Es herrscht also ein überwältigendes Gefühl, dass wir das einfach tun müssen. Wir zahlen das Geld und gehen das Risiko ein. Und so rückt die ethische Frage ein wenig in den Hintergrund, und man kann die Stärke bestimmter Stimmen in einem Gremium erkennen.
Und dann kommt man vielleicht zu vielfältigeren Gremien. Ich habe mich mit einigen Unternehmen aus dem Energie- und Infrastrukturbereich beschäftigt, und die haben in der Regel etwas vielfältigere Vorstände, mit Leuten, die über andere Dinge nachdenken - es geht nicht unbedingt um die Finanzen und so weiter, es gibt eine ganze Menge anderer Dinge. Sie werden also etwas breiter über die ethischen Fragen nachdenken.
Und dann, wissen Sie, eine Sache, die einen sehr schnell zur Kasse bittet, ist, wenn es, wenn, wenn es jemals eine Art von Leben gibt, das gefährdet ist. Wir haben also gesehen, dass diese Bedrohungsakteure keine Skrupel haben, wenn es um das Gesundheitswesen geht. Ja, sie greifen überall an. Bei der Gesundheitsfürsorge und so weiter haben wir gesehen, dass sie bereit sind, zu zahlen.
Aber ich muss sagen, dass in jeder Simulation, und eigentlich in den meisten Ransomware-Fällen, mit denen ich zu tun hatte, eine Entscheidung zur Zahlung getroffen wurde. Ich denke, dass die Leute sich damit arrangieren können, und wir werden das im Laufe der Simulation besprechen, aber ja, ich denke, dass die meisten Organisationen am Ende die Zahlung leisten.
Garrett O'Hara: Ja, interessant. Spielt es bei der Entscheidung eine Rolle, welchen Status die Organisation im Hinblick auf die Cyberversicherung hat? Denn ich weiß, dass sie eine Stimme haben, wenn es um den Zugang zu Fachwissen geht und um die Leute, die möglicherweise mit den Terroristen verhandeln können, wie man so schön sagt. Wie haben Sie das erlebt? Verwässert das die Fähigkeit des Vorstands, eine Entscheidung in die eine oder andere Richtung zu treffen, wenn es sich um eine vertragliche Verpflichtung in einer Cybersicherheitsrichtlinie handelt, die eine Zahlungs- oder Nichtzahlungsklausel ist, oder, oder, oder, wie funktioniert das?
Nick Abrahams: Ja, ja, nein, das ist ein guter Punkt. Wenn das Unternehmen also eine Cyber-Versicherung hat, und vor allem, wenn die Cyber-Versicherung bereit ist, zu zahlen, und das war früher der Fall, ist das heute nicht mehr so häufig der Fall, also sollte man sich nicht zu sicher sein, dass die Cyber-Versicherung alles abdeckt. Das mag ja sein, aber wir sehen, dass das ein bisschen nachlässt. Aber [inaudible 00:14:10], wenn es eine Cyber-Versicherung gibt, dann ist der Vorstand oft in einer besseren Position, weil er die Verantwortung für die Entscheidung abgeben kann, weil der Vorstand sagen kann: "Nun, wissen Sie, wir sind durch eine Cyber-Versicherung abgedeckt, und es ist der, wir haben den Anspruch an den Cyber-Versicherer übergeben, und es ist der Cyber-Versicherer, der die Entscheidung trifft, ob das Lösegeld bezahlt wird oder nicht." Ich spreche in der Simulation speziell über Cyber-Versicherungen, nehme sie aber vom Tisch, weil es für den Vorstand allzu leicht ist, einfach zu verzichten und zu sagen: "Nun ja, wir überlassen es dem Cyber-Versicherer, und der wird, Sie wissen schon, die Entscheidung treffen."
Und ich sollte sagen, dass ich wunderbare Erfahrungen mit Cyber-Versicherern gemacht habe, die die Kontrolle über die Situation übernehmen und die Verhandlungen führen, und das sehr gut. Und, und so gibt es eine, wissen Sie, es gibt eine ... Ich, ich bin kein [unhörbar 00:15:06] für Cyber-Versicherungen, aber das ist die Realität, dass diese Leute jeden Tag mit diesen Bedrohungsakteuren zu tun haben, und sie haben einige sehr gute Methoden, um diese Lösegeldforderungen zu verwalten, und, und, und die Dinge auf eine ziemlich effektive und effiziente Weise zu behandeln. Und man hat das Gefühl, dass man in den Händen von echten Profis ist.
Garrett O'Hara: Das ist genau das, was man will, wenn man sich in einer Situation befindet, in der man maximalen Stress hat, dann will man in der Lage sein, eine Cyberversicherung abzuschließen, denn der Gedanke, keine Entscheidung treffen zu müssen, ich bin dafür, ich bin für jede [lacht] Gelegenheit zu haben, keine Entscheidung treffen zu müssen.
Eines der Dinge, die mir in den Sinn kommen - wir sprechen darüber im allgemeinen Training, vergessen Sie das Cyber, einfach im Leben im Allgemeinen - ist, dass Wiederholung Meisterschaft bedeutet. Wissen Sie, man muss diese Dinge immer und immer wieder tun, um, um Ihre Worte zu benutzen, das Muskelgedächtnis aufzubauen. Wie sehen Sie das bei Ihren Simulationen mit den Gremien in Bezug auf eine Art Kadenz? Ist es einmal im Jahr, einmal alle sechs Monate, wie funktioniert das am erfolgreichsten?
Nick Abrahams: Sehr interessant. Es gibt also einen bestimmten Ausschuss, der sich alle sechs Monate trifft und...
Garrett O'Hara: Jepp.
Nick Abrahams: ... Denn die Simulation soll wirklich eine ganze Reihe von Konzepten und eine Struktur zum Nachdenken über die Entscheidungsfindung einführen. Sie müssen die Simulation also nicht wiederholen, aber die Unternehmen könnten daraus ein Playbook entwickeln, das ihnen zeigt, worauf sie achten sollten. Sie haben die Struktur, aber was halten sie davon? Und dann werde ich etwa alle sechs Monate wieder eingeladen, um ein Gefühl dafür zu bekommen, wie es weitergeht, denn es ist ein ziemlich fließendes Thema in Bezug auf einige der Dinge, die wir ansprechen, z. B. ob es rechtlich zulässig ist, wie sich die Pflichten des Direktors auswirken und so weiter. Diese Art von Nuancen verschiebt sich ein bisschen, und so, ja, also da, da, da kann es [unhörbar 00:17:12] sein, ist nicht immer, weißt du, einige, einige Boards waren einfach, weißt du, "Danke, Nick, das ist, das ist toll, und wir werden es von hier aus übernehmen."
Aber andere haben es so gesehen, dass jemand kommt, der regelmäßig damit konfrontiert ist, und der in der Lage ist, sie auf den neuesten Stand zu bringen, wie...
Garrett O'Hara: Du sprichst von den Dingen, die sich verändern. Ich würde gerne wissen, was Sie über die Meldepflicht für Lösegeldzahlungen denken und wie Sie dazu stehen, ob Sie dafür oder dagegen sind, wie Sie es sehen.
Nick Abrahams: Ja, sehen Sie, ich denke, ich denke, es ist absolut entscheidend, dass wir eine Meldepflicht für Lösegeldzahlungen haben. Ich denke, das ist einfach ein verabscheuungswürdiges Geschäftsmodell, das sich entwickelt hat, und es fühlt sich an, als würde es sich beschleunigen, nicht verlangsamen, und es gibt nur wenig, was die Regierung tun kann, um es zu verhindern, außer Lösegeldzahlungen zu verbieten, was, wie Sie wissen, die Regierungen auf der ganzen Welt nicht getan haben, aber das wäre offensichtlich ein Weg, um dieses spezielle Geschäftsmodell zu beenden. Aber ich glaube nicht, dass das passieren wird.
Der Vorschlag der Regierung bezüglich der Meldepflicht ist also wirklich eine Informationsbeschaffung, und ich denke, je mehr Informationen wir haben, desto besser können wir auf diese Dinge reagieren. Wir haben uns also an einigen Diskussionen darüber beteiligt, wie die obligatorische Benachrichtigung aussehen wird. Ich denke, wir müssen uns darüber im Klaren sein, dass der gesamte Datenbereich allmählich von einer ganzen Reihe verschiedener Leute reguliert wird. Und so wird es allmählich etwas kompliziert, welche Informationen wann an wen weitergegeben werden müssen. Ich denke, wenn wir einfach erkennen, dass Organisationen so schlank wie möglich sein sollten, aber ich denke, dass die Benachrichtigung über Ransomware-Angriffe eine gute Idee ist, denke ich, dass die Regierung diese Informationen konsolidieren kann und sie dann hoffentlich zurückgibt.
In gewisser Hinsicht ist es einfach, denn einige dieser Leute sind nicht sonderlich raffiniert und verwenden einfach nur Tools, die im Dark Web verfügbar sind usw. Je mehr Wissen wir also schnell zur Verfügung haben, wenn es zu einem solchen Einbruch kommt, desto eher können wir uns fragen, ob es einen Weg gibt, das Problem zu umgehen, ob wir den Täter kennen. Was ist ihre Geschichte? Funktionieren sie, Sie wissen schon, funktionieren sie im Allgemeinen, funktionieren ihre Entschlüsselungsschlüssel und so weiter? Je mehr Informationen wir haben, desto besser, denn im Moment - und das ist eines der Dinge, an die ich die Vorstände zu gewöhnen versuche - operiert man mit Informationen in einem absoluten Vakuum. Man weiß nicht, wie umfangreich die Schadsoftware im System ist, man muss viele Systeme sperren und eine Menge Analysen durchführen, das braucht Zeit. Man weiß nicht, wie erfolgreich es sein wird, wenn man zahlt und die Entschlüsselungsschlüssel usw. bekommt. Je mehr Informationen wir also haben können, desto besser.
Garrett O'Hara: Ich habe vor kurzem mit jemandem darüber gescherzt [lacht], und wir haben über die Meldepflicht gesprochen und darüber, wie dieser Datensatz dann nützlich wird, wenn es um die Bezahlung geht, so wie Sie es beschrieben haben, und [lacht] wir kamen zu dem Punkt, an dem wir dachten, dass es wie eine Bewertung des Fahrers einer Fahrgemeinschaft sein würde, bei der man ihm einen Stern gibt und einen Kommentar hinterlässt. Du weißt schon, "10/10, würde wieder Lösegeld zahlen," du weißt schon, ich-
Nick Abrahams: Nun, ich meine, ich muss sagen, dass die Benutzererfahrung bei einigen von ihnen gar nicht so schlecht ist, so bizarr das auch klingt. Ich meine, es gibt natürlich die FAQs, wenn man wissen will, wie man Krypto kauft, um das Lösegeld zu bezahlen, dann gibt es eine ganze Reihe von Dingen, die das betreffen. Sie sind also oft sehr deutlich in ihren Botschaften. Es ist, wissen Sie, es ist, es gibt eine, es ist, Sie sind in keine Ungewissheit um das zu verlassen. Ich denke also, so bizarr es auch klingen mag, Sie sind besser dran, wenn Sie von jemandem oder einer Organisation getroffen werden, der/die sich damit auskennt, als von jemandem, der nur ein paar Tools herunterlädt und Glück hat.
Denn wenn man eine Organisation hat, die das wirklich gut kann, dann funktionieren die Entschlüsselungsschlüssel oft besser. Und das ist die große Unbekannte. Und das ist etwas, das für die Aufsichtsräte schwer zu verstehen ist, denn im Allgemeinen liegt das Lösegeld bei einer Million Dollar, was die meisten Aufsichtsräte verstehen können, denn das ist eine Menge Geld, aber im Grunde ist es eine Wette. Sie sagen: "Wenn ich eine Million Dollar investiere, kommen meine Systeme vielleicht schneller wieder in Gang."
Aber die Gremien tun sich schwer mit diesem Vorschlag. Einige von ihnen denken, dass es ein bisschen so ist, als hätten sie es mit Accenture zu tun. Und wenn sie ihre Million Dollar zahlen, bekommen sie die Entschlüsselungsschlüssel und am nächsten Tag ist alles wieder gut. Also, das ist es nicht. A- und das ist ein guter Lernprozess für Vorstände, weil Vorstände besonders dann, wenn sie versuchen, diese Entscheidung zu treffen, wenn das Unternehmen unter Zwang steht, weil sie [unhörbar 00:22:56] sind, es gibt, es gibt, es gibt eine Menge für sie, um den Kopf zu bekommen. Das ist eine der großen Lehren, die ich, entschuldigen Sie, für die Gremien gezogen habe, nämlich, dass es für das Geld, das man bezahlt, keinerlei Garantie gibt, dass die Entschlüsselungsschlüssel funktionieren werden. Alles, was wir tun, ist also, einen bestimmten Betrag zu zahlen und zu hoffen, dass wir unsere Systeme und Daten etwas schneller zurückbekommen. In manchen Fällen geht es viel schneller, in anderen Fällen funktioniert es vielleicht gar nicht. Nun, im Allgemeinen funktioniert es ein wenig, weil Sie eine Art Lebensbeweis erbracht haben, bei dem Sie die Fähigkeit des Entschlüsselungsschlüssels testen. Der Versuch, die Bretter über die Ungewissheit zu bringen, ist ziemlich schwierig.
Garrett O'Hara: Ja, da gibt es so viel, so viel, was man da irgendwie durchkriegen muss. Das ist ein interessanter Punkt, da Sie über den Nutzen von Lösegeldmeldungen sprachen, und, Sie wissen schon, das ist eine Art Hebel, den die Regierung betätigen könnte. Und ich möchte nicht den Donner von etwas stehlen, über das wir etwas später sprechen werden, nämlich web3, aber rein f-zur Linse von Ransomware, wie irgendwelche Gedanken zur Regulierung von Kryptowährungen, mit dem Ziel, dem Monster die Beine abzuschneiden [lacht]?
Nick Abrahams: Nein, nein. Ich meine, die Regierung wird im Laufe dieses Jahres versuchen, Kryptowährungen zu regulieren. Der Bragg-Bericht war ein guter Bericht, und sie haben, glaube ich, sehr gründlich über diesen Bereich nachgedacht. Und eines der Probleme, eigentlich der Engpass bei der Umsetzung dieser Verordnung ist, dass das Finanzministerium, das damit beauftragt ist, diese Regulierung auf den Markt zu bringen, 60 offene Stellen hat und Leute mit Krypto-Expertise sucht, die ihnen bei der Ausarbeitung der Gesetzgebung helfen. Also -
Garrett O'Hara: Richtig.
Nick Abrahams: ... wissen Sie, ich denke, dass die Kryptowelt und, Sie wissen schon, web3, NFT, eigentlich ein ziemlich kleines Umfeld ist. Es gibt nicht, wissen Sie, es gibt, es gibt, es gibt offensichtlich einige Leute, aber es gibt eine Menge Leute in diesem Raum. Daher halte ich es für unwahrscheinlich, dass die Regierung einen Vorschlag zur Lösung des Problems im Bereich der Kryptowährungen vorlegen wird. Aber, wissen Sie, es gab einige Beispiele, wie z. B. in den USA, wo das FBI in der Lage war, die Krypto-Zahlungen in Wallets zu verfolgen und die Wallets bei Ransomware-Zahlungen zu beschlagnahmen. Ich denke also, dass die Lösung für dieses Problem eher in der Technologie liegt, sorry, und vielleicht ist das der Anwalt, der sich gegen Gar den Technologen wehrt und sagt [lacht] "Wir können das nicht lösen, ihr müsst das lösen."
Aber ich denke, dass es vielleicht eine bessere Lösung gibt, wenn man eine super, super Möglichkeit hat, Kryptowährungen zu verfolgen und zu wissen, wo sie in der Brieftasche sind.
Garrett O'Hara: Ja, es fühlt sich auch ein bisschen so an, als wäre die Zahnpasta schon aus der Tube. Wissen Sie, zum jetzigen Zeitpunkt ist es irgendwie schwer, zu diesem Zeitpunkt zu regulieren. Bevor wir zu weit in diese Richtung gehen, würde ich gerne noch einmal auf Ihre Simulation zurückkommen und, wenn es Ihnen recht ist, die Struktur dieser Simulation durchgehen. Sie haben davon gesprochen, dass es 45 Minuten sind, aber ich würde gerne ein Gefühl dafür bekommen, wie Sie mit dem Vorstand arbeiten und welche Schritte Sie mit ihm durchgehen?
Nick Abrahams: Großartig, großartig, ja. Ich arbeite also immer Hand in Hand mit der internen technischen Leitung und der Sicherheitsleitung, dem CISO und so weiter, der Sicherheitsleitung. Denn der Simulator muss das Verhaltensmuster und die Prozesse, die die Technologieführerschaft inszeniert hat, wirklich verstärken. Die Simulation ist also so konzipiert, dass sie das unterstützt und nicht dazu dient, Dinge zu enthüllen. Und das ist eines der Dinge, die ich versuchen musste, um die Direktoren, in den ersten Tagen, auf Kurs zu halten. Weil sie, die Direktoren, sich oft fragen, warum wir nicht, Sie wissen schon, warum passiert uns das? Haben wir nicht die richtigen Sicherheitsvorkehrungen?" Und es ist wie eine Simulation. Es geht also nicht darum, ob das Technologie-Team gute oder schlechte Arbeit geleistet hat. Dies ist eine Simulation.
Es geht also sehr stark um die Zusammenarbeit mit der technischen Leitung, und das Entscheidende an der Simulation ist, dass sie den Vorstand zwingt, eine Entscheidung zu treffen. Ich habe viel Zeit in Vorstandsetagen verbracht, und ich glaube, dass Vorstände unglaublich effektiv sein können. Aber die erste Reaktion der meisten Gremien auf ein Thema ist: "Wir brauchen ein Papier dazu." Sie, die Vorstände, lieben es, um ein Papier zu bitten. "Lass uns, du weißt schon, jemanden finden, der einen Aufsatz schreibt." Und so protestiere ich auf nette Art und Weise. Ich sage: "Es gibt keine Papiere. Nein - niemand wird einen Aufsatz schreiben. Am Ende dieser 45 Minuten müssen Sie eine Entscheidung treffen, ob Sie das Lösegeld zahlen oder nicht, und es wird eine Menge Informationen geben, die Sie nicht haben, was Ihnen ein ungutes Gefühl geben wird, aber das liegt in der Natur der Sache. Das ist die Realität. Man kann diese Sache nicht [unhörbar 00:28:27] zu 100 % herunterfahren."
Damit ist also der Rahmen abgesteckt. Und dann die allererste, also es gibt, wie gesagt, es gibt 16 Fragen. Die erste, und in der Tat die wichtigste, sind die Werte der Organisation. Das Gleiche gilt für die Bezahlung eines Kriminellen, um ein vorteilhaftes Ergebnis zu erzielen. Wie passt das zu den Werten der Organisation? Und ich habe festgestellt, dass die Gremien dies oft völlig ignorieren. Es kam zu dieser pragmatischen kommerziellen Diskussion: Sollen wir zahlen oder nicht? Ich denke, es ist sehr wichtig, wie es zu den Werten einer Organisation passt. Wir wissen also, dass 55 % der Fortune-100-Unternehmen in den USA Integrität als Wert haben. Wenn Sie also wissen, dass ein Wert getestet werden muss und Sie ihn sofort verwerfen, ohne ihn zu berücksichtigen, dann sind Sie sicherlich kein werteorientiertes Unternehmen, denn wir wissen, dass Organisationen genau das tun sollten.
Ich ermutige die Leute also, es von ihren Werten her zu durchdenken, und [inaudible 00:29:41] und das kommt oft auch in ihren persönlichen Werten zum Ausdruck, was irgendwie in die Diskussion einfließt. Aber wie würden Sie das verteidigen, wenn Ihre Mitarbeiter herausfinden würden, dass Sie Lösegeld gezahlt haben, wenn Ihre Klienten oder Kunden es herausfinden würden usw.? Wir sprechen also darüber, und das führt dazu, dass sich die Leute oft ziemlich engagieren, und, und, und so sagen wir letztendlich, ich sage nicht, dass man wegen seiner Werte nicht zahlen sollte. Wenn Sie einen Wert auf Integrität legen, heißt das nicht, dass Sie nicht zahlen sollten. Und wo die meisten Organisationen ankommen, ist das [inaudible 00:30:20] Argument, welches lautet: "Wissen Sie was? Wir hassen die Idee, Lösegeld für einen Täter zu zahlen. Aber, wissen Sie, wir haben Verpflichtungen gegenüber unseren Mitarbeitern, unseren Kunden, unseren Partnern, wir müssen dieses Geschäft so schnell wie möglich wieder in Gang bringen.
Also, das ist [unhörbar 00:30:42], wissen Sie, so sollte es formuliert werden. Das ist also die erste. Der zweite Punkt ist die Rechtmäßigkeit der Maßnahme. Und jetzt geht es sozusagen die Gasse hinunter. In Australien ist es nicht unbedingt klar, wie legal das ist. Letztendlich kann ich Organisationen davon überzeugen, dass es legal ist, zu zahlen, aber man muss einen Prozess durchlaufen, und es gibt zwei wichtige Überlegungen zur Frage der Legalität. Die erste Frage lautet also: Könnte es sich um eine Zahlung an eine terroristische Organisation handeln? In den USA hat man damit begonnen, bestimmte Ransomware-Täter als terroristische Organisationen einzustufen, und sobald diese Ransomware-Täter als terroristische Organisationen eingestuft werden, können keine Zahlungen mehr geleistet werden, da wir eine Reihe von Konventionen und Verträgen unterzeichnet haben, die besagen, dass Australien, wenn die USA oder andere Länder sie als terroristische Organisation einstufen, keine Zahlungen mehr leisten kann.
Das ist also ein sehr wichtiger Punkt, in den man sich auf keinen Fall verstricken sollte. Die nächste rechtliche Frage lautet: Könnte die Zahlung als Finanzierung krimineller Aktivitäten angesehen werden? Und es gibt v- und das ist v- das ist eine Frage des einzelstaatlichen Rechts, die Staaten haben d- diese Art von Gesetz in, in s- mehr oder weniger der gleichen Art von Sprache. Und das ist, Sie wissen schon, auf der einen Seite: "Nun, ich meine, Sie zahlen Geld an Kriminelle, natürlich, was sind, Sie wissen schon, [unhörbar 00:32:28] werden sie verwenden?" Aber Sie müssen diese Frage wirklich sorgfältig klären und eine vertretbare Position finden, warum Sie sicher sein können, dass dies keine strafrechtliche Haftung auslöst. Ich weiß, dass sich das wie Juristensprache anhört, aber es ist wichtig, sich das gut zu überlegen und einige gute Hintergrundinformationen aufzuzeichnen, die begründen, warum der Vorstand zu dieser Entscheidung gekommen ist.
Der nächste Punkt betrifft die Pflichten des Direktors. Jeder Vorstand befasst sich also kritisch mit den Pflichten seiner Direktoren, und wir gehen einige davon durch, um festzustellen, ob es etwas gibt, das es ihnen verbieten würde, die Entscheidung zur Zahlung zu treffen. Und, oder, oder, wissen Sie, umgekehrt, sollten sie, gibt es, wissen Sie, gibt es Pflichten des Direktors, die sie verpflichten, tatsächlich eine Zahlung zu leisten? Das ist also eine interessante Diskussion.
Als nächstes geht es um den Ruf, und das ist wirklich etwas, das ich nur deshalb mache, weil ich weiß, dass Menschen unglaublich ängstlich werden, wenn sie angegriffen werden. Es ist, es ist eine schreckliche Situation, und niemand schläft, [inaudible 00:33:54] wissen Sie, und besonders die Tech-Teams, es ist, ich meine, es ist, es ist einfach ein Alptraum. Und ich versuche, die Leute zu beruhigen, denn in Wirklichkeit passiert so etwas oft, und man wird es überleben. Wir haben daher eine eigene Untersuchung durchgeführt, bei der wir uns jedes an der ASX notierte Unternehmen angesehen haben, bei dem ein Datenschutzverstoß aufgetreten ist, und sie sagen nicht, ob es sich um Ransomware handelt oder nicht. Aber wir haben uns angeschaut, wo sie sagen, dass sie eine Datenschutzverletzung hatten, und dann haben wir die kurz-, mittel- und langfristigen Auswirkungen auf den Aktienkurs analysiert. Meine These ist, dass der Aktienkurs ein sehr grober Indikator für den Ruf des Unternehmens ist. Ich weiß, dass es sich um eine sehr grobe Stellvertretung handelt. Es ist keine, Sie wissen schon, keine direkte Darstellung, aber es ist so gut wie möglich.
Dabei habe ich [inaudible 00:34:52] ein paar Ansichten darüber, welche Organisationen am ehesten dauerhafte Schäden durch diese Art von Verstößen erleiden werden, und ich habe einige Theorien dazu. Und die letzten beiden, nur kurz für die Technologen, die zuhören, ich spreche über die praktische oder technische Bewertung, praktische und technische Bewertung. Und das ist der Punkt, an dem der Vorstand, so schätze ich, besonders erregt wird, weil er möchte, dass der CTO oder der CISO oder jemand aus dem Führungsteam ihm sagt, was er tun soll. Sie wollen also, dass jemand sagt: "Ja, wir sollten das Geld bezahlen, denn das wäre eine gute Sache." Und letztendlich glaube ich nicht, dass irgendjemand in der Exekutive, sei es der Sicherheitsbeauftragte oder irgendjemand anderes, wirklich sagen kann: "Ja, ich denke, dass der Vorstand das unbedingt tun sollte."
Ich denke, die meisten Ratschläge lauten: "Wir können die Systeme wieder in Gang bringen und unsere Daten zurückholen. Wir haben, wissen Sie, wir haben großartige Backups," usw. Es kann einige Zeit dauern, und dieser Zeitrahmen kann von einer Woche bis zu mehreren Wochen reichen. Wir können es also in Gang bringen, und was ich Ihnen über die Zahlung eines Lösegelds sagen kann, ist, dass wir nicht sicher sein können, dass es funktioniert, aber es ist wahrscheinlich einen Versuch wert. Wissen Sie, das ist die Art von Ausstrahlung, die man manchmal vermitteln muss. Ich denke, der CISO könnte sagen: "Ich bin" Sie wissen schon, "Ich würde das Lösegeld gerne bezahlen." Aber Sie, Sie können nicht ... Ich glaube nicht, dass irgendjemand dem Vorstand die Entscheidung abnehmen kann, denn es ist mehr als ein rein technischer Vorschlag, und zwar aus den genannten Gründen.
Ich denke, das ist eine sehr hilfreiche Sache für die meisten Technologen, damit die Vorstände ein wenig mehr Einblick in das bekommen, was sie erwarten können. Und dann ist da noch die Cyberversicherung, über die wir gesprochen haben, die ich vom Tisch nehme, ich sage: "Sie müssen keine Cyberversicherung in Betracht ziehen, weil sie in der Simulation" vielleicht ein Lösegeld zahlt, aber in einer realen Situation wäre die Cyberversicherung Ihre erste Anlaufstelle, um zu sehen, ob sie Ihnen das Problem abnehmen würde. Aber für den Zweck der Simulation möchte ich nicht, dass die Gremien abdanken.
Ja, und so geben wir, ich gebe ihnen, ich gebe ihnen all das, und dann sage ich im Grunde ... Also das sind die ersten fünfzig - ich glaube, ich brauche mehr als 15 Minuten, um das zu erklären, aber ich gebe, ich gebe [unhörbar 00:37:27] 15 Minuten, und dann haben sie 30 Minuten, in denen ich sozusagen als Berater zur Verfügung stehe, während sie die Entscheidung treffen. Aber die Frage der Legalität ist für sie vom Tisch. Ich sage: "Nehmen wir an, es ist legal," Ich nehme die Frage der Pflichten des Geschäftsführers vom Tisch, ich sage: "Gehen Sie einfach davon aus, dass Sie [unhörbar 00:37:42] die Pflichten des Geschäftsführers erfüllen können," und dann nehme ich die Frage der Cyberversicherung vom Tisch. Sie diskutieren also im Grunde genommen nur... Sie wissen schon, sie diskutieren fast nur über den Wert, denn wie ich schon sagte, diese Dinge sind opportunistisch im Bereich von einer Million Dollar angesiedelt, so dass sie sich im Allgemeinen mit dieser Ausgabe anfreunden können. Und dann, ja, ich meine, das läuft 30 Minuten lang, und dann müssen sie, sie müssen am Ende eine Entscheidung treffen.
Garrett O'Hara: Ich konnte spüren, wie Adrenalin und Angst durch meinen Körper schossen, während Sie darüber sprachen. Es ist... es ist so ein... (lacht)
Nick Abrahams: Es ist so, es ist so gut anzusehen, es ist wie...
Garrett O'Hara: Ja.
Nick Abrahams: .... Es ist faszinierend zu beobachten, wie die Vorstände arbeiten und wie sie Entscheidungen treffen, und der Einfluss des Vorsitzenden ist natürlich entscheidend, und es muss sichergestellt werden, dass vor allem die Leute, von denen man weiß, dass einige einen sehr starken moralischen Kompass in dieser Sache haben, dass man auf sie hört. Weißt du, es ist...
Garrett O'Hara: Ja.
Nick Abrahams: ... es ist nicht nur eine pragmatische Entscheidung. Ja, es ist also faszinierend. Wie ich schon sagte, jeder kommt irgendwann dazu, zu zahlen, sie wissen schon, sie haben den Kopf dafür. Es mag nicht einstimmig sein, aber letztendlich sind sie, sie ...
Garrett O'Hara: Ja, man kommt am Ende zu einer Entscheidung. Sie sprachen gerade über die Rechtsvorschriften, und ich bin mir bewusst, dass die Zeit hier sehr schnell vergeht, daher werde ich versuchen, mich kurz zu fassen. Aber, wissen Sie, eines der Dinge, die mir aufgefallen sind, ist, dass Sie die Liste der sanktionierten Organisationen erwähnt haben, Sie wissen schon, das sind terroristische Organisationen, deshalb ist es illegal zu zahlen. Und dann hat man das Gefühl, dass man zwischen einem Felsen und einem harten Ort feststeckt, wenn die Entscheidung buchstäblich lautet: "Wir schließen die Türen des Unternehmens," oder "Wir halten uns an das Gesetz,". Sie können diese Frage aus vielen Gründen gar nicht beantworten. Aber sehen Sie auch Situationen, in denen eine Organisation unterm Strich eine Entscheidung trifft, die vielleicht nicht ganz im Einklang mit dem Gesetz steht, nur weil das die einzige Möglichkeit ist, die Türen eines Unternehmens offen zu halten, oder ist das sehr schwarz-weiß, und sie werden das einfach nicht tun?
Nick Abrahams: Ja, ich, ich, sehen Sie, um ehrlich zu sein, ich habe nie gesehen ... Weil es in der Regel, in der Regel ist es nicht, es ist keine existenzielle Krise für Unternehmen. Wie-
Garrett O'Hara: Okay.
Nick Abrahams: ... Unternehmen können sich davon erholen. Es ist...
Garrett O'Hara: Ja.
Nick Abrahams: Ich meine, selbst als ich einen schrecklichen Fall hatte, was ich meine, es war nur, ich meine, es war ein anständig großes Unternehmen, wahrscheinlich im Wert von, ich weiß nicht, 250, 300 Millionen Dollar. Ein anständig großes Unternehmen. Ich meine, einfach eine schreckliche Art von Cyber-Hygiene. Sie wissen schon, nicht Dinge zu flicken, wie das [inaudible 00:40:18] ...
Garrett O'Hara: Mm-hmm [bejahend].
Nick Abrahams: Ich dachte, die Sache mit dem Nicht-Patching wäre schon vor Jahren verschwunden. Und obwohl sie ziemlich hart getroffen wurden, [inaudible 00:40:27] hatten sie in letzter Zeit ein paar Backups und konnten sich davon erholen. Ich habe also noch nie erlebt, dass es eine echte existenzielle Krise ist, bei der man...
Garrett O'Hara: Ja.
Nick Abrahams: ... wortwörtlich, "Wir müssen die Türen schließen, denn das Geschäft ist erledigt." Ich meine, ich habe Situationen erlebt, in denen Menschen, insbesondere Kollegen, in denen ich sehr daran glaube, dass nur sehr wenige Unternehmen über diese ausgefeilte Erfahrung mit Ransomware im System verfügen, wenn sie nicht über das entsprechende Know-how verfügen. Ich glaube nicht, dass es viele Organisationen gibt, die Banken wahrscheinlich schon, aber nur wenige andere haben diese Möglichkeiten. Ich glaube also fest daran, dass es wichtig ist, echte Kompetenz von...
Garrett O'Hara: Hm.
Nick Abrahams: ... Berater von Dritten, die dies jeden Tag tun. Aber ich hatte eine Situation, in der eine Organisation, das ist in einem Live-Bruch, Sie wissen schon, sie hatten ein, Sie wissen schon, ein Technologiedienstleistungsunternehmen, es war ein sehr kleines Unternehmen, das ihre IT-Arbeiten erledigte. Und, weißt du, sie sagen: "Oh nein, wir bekommen keine [inaudible 00:41:32]." Die IT-Firma begann also mit der Datensicherung, weil sie dachte, sie würde einfach eine Datensicherung durchführen, weil sie die Backups hatte. Und dann war die Malware schlau genug, um herauszufinden, was vor sich ging, und verschlüsselte die Backups.
Garrett O'Hara: Oh.
Nick Abrahams: So, so, ja. Ich glaube fest daran, dass es wichtig ist, die Fähigkeiten von Drittanbietern einzubeziehen [inaudible 00:41:57].
Garrett O'Hara: Ja, auf jeden Fall. Wir können hier das Unmögliche versuchen. Ich habe also noch zwei Fragen, und ich vermute, dass dies eine Aufgabe von Everest-Größe sein wird. Aber wir haben schon sehr früh kurz über web3 gesprochen, und ich weiß, wenn ich Ihnen auf LinkedIn folge, dass dies etwas ist, das Ihnen sehr am Herzen liegt. Und für diejenigen, die zuhören, werden wir, wir werden die Links in den Show Notes zu einigen Ihrer, Ihrer Art von Erklärvideos einfügen, sie sind fantastisch gut gemacht. Lassen Sie uns versuchen, das Unmögliche in den nächsten fünf Minuten zu schaffen. Was ist web3?
Nick Abrahams: Ja, ja, sicher. Ich denke also, wenn wir darüber nachdenken, ist es am besten, es im Sinne der Evolution zu betrachten. Web1 war also von '95, '96 bis 2004 das reine Lese-Internet. Es gibt zwar ein paar nette [inaudible 00:42:50] Seiten, aber man konnte kein Hotel buchen und keine Überweisungen tätigen und so weiter. Das war also web1, nur zum Lesen. Und dann Web2, das sozusagen von 2005 bis heute gelesen und geschrieben wird. Wir konnten also wirklich interagieren und Überweisungen tätigen, wir können Dinge kaufen. Erstellung von Inhalten über soziale Medien. Und so verändert web3 das Spiel in zweierlei Hinsicht. Erstens können wir jetzt im Internet lesen, schreiben und besitzen. Dank der NFT-Technologie können wir also tatsächlich digitale Dateien besitzen, und die NFT-Technologie sorgt für nachweisbare Knappheit. Sie stellen also einen Vorteil zur Verfügung, den wir bisher nicht hatten, denn Sie stellen ein JPEG ins Internet und es kann unendlich oft kopiert werden, ohne dass zusätzliche Kosten entstehen.
Jetzt haben Sie tatsächlich einen schützenswerten Vermögenswert. Ich denke also, dass Lesen, Schreiben und Besitzen entscheidend sind. Und mit web3 kommt der Übergang vom zweidimensionalen zum dreidimensionalen Web-Erlebnis. Und so ist die Idee des Metaversums, auch bekannt als das verkörperte Internet, entstanden. Man denke nur an die Art und Weise, wie man derzeit etwas online kauft: Es ist ein sehr flaches, zweidimensionales Erlebnis. Wenn Sie etwas anklicken, landet es in einer Art virtuellem Einkaufswagen.
Nun, das Versprechen von Web3 und dem Metaverse ist, dass man sich tatsächlich physisch so fühlt, als wäre man in einem Geschäft, um den Artikel zu greifen und ihn in den Einkaufswagen oder die Einkaufstasche zu legen, und das kann entweder mit bestehender Technologie geschehen, und da gibt es Decentraland und Sandbox und Somnium Space und so weiter, mit denen man seinen kleinen Avatar durch eine virtuelle Welt steuern kann, oder man kann ein gesteigertes Erlebnis haben, und zwar durch eine Virtual-Reality-Brille, die einen komplett aus der eigenen Umgebung in eine simulierte Umgebung bringt, und das ist es, wo Met's Oculus einen hinbringen würde. Oder die erweiterte Realität mit etwas wie Microsofts HoloLens, die im Grunde nur eine Linse ist, durch die man seine eigene Welt betrachtet, aber verschiedene Mengen an Informationen werden auf den Augapfel projiziert, nicht auf die Linse, wo man tatsächlich verschiedene Mengen an Informationen sieht, aber man befindet sich immer noch in seiner eigenen Realität.
Also, ja, ich denke [inaudible 00:45:36], wissen Sie, ich glaube, dass wir alles, was wir im zweidimensionalen Internet machen, mit der Zeit in das dreidimensionale Internet übertragen werden. Wissen Sie, es ist nicht [unhörbar 00:45:46].
Garrett O'Hara: Du hast da eine Vision gezeichnet, fast so wie bei Ready Player One mit haptischen Anzügen und so, du weißt schon, diese Art der vollständigen Immersion. Ich habe das Gefühl, dass es in diese Richtung gehen wird. Ich werde jetzt mal kurz nostalgisch werden. Es gibt ein Spiel namens Mercenary, ein Typ namens Paul Woakes, glaube ich, war derjenige, der es geschrieben hat, damals auf ... Wir reden hier vom C-64, ganz, ganz weit zurück, du weißt schon, monochrome Vektorgrafik.
Das ganze Spiel ist etwa 10.000 Quadratmeter groß, oder? Aber ich erinnere mich, dass ich das Spiel geladen habe und es mich immer noch umhaut, es ist immer noch ein Spiel, das ich hin und wieder herunterlade, um ein bisschen herumzustöbern. Aber es ist eine Vektorgrafik-Welt, in der man herumlaufen kann, im Grunde eine Stadt mit Raumschiffen, die in 3D herumfliegen. Und, wissen Sie, mein neunjähriges Gehirn wurde davon regelrecht explodiert. Und ich denke, wenn man die Technologie sieht, die heute zur Verfügung steht, hätte ich nie geglaubt, dass wir das tun würden, was wir heute tun. Und ich glaube, dass wir wahrscheinlich gar nicht so weit von diesem Thema entfernt sind, wie es manchmal scheint. Wissen Sie, wir haben die Technologie, es geht nur um die breitere Akzeptanz.
Ich habe buchstäblich 50 Fragen, die ich Ihnen jetzt stellen möchte, und ich glaube, wir haben nur noch fünf Minuten Zeit [lacht]. Einige der Dinge, die ich in den Kommentaren über NFTs gehört habe, sind die Nützlichkeit für Leute, die sich selbst finanzieren wollen, also jemand, der ein Kunststudium absolviert hat und einen Teil eines NFT-Vertrags kauft, und der damit seine Ausbildung und seinen Start finanziert, und dann bekommt man ein paar Punkte, wenn er oder sie sich weiterentwickelt und ein großer globaler Künstler oder Musiker oder Sportler wird. Ist das Ihrer Meinung nach ein Teil von web3, ist es das, worüber wir hier reden, oder ... Ja, das ist es.
Nick Abrahams: Ja, ja, ja, ich glaube schon. Daher denke ich, dass der beste Bereich, um zu zeigen, was die Geschäftsmodelle und die Einnahmemodelle für die Zukunft sind, die Spiele sind. Wenn wir uns also ansehen, dass Spiele ursprünglich, wie Sie gerade sagten, zum Beispiel Fortnite, von einem Spielbetreiber betrieben wurden, und Sie kaufen Ihre Sachen in Fortnite, aber Sie bezahlen den Eigentümer von Fortnite und behalten Ihre Sachen im Spiel. Und dann, wissen Sie, jetzt haben wir die Play-to-Earn-Plattformen, und das ist, glaube ich, genau das, was wir über [unhörbar 00:48:05] gesagt haben, wissen Sie.
Mit der Play-to-Earn-Plattform, vor allem mit dem, was als Play-to-Earn v2 bekannt ist, gibt es jetzt Leute, die, sagen wir, Axie Infinity spielen. Es gibt Gamer, die Vollzeit-Gamer sind, es ist sehr groß auf den Philippinen, es gibt, Sie wissen schon, das sind - das sind keine Super-Egamers, die das sind, die echte Superprofis sind, sondern einfach Leute, die gerne spielen, aber das als Job machen, viele Stunden am Tag damit verbringen und so in der Lage sind, mit Axie Infinity effektiv Kryptowährung zu verdienen, und es gibt eine Reihe von, ich, es ist auf den Philippinen sehr üblich, dass diese Spiele das Zwei- bis Dreifache des Durchschnittslohns einbringen.
Und dann haben wir gesehen, dass diese Erweiterung des Geschäftsmodells ziemlich teuer ist, es kostet etwa 2.000 Dollar, um mit Axie Infinity anzufangen, man muss sein Axie-Atari-Ding kaufen. Es gibt also Gilden, also eine Art von Spielergilden. Es handelt sich also um Leute, oft aus dem Westen, die sich zusammenschließen und diese NFTs zur Verfügung stellen, so dass sie vielleicht einem Spieler auf den Philippinen oder in Indonesien ein Axie zur Verfügung stellen, damit er das Spiel spielen kann, und dann teilen sie sich den Erlös aus diesem Spiel. Diese Spielergilden werden von so genannten DAOs, dezentralen autonomen Organisationen, gebildet, die dann NFTs verleihen und davon profitieren. Das ist also ein phänomenales Geschäftsmodell, und deshalb habe ich gesagt: Das Entscheidende ist, dass wir jetzt Dinge besitzen können.
Die Leute reden oft über Second Life und, wissen Sie, Second Life gab es schon 2007, 2008, es ist alles da. Die visuelle Erfahrung und die Grafik ähneln sehr dem, was man in Decentraland oder Sandbox sehen würde. Das [unhörbar 00:50:12] hat sich also nicht eingeschaltet. Was jedoch hinzugekommen ist, ist die Möglichkeit, digitale Vermögenswerte an Orten wie Decentraland und Sandbox zu besitzen. Sobald man ein digitales Gut besitzt, kann man damit ein Geschäft aufbauen, und das ist das Spannende daran. Sie haben jetzt, wissen Sie, diese Axie-Gamer sind jetzt die ersten Metaverse-Arbeiter.
Garrett O'Hara: Ziemlich unglaublich, ziemlich unglaublich. Ich glaube, wir haben leider die Zeit überzogen. Es ist, ich, das, das ist eines, wo, wenn du bereit bist, vielleicht irgendwann in der Zukunft, würde ich gerne ... Es gibt hier so viel Neues, von dem ich denke, dass viele Leute denken, dass sie es verstehen, aber es eigentlich nicht wirklich verstehen, und ich würde meine Hand heben und sagen, dass ich einer von denen bin. [Nick, es war mir ein großes Vergnügen, mit Ihnen zu sprechen. Ich bin Ihnen sehr dankbar, dass Sie heute bei uns sind und schätze Ihre Zeit sehr.
Nick Abrahams: Vielen Dank, Gar. Ich bin wirklich dankbar, dass ich gefragt werde. Es war schön, etwas Zeit damit zu verbringen, [inaudible 00:51:05] zu tun, was hoffentlich alles, was Sie über Ransomware gelernt haben, nie anwenden müssen, und dies wird die größte Verschwendung einer Stunde gewesen sein, die Sie je hatten, was mein, mein feierlicher Wunsch für Sie wäre. Wir haben also... Vielen Dank, Gar, vielen Dank an alle.
Garrett O'Hara: Danke, Nick. Garrett O'Hara: Willkommen zum Get Cyber Resilient-Podcast, ich bin Gar O'Hara. Heute ist Nick Abrahams bei uns, der bei Norton Rose Fulbright als globaler Co-Leiter für die digitale Transformation zuständig ist. Nick ist außerdem Anwalt für Corporate Tech, Referent für web3, Krypto, NFT und das Metaverse, Unternehmer durch LawPath und Autor von Big Data, Big Responsibilities and Digital Disruption in Australia. Wir hatten ein interessantes Gespräch, in dem Nick über seine Erfahrungen in der Zusammenarbeit mit Vorständen bei Sicherheitsverletzungen berichtete, und, was vielleicht noch wichtiger ist, über seine Arbeit mit Vorständen, um deren Muskelgedächtnis zu trainieren, was sie im Falle von Lösegeldzahlungen tun werden. Er führt mit den Vorständen Simulationen in sechs Schritten durch, um ihnen zu helfen, sich Klarheit zu verschaffen, ohne dass sie unter großem Stress stehen. Wir kamen auch kurz auf web3 zu sprechen, was das ist und einen kleinen Vorgeschmack darauf, was es in Zukunft für uns alle bedeuten kann. Zurück zum Gespräch.
Willkommen zum Get Cyber Resilient-Podcast. Ich bin Gar O'Hara. Heute ist Nick Abrahams bei mir, der bei Norton Rose Fulbright unter anderem als globaler Co-Leiter für die digitale Transformation zuständig ist, aber ich werde Nick nicht den Wind aus den Segeln nehmen. Wie geht es Ihnen heute, Nick? Willkommen zum Podcast.
Nick Abrahams: Vielen Dank, Gar, ich freue mich sehr, hier zu sein. Mir geht es wirklich sehr gut, danke.
Garrett O'Hara: Glückliche Tage, ja, wir überleben beide die biblischen Flutpegel, die wir hier in Sydney erleben, also ja, schön, dass Sie heute dabei sind. Nick, die erste Frage, die wir so gut wie jedem stellen, ist: Wie sind Sie dahin gekommen, wo Sie heute sind? Ich schaue mir die Dinge an, die du tust [lacht], und das ist eine ziemlich breite Palette von Dingen, in die du involviert bist. Aber ich würde mich freuen, wenn du uns erzählen würdest, wie du dahin gekommen bist, wo du heute bist.
Nick Abrahams: Sicher, sicher. Nun, und nur ... Ich denke ... Nun, ich sage, ich werde es schnell sagen, und meine Frau sagt, "Nun, nein, du arbeitest immer an dieser Geschichte." Wie dem auch sei. Also ja, ich habe als Anwalt angefangen, dann hatte ich eine kleine Persönlichkeitsstörung und wollte ein Hollywood-Studioleiter werden. Also ging ich nach Los Angeles und besuchte die Filmschule an der University of Southern California. Und das war alles großartig, und ich arbeitete bei Warner Brothers als eine Art kreative Führungskraft, und dann hatte ich eine weitere Erleuchtung, nämlich dass die Zahl der Soziopathen in Film und Fernsehen in Los Angeles wirklich ziemlich hoch ist.
Ich verließ das Unternehmen und kam dann mit einer Dotcom zusammen, das war '98, also wirklich zu Beginn des ersten Dotcom-Booms, und ich war Chief Operating Officer dieses Unternehmens. Wir brachten es an der ASX an die Börse, und es sah für mich so aus, als würde ich nie wieder arbeiten. Aber Gar, weißt du, das Geld hätte mich verwöhnt, und so mit dem...
Garrett O'Hara: [lacht]
Nick Abrahams: ... nach dem Dotcom-Crash ging es mit meinem Aktienkapital sehr schnell bergab, und mein Interesse an der Rechtswissenschaft erwachte in ähnlichem Maße wieder, und dann kam ich von L.A. zurück nach Australien und konzentrierte mich darauf, das zu tun, was ich bei einer Reihe von US-Tech-Firmen gesehen hatte [inaudible 00:03:07], nämlich mich super in die Technologie-Community zu integrieren. Seit 2002 habe ich versucht, ein Teil der Technologie-Gemeinschaft zu sein, indem ich Dienstleistungen im Bereich des Technologierechts anbiete, aber auch, indem ich einfach im Netzwerk helfe und so weiter, indem ich Menschen helfe, wo ich kann.
Meine Haupttätigkeit ist die Technologiearbeit, ich mache also Technologie, M&A, und dann mache ich auch datenbezogene Arbeit, Datenschutz und Cyber, worüber wir heute ein wenig sprechen werden, und ich habe zwei Bücher über Technologie geschrieben. Und um das Ganze abzurunden, habe ich ein separates Unternehmen, das ich vor sieben Jahren gegründet habe, LawPath, ein juristisches Online-Unternehmen, das [unhörbar 00:03:54] ist, so dass ich 45 Leute eingetragen habe, und ich war auch in einem börsennotierten Vorstand, einem Softwareunternehmen, ASX 300, sechs Jahre lang, und sitze auch in drei anderen Vorständen. Ja, so bin ich hierher gekommen.
Garrett O'Hara: Und um das zusammenzufassen, deshalb sollten wir Ihnen zuhören, Sie haben ein...
Nick Abrahams: [lacht] Da bin ich mir nicht so sicher.
Garrett O'Hara: ... ja, ziemlich, [
Nick Abrahams: Crosstalk 00:04:19]-
Garrett O'Hara: ... Und ich denke, Sie haben, Sie können wahrscheinlich hinter Ihnen sehen, Nick, ich glaube, Ihr Buch Big Data, Big Responsibilities steht irgendwo in diesem Regal.
Nick Abrahams: Ach, jetzt redest du schon, Gar.
Garrett O'Hara: So,
Nick Abrahams: Normalerweise hält er den Monitor hoch.
Garrett O'Hara: [lacht] Bitte sehr.
Nick Abrahams: Das ist die Art und Weise, wie die meisten Leute es verwenden.
Garrett O'Hara: [lacht] Fantastisch. Also, ja, ganz klar jemand, der einen starken Stammbaum in der Technologie hat, und dann natürlich die juristische Seite, also das, das ist fantastisch, und ein wirklich guter Einstieg in dieses Gespräch. Eines der Themen, über die wir heute sprechen wollten, war Ransomware, die eindeutig ein sehr aktuelles Thema ist. Und ich weiß, dass Sie offensichtlich viel Arbeit mit Gremien und in der Industrie zu diesem Thema geleistet haben. Ich denke, man kann mit Fug und Recht behaupten, dass der Vorstand normalerweise nicht an den operativen Entscheidungen beteiligt ist, wenn es darum geht, sich von einem Cyberangriff zu erholen. Das ist irgendwie nicht ihre Sache, sonst hätten sie die Aufsicht, aber sie treffen nicht wirklich die Entscheidungen. Warum ist es also notwendig, dass ein Gremium in die Entscheidung einbezogen wird, wenn es um Lösegeldzahlungen geht?
Nick Abrahams: Ja, es ist also eine ganz andere Sache mit Ransomware als eine normale Datenkompromittierung. Bei einer normalen Datenkompromittierung, bei der es nicht um Lösegeld geht, hat der Vorstand lediglich die Aufsicht. In der Regel überlassen sie es den leitenden Technikern, dafür zu sorgen, dass der Betrieb so schnell wie möglich wieder aufgenommen wird. Der Vorstand hat also nur die Aufsicht. Interessanterweise muss der Vorstand im Falle von Ransomware eine Entscheidung treffen, auf die jeder Vorstand nur schwer vorbereitet ist. Denn wenn wir es auf den Punkt bringen, geht es um die Entscheidung, ob das Unternehmen einen Kriminellen bezahlen soll, um ein für das Unternehmen vorteilhaftes Ergebnis zu erzielen. Die Verwaltungsräte haben diese Entscheidung noch nie getroffen. Es ist also eine sehr komplizierte Frage für sie.
Garrett O'Hara: Ja, das kann ich mir gut vorstellen. Und in Ihren Versuchen, sie dabei zu unterstützen oder ihnen dabei zu helfen, an einen Punkt zu kommen, an dem das einfacher wird, und ich nehme an, dass sie diese Entscheidung nicht zum ersten Mal treffen [lacht], wenn es - wenn es eine Art echtes Leben ist, haben Sie tatsächlich eine Simulation geschaffen, um den Gremien dabei zu helfen, diese Frage der Lösegeldzahlung in den Griff zu bekommen, zu zahlen oder nicht zu zahlen und, Sie wissen schon, verhandeln wir mit Terroristen? Wissen Sie, es gibt eine Menge T-Shirt-Sprüche, die in der Branche gesagt werden. Warum haben Sie die Simulation erstellt?
Nick Abrahams: Ja, also, es ist, es basiert auf der Grundlage von ... Ich habe also eine Langzeitsimulation durchgeführt, eine zweistündige Simulation, die für das Senior Leadership Team war. Wir führen sie durch die ganzen Ransomware- und Datenschutz-Benachrichtigungs-Probleme, und so w- das war sehr erfolgreich, wir haben das viele, viele Male gemacht, und es hat Spaß gemacht. Es wurde jedoch deutlich, dass Vorstandsmitglieder in der Regel nicht an diesen Simulationen des Senior Leadership Teams teilnahmen, und es kam zu einem Ransomware-Angriff, und wir hatten mit vielen, vielen Ransomware-Angriffen zu tun. Ich meine, es ist bedauerlich, aber es ist ein sehr wichtiger Teil meiner Praxis und der Praxis meines Teams geworden. Was bei einem Ransomware-Angriff passiert, ist, dass die Organisation in einen Schockzustand gerät und in massive Angst versetzt wird, und zu diesem Zeitpunkt kommt der Vorstand zusammen und muss eine schnelle Entscheidung darüber treffen, ob Lösegeld gezahlt werden soll oder nicht.
Wie ich bereits sagte, haben die Gremien noch nie eine derartige Entscheidung getroffen. Ich wurde also mit dem Fallschirm abgesetzt, um mich an die Vorstände zu wenden, wenn sie sich in einer Extremsituation befinden, und um ihnen ein Gefühl dafür zu vermitteln, welche Fragen sie stellen sollten.
Und was dann ... Und, und es ist eine sehr es ist eine sehr komplizierte Entscheidung für Gremien aus einer Vielzahl von Gründen, auf die wir noch eingehen werden. Aber ich habe dann beschlossen, dass die Gremien einen Rahmen brauchen, um damit umzugehen, und auch ein gewisses Muskelgedächtnis. Ich denke, es wäre gut, wenn ein Gremium eine Simulation durchlaufen hätte, in der es eine Entscheidung darüber getroffen hätte, ob es Lösegeld zahlt oder nicht, und dann einen Rahmen für diese Entscheidung gehabt hätte. Also habe ich die Idee einigen Gremien vorgestellt, und sie war sehr erfolgreich, so dass ich sie viele, viele Male umgesetzt habe. Wenn man in die Gremien geht, und das ist eine verkürzte Version, dann sind es im Grunde nur 45 Minuten, denn alle Gremien haben wenig Zeit.
Und so verbringe ich die ersten 15 Minuten damit, den Leuten die sechs Fragen zu stellen, die sich jeder Vorstand stellen sollte, bevor er entscheidet, ob er das Lösegeld zahlt oder nicht. In den ersten 15 Minuten geht es also darum, und in den nächsten 30 Minuten geht es um den Vorstand. Ich gebe dem Vorstand dann sozusagen ihre, Sie wissen schon, ihre Parameter, und dann geht es darum, den Vorstand dabei zu beobachten, wie er versucht, diese Entscheidung zu treffen. Und es ist faszinierend, und ich sollte sagen, dass dieses Thema so umstritten ist, dass ich noch nie einen einstimmigen Vorstand hatte. Es gibt immer ein oder zwei Leute, die das nicht bezahlen wollen, oft aus moralischen Gründen. Es ist also wichtig, dass alle Vorstände das vorher in Rollenspielen durchgespielt haben, damit sie wissen, wie sie damit umgehen können, wenn... Und leider, wissen Sie, ist es wahrscheinlich eher eine Frage des Wann als eine des Ob.
Garrett O'Hara: Haben Sie irgendwelche Unterschiede in Bezug auf die Art der Organisation gesehen, und, wissen Sie, die, wissen Sie, woran der Vorstand beteiligt ist, und, wissen Sie, hier denke ich an Organisationen, bei denen, wissen Sie, ein Ransomware-Angriff, abhängig von, wissen Sie, was im Voraus eingerichtet wurde, von Bedeutung sein kann oder nicht. Es könnte also eine abgespeckte Version des Drucks geben. Und dann gibt es noch das andere Szenario, bei dem es Organisationen gibt, bei denen der Druck erheblich erhöht werden könnte, und, wissen Sie, hier denke ich an die Dinge, bei denen es buchstäblich darum geht, dass wir etwas tun, das auf dem Papier unethisch ist, aber es hält die Leute in Arbeit, hält das Geschäft am Laufen, möglicherweise unter der Annahme, dass die Schlüssel nach der Zahlung übergeben werden. Das muss unglaublich schwierig sein, sich in einer Vorstandssituation zurechtzufinden, wissen Sie. Aber, wissen Sie, ich nehme an, die Frage ist, ob Sie bei den vielen Vorständen, mit denen Sie sprechen, Muster erkennen können, wie z. B. "Oh, wenn es sich um diese Art von Organisation handelt, neigen wir dazu, dass sie sich mehr auf die Bezahlung konzentrieren, während dies bei dieser Art von Organisation vielleicht weniger der Fall ist?"
Nick Abrahams: Ja, ja. Ich denke, dass in gründergeführten Unternehmen oder in Unternehmen, in denen ein starker Anteilseigner im Vorstand sitzt, in der Regel ein enormes Maß an Pragmatismus herrscht, und das ist bei börsennotierten Unternehmen im Allgemeinen der Fall. Also ein hohes Maß an Pragmatismus. Es herrscht also ein überwältigendes Gefühl, dass wir das einfach tun müssen. Wir zahlen das Geld und gehen das Risiko ein. Und so rückt die ethische Frage ein wenig in den Hintergrund, und man kann die Stärke bestimmter Stimmen in einem Gremium erkennen.
Und dann kommt man vielleicht zu vielfältigeren Gremien. Ich habe mich mit einigen Unternehmen aus dem Energie- und Infrastrukturbereich beschäftigt, und die haben in der Regel etwas vielfältigere Vorstände, mit Leuten, die über andere Dinge nachdenken - es geht nicht unbedingt um die Finanzen und so weiter, es gibt eine ganze Menge anderer Dinge. Sie werden also etwas breiter über die ethischen Fragen nachdenken.
Und dann, wissen Sie, eine Sache, die einen sehr schnell zur Kasse bittet, ist, wenn es, wenn, wenn es jemals eine Art von Leben gibt, das gefährdet ist. Wir haben also gesehen, dass diese Bedrohungsakteure keine Skrupel haben, wenn es um das Gesundheitswesen geht. Ja, sie greifen überall an. Bei der Gesundheitsfürsorge und so weiter haben wir gesehen, dass sie bereit sind, zu zahlen.
Aber ich muss sagen, dass in jeder Simulation, und eigentlich in den meisten Ransomware-Fällen, mit denen ich zu tun hatte, eine Entscheidung zur Zahlung getroffen wurde. Ich denke, dass die Leute sich damit arrangieren können, und wir werden das im Laufe der Simulation besprechen, aber ja, ich denke, dass die meisten Organisationen am Ende die Zahlung leisten.
Garrett O'Hara: Ja, interessant. Spielt es bei der Entscheidung eine Rolle, welchen Status die Organisation im Hinblick auf die Cyberversicherung hat? Denn ich weiß, dass sie eine Stimme haben, wenn es um den Zugang zu Fachwissen geht und um die Leute, die möglicherweise mit den Terroristen verhandeln können, wie man so schön sagt. Wie haben Sie das erlebt? Verwässert das die Fähigkeit des Vorstands, eine Entscheidung in die eine oder andere Richtung zu treffen, wenn es sich um eine vertragliche Verpflichtung in einer Cybersicherheitsrichtlinie handelt, die eine Zahlungs- oder Nichtzahlungsklausel ist, oder, oder, oder, wie funktioniert das?
Nick Abrahams: Ja, ja, nein, das ist ein guter Punkt. Wenn das Unternehmen also eine Cyber-Versicherung hat, und vor allem, wenn die Cyber-Versicherung bereit ist, zu zahlen, und das war früher der Fall, ist das heute nicht mehr so häufig der Fall, also sollte man sich nicht zu sicher sein, dass die Cyber-Versicherung alles abdeckt. Das mag ja sein, aber wir sehen, dass das ein bisschen nachlässt. Aber [inaudible 00:14:10], wenn es eine Cyber-Versicherung gibt, dann ist der Vorstand oft in einer besseren Position, weil er die Verantwortung für die Entscheidung abgeben kann, weil der Vorstand sagen kann: "Nun, wissen Sie, wir sind durch eine Cyber-Versicherung abgedeckt, und es ist der, wir haben den Anspruch an den Cyber-Versicherer übergeben, und es ist der Cyber-Versicherer, der die Entscheidung trifft, ob das Lösegeld bezahlt wird oder nicht." Ich spreche in der Simulation speziell über Cyber-Versicherungen, nehme sie aber vom Tisch, weil es für den Vorstand allzu leicht ist, einfach zu verzichten und zu sagen: "Nun ja, wir überlassen es dem Cyber-Versicherer, und der wird, Sie wissen schon, die Entscheidung treffen."
Und ich sollte sagen, dass ich wunderbare Erfahrungen mit Cyber-Versicherern gemacht habe, die die Kontrolle über die Situation übernehmen und die Verhandlungen führen, und das sehr gut. Und, und so gibt es eine, wissen Sie, es gibt eine ... Ich, ich bin kein [unhörbar 00:15:06] für Cyber-Versicherungen, aber das ist die Realität, dass diese Leute jeden Tag mit diesen Bedrohungsakteuren zu tun haben, und sie haben einige sehr gute Methoden, um diese Lösegeldforderungen zu verwalten, und, und, und die Dinge auf eine ziemlich effektive und effiziente Weise zu behandeln. Und man hat das Gefühl, dass man in den Händen von echten Profis ist.
Garrett O'Hara: Das ist genau das, was man will, wenn man sich in einer Situation befindet, in der man maximalen Stress hat, dann will man in der Lage sein, eine Cyberversicherung abzuschließen, denn der Gedanke, keine Entscheidung treffen zu müssen, ich bin dafür, ich bin für jede [lacht] Gelegenheit zu haben, keine Entscheidung treffen zu müssen.
Eines der Dinge, die mir in den Sinn kommen - wir sprechen darüber im allgemeinen Training, vergessen Sie das Cyber, einfach im Leben im Allgemeinen - ist, dass Wiederholung Meisterschaft bedeutet. Wissen Sie, man muss diese Dinge immer und immer wieder tun, um, um Ihre Worte zu benutzen, das Muskelgedächtnis aufzubauen. Wie sehen Sie das bei Ihren Simulationen mit den Gremien in Bezug auf eine Art Kadenz? Ist es einmal im Jahr, einmal alle sechs Monate, wie funktioniert das am erfolgreichsten?
Nick Abrahams: Sehr interessant. Es gibt also einen bestimmten Ausschuss, der sich alle sechs Monate trifft und...
Garrett O'Hara: Jepp.
Nick Abrahams: ... Denn die Simulation soll wirklich eine ganze Reihe von Konzepten und eine Struktur zum Nachdenken über die Entscheidungsfindung einführen. Sie müssen die Simulation also nicht wiederholen, aber die Unternehmen könnten daraus ein Playbook entwickeln, das ihnen zeigt, worauf sie achten sollten. Sie haben die Struktur, aber was halten sie davon? Und dann werde ich etwa alle sechs Monate wieder eingeladen, um ein Gefühl dafür zu bekommen, wie es weitergeht, denn es ist ein ziemlich fließendes Thema in Bezug auf einige der Dinge, die wir ansprechen, z. B. ob es rechtlich zulässig ist, wie sich die Pflichten des Direktors auswirken und so weiter. Diese Art von Nuancen verschiebt sich ein bisschen, und so, ja, also da, da, da kann es [unhörbar 00:17:12] sein, ist nicht immer, weißt du, einige, einige Boards waren einfach, weißt du, "Danke, Nick, das ist, das ist toll, und wir werden es von hier aus übernehmen."
Aber andere haben es so gesehen, dass jemand kommt, der regelmäßig damit konfrontiert ist, und der in der Lage ist, sie auf den neuesten Stand zu bringen, wie...
Garrett O'Hara: Du sprichst von den Dingen, die sich verändern. Ich würde gerne wissen, was Sie über die Meldepflicht für Lösegeldzahlungen denken und wie Sie dazu stehen, ob Sie dafür oder dagegen sind, wie Sie es sehen.
Nick Abrahams: Ja, sehen Sie, ich denke, ich denke, es ist absolut entscheidend, dass wir eine Meldepflicht für Lösegeldzahlungen haben. Ich denke, das ist einfach ein verabscheuungswürdiges Geschäftsmodell, das sich entwickelt hat, und es fühlt sich an, als würde es sich beschleunigen, nicht verlangsamen, und es gibt nur wenig, was die Regierung tun kann, um es zu verhindern, außer Lösegeldzahlungen zu verbieten, was, wie Sie wissen, die Regierungen auf der ganzen Welt nicht getan haben, aber das wäre offensichtlich ein Weg, um dieses spezielle Geschäftsmodell zu beenden. Aber ich glaube nicht, dass das passieren wird.
Der Vorschlag der Regierung bezüglich der Meldepflicht ist also wirklich eine Informationsbeschaffung, und ich denke, je mehr Informationen wir haben, desto besser können wir auf diese Dinge reagieren. Wir haben uns also an einigen Diskussionen darüber beteiligt, wie die obligatorische Benachrichtigung aussehen wird. Ich denke, wir müssen uns darüber im Klaren sein, dass der gesamte Datenbereich allmählich von einer ganzen Reihe verschiedener Leute reguliert wird. Und so wird es allmählich etwas kompliziert, welche Informationen wann an wen weitergegeben werden müssen. Ich denke, wenn wir einfach erkennen, dass Organisationen so schlank wie möglich sein sollten, aber ich denke, dass die Benachrichtigung über Ransomware-Angriffe eine gute Idee ist, denke ich, dass die Regierung diese Informationen konsolidieren kann und sie dann hoffentlich zurückgibt.
In gewisser Hinsicht ist es einfach, denn einige dieser Leute sind nicht sonderlich raffiniert und verwenden einfach nur Tools, die im Dark Web verfügbar sind usw. Je mehr Wissen wir also schnell zur Verfügung haben, wenn es zu einem solchen Einbruch kommt, desto eher können wir uns fragen, ob es einen Weg gibt, das Problem zu umgehen, ob wir den Täter kennen. Was ist ihre Geschichte? Funktionieren sie, Sie wissen schon, funktionieren sie im Allgemeinen, funktionieren ihre Entschlüsselungsschlüssel und so weiter? Je mehr Informationen wir haben, desto besser, denn im Moment - und das ist eines der Dinge, an die ich die Vorstände zu gewöhnen versuche - operiert man mit Informationen in einem absoluten Vakuum. Man weiß nicht, wie umfangreich die Schadsoftware im System ist, man muss viele Systeme sperren und eine Menge Analysen durchführen, das braucht Zeit. Man weiß nicht, wie erfolgreich es sein wird, wenn man zahlt und die Entschlüsselungsschlüssel usw. bekommt. Je mehr Informationen wir also haben können, desto besser.
Garrett O'Hara: Ich habe vor kurzem mit jemandem darüber gescherzt [lacht], und wir haben über die Meldepflicht gesprochen und darüber, wie dieser Datensatz dann nützlich wird, wenn es um die Bezahlung geht, so wie Sie es beschrieben haben, und [lacht] wir kamen zu dem Punkt, an dem wir dachten, dass es wie eine Bewertung des Fahrers einer Fahrgemeinschaft sein würde, bei der man ihm einen Stern gibt und einen Kommentar hinterlässt. Du weißt schon, "10/10, würde wieder Lösegeld zahlen," du weißt schon, ich-
Nick Abrahams: Nun, ich meine, ich muss sagen, dass die Benutzererfahrung bei einigen von ihnen gar nicht so schlecht ist, so bizarr das auch klingt. Ich meine, es gibt natürlich die FAQs, wenn man wissen will, wie man Krypto kauft, um das Lösegeld zu bezahlen, dann gibt es eine ganze Reihe von Dingen, die das betreffen. Sie sind also oft sehr deutlich in ihren Botschaften. Es ist, wissen Sie, es ist, es gibt eine, es ist, Sie sind in keine Ungewissheit um das zu verlassen. Ich denke also, so bizarr es auch klingen mag, Sie sind besser dran, wenn Sie von jemandem oder einer Organisation getroffen werden, der/die sich damit auskennt, als von jemandem, der nur ein paar Tools herunterlädt und Glück hat.
Denn wenn man eine Organisation hat, die das wirklich gut kann, dann funktionieren die Entschlüsselungsschlüssel oft besser. Und das ist die große Unbekannte. Und das ist etwas, das für die Aufsichtsräte schwer zu verstehen ist, denn im Allgemeinen liegt das Lösegeld bei einer Million Dollar, was die meisten Aufsichtsräte verstehen können, denn das ist eine Menge Geld, aber im Grunde ist es eine Wette. Sie sagen: "Wenn ich eine Million Dollar investiere, kommen meine Systeme vielleicht schneller wieder in Gang."
Aber die Gremien tun sich schwer mit diesem Vorschlag. Einige von ihnen denken, dass es ein bisschen so ist, als hätten sie es mit Accenture zu tun. Und wenn sie ihre Million Dollar zahlen, bekommen sie die Entschlüsselungsschlüssel und am nächsten Tag ist alles wieder gut. Also, das ist es nicht. A- und das ist ein guter Lernprozess für Vorstände, weil Vorstände besonders dann, wenn sie versuchen, diese Entscheidung zu treffen, wenn das Unternehmen unter Zwang steht, weil sie [unhörbar 00:22:56] sind, es gibt, es gibt, es gibt eine Menge für sie, um den Kopf zu bekommen. Das ist eine der großen Lehren, die ich, entschuldigen Sie, für die Gremien gezogen habe, nämlich, dass es für das Geld, das man bezahlt, keinerlei Garantie gibt, dass die Entschlüsselungsschlüssel funktionieren werden. Alles, was wir tun, ist also, einen bestimmten Betrag zu zahlen und zu hoffen, dass wir unsere Systeme und Daten etwas schneller zurückbekommen. In manchen Fällen geht es viel schneller, in anderen Fällen funktioniert es vielleicht gar nicht. Nun, im Allgemeinen funktioniert es ein wenig, weil Sie eine Art Lebensbeweis erbracht haben, bei dem Sie die Fähigkeit des Entschlüsselungsschlüssels testen. Der Versuch, die Bretter über die Ungewissheit zu bringen, ist ziemlich schwierig.
Garrett O'Hara: Ja, da gibt es so viel, so viel, was man da irgendwie durchkriegen muss. Das ist ein interessanter Punkt, da Sie über den Nutzen von Lösegeldmeldungen sprachen, und, Sie wissen schon, das ist eine Art Hebel, den die Regierung betätigen könnte. Und ich möchte nicht den Donner von etwas stehlen, über das wir etwas später sprechen werden, nämlich web3, aber rein f-zur Linse von Ransomware, wie irgendwelche Gedanken zur Regulierung von Kryptowährungen, mit dem Ziel, dem Monster die Beine abzuschneiden [lacht]?
Nick Abrahams: Nein, nein. Ich meine, die Regierung wird im Laufe dieses Jahres versuchen, Kryptowährungen zu regulieren. Der Bragg-Bericht war ein guter Bericht, und sie haben, glaube ich, sehr gründlich über diesen Bereich nachgedacht. Und eines der Probleme, eigentlich der Engpass bei der Umsetzung dieser Verordnung ist, dass das Finanzministerium, das damit beauftragt ist, diese Regulierung auf den Markt zu bringen, 60 offene Stellen hat und Leute mit Krypto-Expertise sucht, die ihnen bei der Ausarbeitung der Gesetzgebung helfen. Also -
Garrett O'Hara: Richtig.
Nick Abrahams: ... wissen Sie, ich denke, dass die Kryptowelt und, Sie wissen schon, web3, NFT, eigentlich ein ziemlich kleines Umfeld ist. Es gibt nicht, wissen Sie, es gibt, es gibt, es gibt offensichtlich einige Leute, aber es gibt eine Menge Leute in diesem Raum. Daher halte ich es für unwahrscheinlich, dass die Regierung einen Vorschlag zur Lösung des Problems im Bereich der Kryptowährungen vorlegen wird. Aber, wissen Sie, es gab einige Beispiele, wie z. B. in den USA, wo das FBI in der Lage war, die Krypto-Zahlungen in Wallets zu verfolgen und die Wallets bei Ransomware-Zahlungen zu beschlagnahmen. Ich denke also, dass die Lösung für dieses Problem eher in der Technologie liegt, sorry, und vielleicht ist das der Anwalt, der sich gegen Gar den Technologen wehrt und sagt [lacht] "Wir können das nicht lösen, ihr müsst das lösen."
Aber ich denke, dass es vielleicht eine bessere Lösung gibt, wenn man eine super, super Möglichkeit hat, Kryptowährungen zu verfolgen und zu wissen, wo sie in der Brieftasche sind.
Garrett O'Hara: Ja, es fühlt sich auch ein bisschen so an, als wäre die Zahnpasta schon aus der Tube. Wissen Sie, zum jetzigen Zeitpunkt ist es irgendwie schwer, zu diesem Zeitpunkt zu regulieren. Bevor wir zu weit in diese Richtung gehen, würde ich gerne noch einmal auf Ihre Simulation zurückkommen und, wenn es Ihnen recht ist, die Struktur dieser Simulation durchgehen. Sie haben davon gesprochen, dass es 45 Minuten sind, aber ich würde gerne ein Gefühl dafür bekommen, wie Sie mit dem Vorstand arbeiten und welche Schritte Sie mit ihm durchgehen?
Nick Abrahams: Großartig, großartig, ja. Ich arbeite also immer Hand in Hand mit der internen technischen Leitung und der Sicherheitsleitung, dem CISO und so weiter, der Sicherheitsleitung. Denn der Simulator muss das Verhaltensmuster und die Prozesse, die die Technologieführerschaft inszeniert hat, wirklich verstärken. Die Simulation ist also so konzipiert, dass sie das unterstützt und nicht dazu dient, Dinge zu enthüllen. Und das ist eines der Dinge, die ich versuchen musste, um die Direktoren, in den ersten Tagen, auf Kurs zu halten. Weil sie, die Direktoren, sich oft fragen, warum wir nicht, Sie wissen schon, warum passiert uns das? Haben wir nicht die richtigen Sicherheitsvorkehrungen?" Und es ist wie eine Simulation. Es geht also nicht darum, ob das Technologie-Team gute oder schlechte Arbeit geleistet hat. Dies ist eine Simulation.
Es geht also sehr stark um die Zusammenarbeit mit der technischen Leitung, und das Entscheidende an der Simulation ist, dass sie den Vorstand zwingt, eine Entscheidung zu treffen. Ich habe viel Zeit in Vorstandsetagen verbracht, und ich glaube, dass Vorstände unglaublich effektiv sein können. Aber die erste Reaktion der meisten Gremien auf ein Thema ist: "Wir brauchen ein Papier dazu." Sie, die Vorstände, lieben es, um ein Papier zu bitten. "Lass uns, du weißt schon, jemanden finden, der einen Aufsatz schreibt." Und so protestiere ich auf nette Art und Weise. Ich sage: "Es gibt keine Papiere. Nein - niemand wird einen Aufsatz schreiben. Am Ende dieser 45 Minuten müssen Sie eine Entscheidung treffen, ob Sie das Lösegeld zahlen oder nicht, und es wird eine Menge Informationen geben, die Sie nicht haben, was Ihnen ein ungutes Gefühl geben wird, aber das liegt in der Natur der Sache. Das ist die Realität. Man kann diese Sache nicht [unhörbar 00:28:27] zu 100 % herunterfahren."
Damit ist also der Rahmen abgesteckt. Und dann die allererste, also es gibt, wie gesagt, es gibt 16 Fragen. Die erste, und in der Tat die wichtigste, sind die Werte der Organisation. Das Gleiche gilt für die Bezahlung eines Kriminellen, um ein vorteilhaftes Ergebnis zu erzielen. Wie passt das zu den Werten der Organisation? Und ich habe festgestellt, dass die Gremien dies oft völlig ignorieren. Es kam zu dieser pragmatischen kommerziellen Diskussion: Sollen wir zahlen oder nicht? Ich denke, es ist sehr wichtig, wie es zu den Werten einer Organisation passt. Wir wissen also, dass 55 % der Fortune-100-Unternehmen in den USA Integrität als Wert haben. Wenn Sie also wissen, dass ein Wert getestet werden muss und Sie ihn sofort verwerfen, ohne ihn zu berücksichtigen, dann sind Sie sicherlich kein werteorientiertes Unternehmen, denn wir wissen, dass Organisationen genau das tun sollten.
Ich ermutige die Leute also, es von ihren Werten her zu durchdenken, und [inaudible 00:29:41] und das kommt oft auch in ihren persönlichen Werten zum Ausdruck, was irgendwie in die Diskussion einfließt. Aber wie würden Sie das verteidigen, wenn Ihre Mitarbeiter herausfinden würden, dass Sie Lösegeld gezahlt haben, wenn Ihre Klienten oder Kunden es herausfinden würden usw.? Wir sprechen also darüber, und das führt dazu, dass sich die Leute oft ziemlich engagieren, und, und, und so sagen wir letztendlich, ich sage nicht, dass man wegen seiner Werte nicht zahlen sollte. Wenn Sie einen Wert auf Integrität legen, heißt das nicht, dass Sie nicht zahlen sollten. Und wo die meisten Organisationen ankommen, ist das [inaudible 00:30:20] Argument, welches lautet: "Wissen Sie was? Wir hassen die Idee, Lösegeld für einen Täter zu zahlen. Aber, wissen Sie, wir haben Verpflichtungen gegenüber unseren Mitarbeitern, unseren Kunden, unseren Partnern, wir müssen dieses Geschäft so schnell wie möglich wieder in Gang bringen.
Also, das ist [unhörbar 00:30:42], wissen Sie, so sollte es formuliert werden. Das ist also die erste. Der zweite Punkt ist die Rechtmäßigkeit der Maßnahme. Und jetzt geht es sozusagen die Gasse hinunter. In Australien ist es nicht unbedingt klar, wie legal das ist. Letztendlich kann ich Organisationen davon überzeugen, dass es legal ist, zu zahlen, aber man muss einen Prozess durchlaufen, und es gibt zwei wichtige Überlegungen zur Frage der Legalität. Die erste Frage lautet also: Könnte es sich um eine Zahlung an eine terroristische Organisation handeln? In den USA hat man damit begonnen, bestimmte Ransomware-Täter als terroristische Organisationen einzustufen, und sobald diese Ransomware-Täter als terroristische Organisationen eingestuft werden, können keine Zahlungen mehr geleistet werden, da wir eine Reihe von Konventionen und Verträgen unterzeichnet haben, die besagen, dass Australien, wenn die USA oder andere Länder sie als terroristische Organisation einstufen, keine Zahlungen mehr leisten kann.
Das ist also ein sehr wichtiger Punkt, in den man sich auf keinen Fall verstricken sollte. Die nächste rechtliche Frage lautet: Könnte die Zahlung als Finanzierung krimineller Aktivitäten angesehen werden? Und es gibt v- und das ist v- das ist eine Frage des einzelstaatlichen Rechts, die Staaten haben d- diese Art von Gesetz in, in s- mehr oder weniger der gleichen Art von Sprache. Und das ist, Sie wissen schon, auf der einen Seite: "Nun, ich meine, Sie zahlen Geld an Kriminelle, natürlich, was sind, Sie wissen schon, [unhörbar 00:32:28] werden sie verwenden?" Aber Sie müssen diese Frage wirklich sorgfältig klären und eine vertretbare Position finden, warum Sie sicher sein können, dass dies keine strafrechtliche Haftung auslöst. Ich weiß, dass sich das wie Juristensprache anhört, aber es ist wichtig, sich das gut zu überlegen und einige gute Hintergrundinformationen aufzuzeichnen, die begründen, warum der Vorstand zu dieser Entscheidung gekommen ist.
Der nächste Punkt betrifft die Pflichten des Direktors. Jeder Vorstand befasst sich also kritisch mit den Pflichten seiner Direktoren, und wir gehen einige davon durch, um festzustellen, ob es etwas gibt, das es ihnen verbieten würde, die Entscheidung zur Zahlung zu treffen. Und, oder, oder, wissen Sie, umgekehrt, sollten sie, gibt es, wissen Sie, gibt es Pflichten des Direktors, die sie verpflichten, tatsächlich eine Zahlung zu leisten? Das ist also eine interessante Diskussion.
Als nächstes geht es um den Ruf, und das ist wirklich etwas, das ich nur deshalb mache, weil ich weiß, dass Menschen unglaublich ängstlich werden, wenn sie angegriffen werden. Es ist, es ist eine schreckliche Situation, und niemand schläft, [inaudible 00:33:54] wissen Sie, und besonders die Tech-Teams, es ist, ich meine, es ist, es ist einfach ein Alptraum. Und ich versuche, die Leute zu beruhigen, denn in Wirklichkeit passiert so etwas oft, und man wird es überleben. Wir haben daher eine eigene Untersuchung durchgeführt, bei der wir uns jedes an der ASX notierte Unternehmen angesehen haben, bei dem ein Datenschutzverstoß aufgetreten ist, und sie sagen nicht, ob es sich um Ransomware handelt oder nicht. Aber wir haben uns angeschaut, wo sie sagen, dass sie eine Datenschutzverletzung hatten, und dann haben wir die kurz-, mittel- und langfristigen Auswirkungen auf den Aktienkurs analysiert. Meine These ist, dass der Aktienkurs ein sehr grober Indikator für den Ruf des Unternehmens ist. Ich weiß, dass es sich um eine sehr grobe Stellvertretung handelt. Es ist keine, Sie wissen schon, keine direkte Darstellung, aber es ist so gut wie möglich.
Dabei habe ich [inaudible 00:34:52] ein paar Ansichten darüber, welche Organisationen am ehesten dauerhafte Schäden durch diese Art von Verstößen erleiden werden, und ich habe einige Theorien dazu. Und die letzten beiden, nur kurz für die Technologen, die zuhören, ich spreche über die praktische oder technische Bewertung, praktische und technische Bewertung. Und das ist der Punkt, an dem der Vorstand, so schätze ich, besonders erregt wird, weil er möchte, dass der CTO oder der CISO oder jemand aus dem Führungsteam ihm sagt, was er tun soll. Sie wollen also, dass jemand sagt: "Ja, wir sollten das Geld bezahlen, denn das wäre eine gute Sache." Und letztendlich glaube ich nicht, dass irgendjemand in der Exekutive, sei es der Sicherheitsbeauftragte oder irgendjemand anderes, wirklich sagen kann: "Ja, ich denke, dass der Vorstand das unbedingt tun sollte."
Ich denke, die meisten Ratschläge lauten: "Wir können die Systeme wieder in Gang bringen und unsere Daten zurückholen. Wir haben, wissen Sie, wir haben großartige Backups," usw. Es kann einige Zeit dauern, und dieser Zeitrahmen kann von einer Woche bis zu mehreren Wochen reichen. Wir können es also in Gang bringen, und was ich Ihnen über die Zahlung eines Lösegelds sagen kann, ist, dass wir nicht sicher sein können, dass es funktioniert, aber es ist wahrscheinlich einen Versuch wert. Wissen Sie, das ist die Art von Ausstrahlung, die man manchmal vermitteln muss. Ich denke, der CISO könnte sagen: "Ich bin" Sie wissen schon, "Ich würde das Lösegeld gerne bezahlen." Aber Sie, Sie können nicht ... Ich glaube nicht, dass irgendjemand dem Vorstand die Entscheidung abnehmen kann, denn es ist mehr als ein rein technischer Vorschlag, und zwar aus den genannten Gründen.
Ich denke, das ist eine sehr hilfreiche Sache für die meisten Technologen, damit die Vorstände ein wenig mehr Einblick in das bekommen, was sie erwarten können. Und dann ist da noch die Cyberversicherung, über die wir gesprochen haben, die ich vom Tisch nehme, ich sage: "Sie müssen keine Cyberversicherung in Betracht ziehen, weil sie in der Simulation" vielleicht ein Lösegeld zahlt, aber in einer realen Situation wäre die Cyberversicherung Ihre erste Anlaufstelle, um zu sehen, ob sie Ihnen das Problem abnehmen würde. Aber für den Zweck der Simulation möchte ich nicht, dass die Gremien abdanken.
Ja, und so geben wir, ich gebe ihnen, ich gebe ihnen all das, und dann sage ich im Grunde ... Also das sind die ersten fünfzig - ich glaube, ich brauche mehr als 15 Minuten, um das zu erklären, aber ich gebe, ich gebe [unhörbar 00:37:27] 15 Minuten, und dann haben sie 30 Minuten, in denen ich sozusagen als Berater zur Verfügung stehe, während sie die Entscheidung treffen. Aber die Frage der Legalität ist für sie vom Tisch. Ich sage: "Nehmen wir an, es ist legal," Ich nehme die Frage der Pflichten des Geschäftsführers vom Tisch, ich sage: "Gehen Sie einfach davon aus, dass Sie [unhörbar 00:37:42] die Pflichten des Geschäftsführers erfüllen können," und dann nehme ich die Frage der Cyberversicherung vom Tisch. Sie diskutieren also im Grunde genommen nur... Sie wissen schon, sie diskutieren fast nur über den Wert, denn wie ich schon sagte, diese Dinge sind opportunistisch im Bereich von einer Million Dollar angesiedelt, so dass sie sich im Allgemeinen mit dieser Ausgabe anfreunden können. Und dann, ja, ich meine, das läuft 30 Minuten lang, und dann müssen sie, sie müssen am Ende eine Entscheidung treffen.
Garrett O'Hara: Ich konnte spüren, wie Adrenalin und Angst durch meinen Körper schossen, während Sie darüber sprachen. Es ist... es ist so ein... (lacht)
Nick Abrahams: Es ist so, es ist so gut anzusehen, es ist wie...
Garrett O'Hara: Ja.
Nick Abrahams: .... Es ist faszinierend zu beobachten, wie die Vorstände arbeiten und wie sie Entscheidungen treffen, und der Einfluss des Vorsitzenden ist natürlich entscheidend, und es muss sichergestellt werden, dass vor allem die Leute, von denen man weiß, dass einige einen sehr starken moralischen Kompass in dieser Sache haben, dass man auf sie hört. Weißt du, es ist...
Garrett O'Hara: Ja.
Nick Abrahams: ... es ist nicht nur eine pragmatische Entscheidung. Ja, es ist also faszinierend. Wie ich schon sagte, jeder kommt irgendwann dazu, zu zahlen, sie wissen schon, sie haben den Kopf dafür. Es mag nicht einstimmig sein, aber letztendlich sind sie, sie ...
Garrett O'Hara: Ja, man kommt am Ende zu einer Entscheidung. Sie sprachen gerade über die Rechtsvorschriften, und ich bin mir bewusst, dass die Zeit hier sehr schnell vergeht, daher werde ich versuchen, mich kurz zu fassen. Aber, wissen Sie, eines der Dinge, die mir aufgefallen sind, ist, dass Sie die Liste der sanktionierten Organisationen erwähnt haben, Sie wissen schon, das sind terroristische Organisationen, deshalb ist es illegal zu zahlen. Und dann hat man das Gefühl, dass man zwischen einem Felsen und einem harten Ort feststeckt, wenn die Entscheidung buchstäblich lautet: "Wir schließen die Türen des Unternehmens," oder "Wir halten uns an das Gesetz,". Sie können diese Frage aus vielen Gründen gar nicht beantworten. Aber sehen Sie auch Situationen, in denen eine Organisation unterm Strich eine Entscheidung trifft, die vielleicht nicht ganz im Einklang mit dem Gesetz steht, nur weil das die einzige Möglichkeit ist, die Türen eines Unternehmens offen zu halten, oder ist das sehr schwarz-weiß, und sie werden das einfach nicht tun?
Nick Abrahams: Ja, ich, ich, sehen Sie, um ehrlich zu sein, ich habe nie gesehen ... Weil es in der Regel, in der Regel ist es nicht, es ist keine existenzielle Krise für Unternehmen. Wie-
Garrett O'Hara: Okay.
Nick Abrahams: ... Unternehmen können sich davon erholen. Es ist...
Garrett O'Hara: Ja.
Nick Abrahams: Ich meine, selbst als ich einen schrecklichen Fall hatte, was ich meine, es war nur, ich meine, es war ein anständig großes Unternehmen, wahrscheinlich im Wert von, ich weiß nicht, 250, 300 Millionen Dollar. Ein anständig großes Unternehmen. Ich meine, einfach eine schreckliche Art von Cyber-Hygiene. Sie wissen schon, nicht Dinge zu flicken, wie das [inaudible 00:40:18] ...
Garrett O'Hara: Mm-hmm [bejahend].
Nick Abrahams: Ich dachte, die Sache mit dem Nicht-Patching wäre schon vor Jahren verschwunden. Und obwohl sie ziemlich hart getroffen wurden, [inaudible 00:40:27] hatten sie in letzter Zeit ein paar Backups und konnten sich davon erholen. Ich habe also noch nie erlebt, dass es eine echte existenzielle Krise ist, bei der man...
Garrett O'Hara: Ja.
Nick Abrahams: ... wortwörtlich, "Wir müssen die Türen schließen, denn das Geschäft ist erledigt." Ich meine, ich habe Situationen erlebt, in denen Menschen, insbesondere Kollegen, in denen ich sehr daran glaube, dass nur sehr wenige Unternehmen über diese ausgefeilte Erfahrung mit Ransomware im System verfügen, wenn sie nicht über das entsprechende Know-how verfügen. Ich glaube nicht, dass es viele Organisationen gibt, die Banken wahrscheinlich schon, aber nur wenige andere haben diese Möglichkeiten. Ich glaube also fest daran, dass es wichtig ist, echte Kompetenz von...
Garrett O'Hara: Hm.
Nick Abrahams: ... Berater von Dritten, die dies jeden Tag tun. Aber ich hatte eine Situation, in der eine Organisation, das ist in einem Live-Bruch, Sie wissen schon, sie hatten ein, Sie wissen schon, ein Technologiedienstleistungsunternehmen, es war ein sehr kleines Unternehmen, das ihre IT-Arbeiten erledigte. Und, weißt du, sie sagen: "Oh nein, wir bekommen keine [inaudible 00:41:32]." Die IT-Firma begann also mit der Datensicherung, weil sie dachte, sie würde einfach eine Datensicherung durchführen, weil sie die Backups hatte. Und dann war die Malware schlau genug, um herauszufinden, was vor sich ging, und verschlüsselte die Backups.
Garrett O'Hara: Oh.
Nick Abrahams: So, so, ja. Ich glaube fest daran, dass es wichtig ist, die Fähigkeiten von Drittanbietern einzubeziehen [inaudible 00:41:57].
Garrett O'Hara: Ja, auf jeden Fall. Wir können hier das Unmögliche versuchen. Ich habe also noch zwei Fragen, und ich vermute, dass dies eine Aufgabe von Everest-Größe sein wird. Aber wir haben schon sehr früh kurz über web3 gesprochen, und ich weiß, wenn ich Ihnen auf LinkedIn folge, dass dies etwas ist, das Ihnen sehr am Herzen liegt. Und für diejenigen, die zuhören, werden wir, wir werden die Links in den Show Notes zu einigen Ihrer, Ihrer Art von Erklärvideos einfügen, sie sind fantastisch gut gemacht. Lassen Sie uns versuchen, das Unmögliche in den nächsten fünf Minuten zu schaffen. Was ist web3?
Nick Abrahams: Ja, ja, sicher. Ich denke also, wenn wir darüber nachdenken, ist es am besten, es im Sinne der Evolution zu betrachten. Web1 war also von '95, '96 bis 2004 das reine Lese-Internet. Es gibt zwar ein paar nette [inaudible 00:42:50] Seiten, aber man konnte kein Hotel buchen und keine Überweisungen tätigen und so weiter. Das war also web1, nur zum Lesen. Und dann Web2, das sozusagen von 2005 bis heute gelesen und geschrieben wird. Wir konnten also wirklich interagieren und Überweisungen tätigen, wir können Dinge kaufen. Erstellung von Inhalten über soziale Medien. Und so verändert web3 das Spiel in zweierlei Hinsicht. Erstens können wir jetzt im Internet lesen, schreiben und besitzen. Dank der NFT-Technologie können wir also tatsächlich digitale Dateien besitzen, und die NFT-Technologie sorgt für nachweisbare Knappheit. Sie stellen also einen Vorteil zur Verfügung, den wir bisher nicht hatten, denn Sie stellen ein JPEG ins Internet und es kann unendlich oft kopiert werden, ohne dass zusätzliche Kosten entstehen.
Jetzt haben Sie tatsächlich einen schützenswerten Vermögenswert. Ich denke also, dass Lesen, Schreiben und Besitzen entscheidend sind. Und mit web3 kommt der Übergang vom zweidimensionalen zum dreidimensionalen Web-Erlebnis. Und so ist die Idee des Metaversums, auch bekannt als das verkörperte Internet, entstanden. Man denke nur an die Art und Weise, wie man derzeit etwas online kauft: Es ist ein sehr flaches, zweidimensionales Erlebnis. Wenn Sie etwas anklicken, landet es in einer Art virtuellem Einkaufswagen.
Nun, das Versprechen von Web3 und dem Metaverse ist, dass man sich tatsächlich physisch so fühlt, als wäre man in einem Geschäft, um den Artikel zu greifen und ihn in den Einkaufswagen oder die Einkaufstasche zu legen, und das kann entweder mit bestehender Technologie geschehen, und da gibt es Decentraland und Sandbox und Somnium Space und so weiter, mit denen man seinen kleinen Avatar durch eine virtuelle Welt steuern kann, oder man kann ein gesteigertes Erlebnis haben, und zwar durch eine Virtual-Reality-Brille, die einen komplett aus der eigenen Umgebung in eine simulierte Umgebung bringt, und das ist es, wo Met's Oculus einen hinbringen würde. Oder die erweiterte Realität mit etwas wie Microsofts HoloLens, die im Grunde nur eine Linse ist, durch die man seine eigene Welt betrachtet, aber verschiedene Mengen an Informationen werden auf den Augapfel projiziert, nicht auf die Linse, wo man tatsächlich verschiedene Mengen an Informationen sieht, aber man befindet sich immer noch in seiner eigenen Realität.
Also, ja, ich denke [inaudible 00:45:36], wissen Sie, ich glaube, dass wir alles, was wir im zweidimensionalen Internet machen, mit der Zeit in das dreidimensionale Internet übertragen werden. Wissen Sie, es ist nicht [unhörbar 00:45:46].
Garrett O'Hara: Du hast da eine Vision gezeichnet, fast so wie bei Ready Player One mit haptischen Anzügen und so, du weißt schon, diese Art der vollständigen Immersion. Ich habe das Gefühl, dass es in diese Richtung gehen wird. Ich werde jetzt mal kurz nostalgisch werden. Es gibt ein Spiel namens Mercenary, ein Typ namens Paul Woakes, glaube ich, war derjenige, der es geschrieben hat, damals auf ... Wir reden hier vom C-64, ganz, ganz weit zurück, du weißt schon, monochrome Vektorgrafik.
Das ganze Spiel ist etwa 10.000 Quadratmeter groß, oder? Aber ich erinnere mich, dass ich das Spiel geladen habe und es mich immer noch umhaut, es ist immer noch ein Spiel, das ich hin und wieder herunterlade, um ein bisschen herumzustöbern. Aber es ist eine Vektorgrafik-Welt, in der man herumlaufen kann, im Grunde eine Stadt mit Raumschiffen, die in 3D herumfliegen. Und, wissen Sie, mein neunjähriges Gehirn wurde davon regelrecht explodiert. Und ich denke, wenn man die Technologie sieht, die heute zur Verfügung steht, hätte ich nie geglaubt, dass wir das tun würden, was wir heute tun. Und ich glaube, dass wir wahrscheinlich gar nicht so weit von diesem Thema entfernt sind, wie es manchmal scheint. Wissen Sie, wir haben die Technologie, es geht nur um die breitere Akzeptanz.
Ich habe buchstäblich 50 Fragen, die ich Ihnen jetzt stellen möchte, und ich glaube, wir haben nur noch fünf Minuten Zeit [lacht]. Einige der Dinge, die ich in den Kommentaren über NFTs gehört habe, sind die Nützlichkeit für Leute, die sich selbst finanzieren wollen, also jemand, der ein Kunststudium absolviert hat und einen Teil eines NFT-Vertrags kauft, und der damit seine Ausbildung und seinen Start finanziert, und dann bekommt man ein paar Punkte, wenn er oder sie sich weiterentwickelt und ein großer globaler Künstler oder Musiker oder Sportler wird. Ist das Ihrer Meinung nach ein Teil von web3, ist es das, worüber wir hier reden, oder ... Ja, das ist es.
Nick Abrahams: Ja, ja, ja, ich glaube schon. Daher denke ich, dass der beste Bereich, um zu zeigen, was die Geschäftsmodelle und die Einnahmemodelle für die Zukunft sind, die Spiele sind. Wenn wir uns also ansehen, dass Spiele ursprünglich, wie Sie gerade sagten, zum Beispiel Fortnite, von einem Spielbetreiber betrieben wurden, und Sie kaufen Ihre Sachen in Fortnite, aber Sie bezahlen den Eigentümer von Fortnite und behalten Ihre Sachen im Spiel. Und dann, wissen Sie, jetzt haben wir die Play-to-Earn-Plattformen, und das ist, glaube ich, genau das, was wir über [unhörbar 00:48:05] gesagt haben, wissen Sie.
Mit der Play-to-Earn-Plattform, vor allem mit dem, was als Play-to-Earn v2 bekannt ist, gibt es jetzt Leute, die, sagen wir, Axie Infinity spielen. Es gibt Gamer, die Vollzeit-Gamer sind, es ist sehr groß auf den Philippinen, es gibt, Sie wissen schon, das sind - das sind keine Super-Egamers, die das sind, die echte Superprofis sind, sondern einfach Leute, die gerne spielen, aber das als Job machen, viele Stunden am Tag damit verbringen und so in der Lage sind, mit Axie Infinity effektiv Kryptowährung zu verdienen, und es gibt eine Reihe von, ich, es ist auf den Philippinen sehr üblich, dass diese Spiele das Zwei- bis Dreifache des Durchschnittslohns einbringen.
Und dann haben wir gesehen, dass diese Erweiterung des Geschäftsmodells ziemlich teuer ist, es kostet etwa 2.000 Dollar, um mit Axie Infinity anzufangen, man muss sein Axie-Atari-Ding kaufen. Es gibt also Gilden, also eine Art von Spielergilden. Es handelt sich also um Leute, oft aus dem Westen, die sich zusammenschließen und diese NFTs zur Verfügung stellen, so dass sie vielleicht einem Spieler auf den Philippinen oder in Indonesien ein Axie zur Verfügung stellen, damit er das Spiel spielen kann, und dann teilen sie sich den Erlös aus diesem Spiel. Diese Spielergilden werden von so genannten DAOs, dezentralen autonomen Organisationen, gebildet, die dann NFTs verleihen und davon profitieren. Das ist also ein phänomenales Geschäftsmodell, und deshalb habe ich gesagt: Das Entscheidende ist, dass wir jetzt Dinge besitzen können.
Die Leute reden oft über Second Life und, wissen Sie, Second Life gab es schon 2007, 2008, es ist alles da. Die visuelle Erfahrung und die Grafik ähneln sehr dem, was man in Decentraland oder Sandbox sehen würde. Das [unhörbar 00:50:12] hat sich also nicht eingeschaltet. Was jedoch hinzugekommen ist, ist die Möglichkeit, digitale Vermögenswerte an Orten wie Decentraland und Sandbox zu besitzen. Sobald man ein digitales Gut besitzt, kann man damit ein Geschäft aufbauen, und das ist das Spannende daran. Sie haben jetzt, wissen Sie, diese Axie-Gamer sind jetzt die ersten Metaverse-Arbeiter.
Garrett O'Hara: Ziemlich unglaublich, ziemlich unglaublich. Ich glaube, wir haben leider die Zeit überzogen. Es ist, ich, das, das ist eines, wo, wenn du bereit bist, vielleicht irgendwann in der Zukunft, würde ich gerne ... Es gibt hier so viel Neues, von dem ich denke, dass viele Leute denken, dass sie es verstehen, aber es eigentlich nicht wirklich verstehen, und ich würde meine Hand heben und sagen, dass ich einer von denen bin. [Nick, es war mir ein großes Vergnügen, mit Ihnen zu sprechen. Ich bin Ihnen sehr dankbar, dass Sie heute bei uns sind und schätze Ihre Zeit sehr.
Nick Abrahams: Vielen Dank, Gar. Ich bin wirklich dankbar, dass ich gefragt werde. Es war schön, etwas Zeit damit zu verbringen, [inaudible 00:51:05] zu tun, was hoffentlich alles, was Sie über Ransomware gelernt haben, nie anwenden müssen, und dies wird die größte Verschwendung einer Stunde gewesen sein, die Sie je hatten, was mein, mein feierlicher Wunsch für Sie wäre. Wir haben also... Vielen Dank, Gar, vielen Dank an alle.
Garrett O'Hara: Danke, Nick.
Vielen Dank an Nick, dass er sich uns angeschlossen hat. Und wie immer vielen Dank, dass Sie sich den Get Cyber Resilient-Podcast angehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns bitte eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge zu sehen.