V&A: Cyberbeveiligingsbewustzijn en de lessen van 2020

Het cyberbeveiligingsbewustzijn wordt vaak ondermijnd door een vorm van bedrijfsamnesie die organisaties ervan weerhoudt te leren van eerdere misbruiken en hen kwetsbaar maakt voor toekomstige misbruiken. Dit leidt tot een cyclus van alarm gevolgd door een vals gevoel van veiligheid, zegt Josephine Wolff, auteur van You'll see this message when it is too late: The Legal and Economic Aftermath of Cybersecurity Breaches (2018 ).

Het is belangrijk om kwetsbaarheden in het bedrijfsnetwerk te patchen tegen indringers, maar het is ook belangrijk om het grotere plaatje te begrijpen dat leidt tot cyberrisico's, zegt Wolff, assistent-professor cyberbeveiligingsbeleid aan de Tufts Fletcher School of Law and Diplomacy. De mentaliteit van "patch dit en alles is klaar" is hoe organisaties falen om te anticiperen op de volgende aanval, zegt ze.

Wolff, die schrijft voor The New York Times, Slate en andere publicaties, wordt algemeen beschouwd als een toonaangevende expert op het gebied van cyberbeveiligingsbewustzijn, governance, regelgeving en risico's. In dit interview met Mimecast-blogger Mercedes Cardona bespreekt ze hoe de COVID-pandemie cyberbeveiliging in de toekomst zal beïnvloeden, best practices voor bedrijven bij de aanpassing aan het "nieuwe normaal", en het vooruitzicht dat de federale overheid in de nabije toekomst normen voor gegevensbescherming zal vaststellen.

Opmerking van de redactie: Dit is het eerste in een reeks interviews met vooraanstaande deskundigen op het gebied van cyberbeveiliging uit de academische wereld, onderzoeksinstellingen en de particuliere sector.

Mimecast: Gaat het bij cyberbeveiliging van bedrijven nog steeds in de eerste plaats om de bescherming van intellectuele eigendom en bedrijfsactiviteiten, of zijn door nieuwe regelgeving, zoals CCPA de bescherming van klantgegevens en de merkreputatie van het bedrijf naar het middelpunt verschoven?

Josephine Wolff: De regelgeving heeft de prioriteiten zeker verlegd. Er ligt nu meer nadruk - niet alleen op de bescherming van consumenteninformatie - maar ook op transparantie rond het gebruik van die gegevens. Ik denk echter dat er nog steeds veel nadruk ligt op bedrijfsactiviteiten, continuïteit en bescherming van intellectueel eigendom.

De grootste verschuiving in de afgelopen paar jaar is dat bedrijven een beter inzicht hebben gekregen in de dreigingsmodellen waarmee ze worden geconfronteerd. Steeds meer wordt ingezien dat er veel verschillende manieren zijn waarop uw bedrijf doelwit kan worden. Het stelen van intellectueel eigendom is er één, maar het kan ook gaan om het platleggen van uw netwerken en het versleutelen van uw harde schijven voor afpersing.

Bedrijven worden vandaag dus geconfronteerd met een veel bredere reeks bedreigingen, waaronder door de staat gesponsorde aanvallen, die - omdat je het opneemt tegen een natiestaat met veel middelen en veel deskundigheid - zeer ernstig moeten worden genomen.

Mimecast: Hoe heeft de COVID-pandemie het gesprek over cyberbeveiliging en gegevensprivacy veranderd? Van de kwetsbaarheid van thuiswerken tot het nieuws over hackers die vaccinonderzoek proberen te stelen, het lijkt erop dat er een aantal nieuwe punten van zorg zijn.

Wolff: Snel, zonder veel aanlooptijd, hebben bedrijven vanuit de woning van hun werknemers vrij gevoelige dingen moeten gaan doen die ze vroeger waarschijnlijk niet hadden willen doen, of niet hadden toegestaan. Dat dwingt iedereen om te worstelen met de beperkingen op het veiligstellen van werk op afstand.

De pandemie heeft ook nieuwe aanvalsmogelijkheden geopend. Sommige daarvan zijn gewoon het gevolg van al het onderwijs en werk en alles wat op afstand gebeurt. Er zijn veel meer mogelijkheden om af te luisteren, om te spioneren. Maar andere hebben betrekking op de diefstal van intellectueel eigendom, zoals vaccinonderzoek.

Met name ziekenhuizen weten al een tijdje dat zij veel kwetsbaarheden hebben die met extra infrastructuur moeten worden aangepakt. Maar nu zijn ze hier, op een moment dat ze absoluut geen extra bandbreedte of andere middelen hebben om daaraan te besteden - en toch is het absoluut essentieel. Ze kunnen het niet uitstellen. Ze kunnen niet wachten tot alles tot rust is gekomen, want het is zo'n kritiek moment voor hen.

Mimecast: Er wordt veel gezegd dat veel van de mensen die nu op afstand werken, misschien nooit meer op kantoor zullen gaan werken. Zal daardoor de nadruk van cyberbeveiliging verschuiven naar individuen in plaats van organisaties?

Wolff: We weten echt nog niet goed wat de beste praktijken zijn voor het omgaan met deze hoeveelheid gevoelige informatie bij werknemers thuis. Ik denk dat we er beter in zullen worden, naarmate bedrijven erachter komen hoe ze een redelijk beleid kunnen opstellen waar hun werknemers zich ook echt aan kunnen houden.

Het werkt niet om zomaar wat beleid te maken. Ik heb vrienden wiens bedrijf regels heeft gemaakt zoals: Je moet werken in een kamer met een gesloten deur en er mag niemand anders in de kamer zijn, en dit, dat en nog iets. Maar voor veel mensen - als je kinderen hebt, als je een partner hebt, als er andere mensen in huis zijn - is het niet altijd makkelijk om te zeggen: "ik ga naar mijn kantoor, doe de deur op slot en niemand anders mag daar zijn terwijl ik werk."

Ik denk dat we nog aan het uitzoeken zijn hoe de veiligheids- en privacy-protocollen eruit moeten zien, en dat zal met vallen en opstaan gaan.

Mimecast: U schreef een New York Times column in de begindagen van de pandemie over het gebruik van technologie voor inperking. Kan technologie helpen als mensen hun gegevens voor het traceren van contacten niet willen delen?

Wolff: Ik denk dat er een aantal zeer beperkte manieren zijn waarop technologie kan helpen bij het traceren van blootstelling. Het Apple-Google platform om je te verwittigen als je in nauw contact bent geweest met iemand die positief getest is op COVID is een voorbeeld. Ik moet wel zeggen dat de uitrol nogal teleurstellend is geweest, althans in de Verenigde Staten. Er is geen grote golf van mensen die zich aanmelden voor deze apps. Elke staat doet het een beetje anders; er is niet veel eendrachtige berichtgeving. Dus, ik ben er niet al te optimistisch over.

In de Verenigde Staten is het aantal besmettingen gewoon zo groot dat het moeilijk voor te stellen is - zelfs met de hoeveelheid gegevens die we met behulp van technologie kunnen verzamelen - dat we de zaken echt onder controle zullen kunnen krijgen. Op dit moment zijn er zo veel mensen blootgesteld dat het moeilijk is om te zien hoeveel invloed dat zou hebben. Maar ik denk vooral dat we nog niet de adoptie hebben gezien die we nodig hebben om echt een verschil te maken.

Mimecast: Terugkomend op het onderwerp van overheidsregulering: moeten we verwachten dat de federale regering zal proberen een nationaal cyberbeveiligingsbeleid door het Congres te loodsen, iets dat in de plaats zou komen van inspanningen op staatsniveau zoals CCPA en New York's SHIELD ?

Wolff: Ik hoop het. Ik denk dat dat een heel goede zaak zou zijn om op federaal niveau te doen, in plaats van het te versnipperen over de staten. Niet omdat de wetten van de staten niet nuttig en productief zijn geweest, maar omdat er bepaalde plaatsen zijn waar geen gegevensbescherming is, en het is verwarrend voor bedrijven als er een heleboel verschillende, enigszins vergelijkbare, maar enigszins verschillende regimes zijn waar ze zich aan moeten houden.

De vraag of we het kunnen verwachten is moeilijker, omdat ik denk dat voorspellingen doen over wat het Congres tegenwoordig wel of niet zal doen een ingewikkeld spel is. Ik denk niet dat het onmogelijk is. Ik denk dat het een idee is dat redelijk wat steun heeft van beide partijen.

Men erkent dat dit een gebied is waarop de Verenigde Staten achterop zijn geraakt. Zelfs bedrijven beginnen het gevoel te krijgen dat ze liever enige begeleiding op federaal niveau hebben dan met elk van de staten afzonderlijk te maken te krijgen. Dus ik denk wel dat het mogelijk is.

Mimecast: Zullen er, gezien alles wat er dit jaar is gebeurd, veranderingen komen in de manier waarop bedrijven hun cyberrisico beheren? Zijn bedrijven zich er meer van bewust geworden dat ze een aantal beschermingsmaatregelen moeten nemen en een verzekering moeten afsluiten om zichzelf te beschermen?

Wolff: Ik denk dat je ziet dat veel universiteiten, bedrijven, overheidsinstellingen, iedereen - opnieuw evalueren hoezeer ze afhankelijk zijn van hun online diensten en hoeveel ze moeten investeren in de bescherming ervan.

Ik noemde de gezondheidscentra in het bijzonder, maar het geldt voor veel plaatsen dat er niet veel extra bandbreedte is om de cyberbeveiliging echt op te voeren. Positief is dat veel bedrijven hier meer dan voorheen diep over nadenken.

Mimecast: Wat zijn, vooruitkijkend naar volgend jaar, enkele best practices die bedrijven zouden moeten invoeren? Moet iedereen zijn praktijken aan het einde van het jaar evalueren?

Wolff: Wat op dit moment het belangrijkst is, is dat u grondig herbekijkt hoe uw bedreigingsmodel eruitziet en hoe dat verschilt van hoe het er misschien een jaar geleden uitzag. Dat is zowel een functie van het kijken naar de dreigingsactoren die er zijn en de manieren waarop hun aanvallen zijn veranderd, maar ook van het kijken naar uw organisatie en zeggen: Dit zijn de manieren waarop we werken, terwijl we dat voorheen niet deden. Welke nieuwe aanvalsmogelijkheden ontstaan daardoor? En hoe gaan we die aanpakken?

Ik denk dat dat deel uitmaakt van echt openstaan voor het idee - dat volgens mij voor bijna iedereen geldt - dat we nu anders te werk gaan en dat dat andere bedreigingen en andere risico's met zich meebrengt. We moeten dat erkennen en erop reageren. En dat is, denk ik, de belangrijkste beste praktijk.

Dan zijn er nog de echt fundamentele dingen die veel organisaties al doen: het gebruik van VPN's voor werk op afstand; het gebruik van twee-factor authenticatie voor inloggen op afstand. Zulke dingen maken zeker een groot verschil.

Mimecast: Als we de pandemie eenmaal in de achteruitkijkspiegel kunnen zetten, moeten we dan proberen opnieuw na te denken over veiligheid in de toekomst?

Wolff: Ik denk dat we moeten nadenken over wat goed werkte en wat niet. We moeten telewerken vanuit vele dimensies bekijken, maar een van die dimensies moet zijn: Kunnen we onze operaties en onze informatie op een betrouwbare manier beveiligen wanneer mensen van thuis uit werken? We moeten nadenken over de vraag of onze werkmodellen en onze bedrijfsmodellen flexibel genoeg zijn om online werken en online communicatie mogelijk te maken.

Een deel ervan hangt af van hoe de komende maanden verlopen en of er grote inbreuken zijn. Je zou je heel goed kunnen voorstellen dat bedrijven bang worden als er iets misgaat, als er informatie wordt gestolen, en besluiten: "Weet je, eigenlijk is dit op afstand werken heel gevaarlijk. We willen niet te veel verder gaan op dit pad."

Mimecast: Wat kunnen we nog meer leren van de grote COVID-afsluiting van 2020?

Wolff: Vanuit het oogpunt van cyberbeveiliging moeten we begrijpen wat we uit deze ervaring kunnen halen om onze kritieke gezondheidsinfrastructuur beter te kunnen verdedigen en ons voor te bereiden op de volgende noodsituatie op het gebied van de volksgezondheid. Dat zijn de lessen waarover we moeten beginnen na te denken en waarvan we moeten leren.