Q&A: Katalytische gebeurtenissen zorgen ervoor dat de VS cyberbeveiliging serieuzer nemen

De komst van een nieuwe regering in Washington is een hoopvol teken voor het cyberbeveiligingsbeleid van de VS op nationaal niveau, zegt Mark Weatherford. Hij merkt op dat president Biden heeft gezegd dat cyberbeveiliging een prioriteit is, belangrijke benoemingen heeft gedaan en heeft toegezegd bijna 10 miljard dollar uit te trekken voor verschillende initiatieven op het gebied van cyberbeveiliging ter ondersteuning van de federale overheid.

"Het is een indicatie dat hij de daad bij het woord gaat voegen," zei Weatherford, chief strategy officer van het U.S. National Cybersecurity Center. "Ik heb goede hoop dat de regering veel van wat we nu als beloftes zien, gaat nakomen."

Tijdens zijn loopbaan was Weatherford Deputy Under Secretary for Cybersecurity bij het Department of Homeland Security tijdens de Obama-regering en CISO van de staten Californië en Colorado.

In een Q&A met Mimecast sprak Weatherford, die ook CISO is bij Alert Enterprise, over de vooruitzichten voor het cyberbeveiligingsbeleid op nationaal niveau en hoe de focus van de private sector op digitale beveiliging evolueert.

Noot van de redactie: Dit is het vierde in een reeks interviews met vooraanstaande deskundigen op het gebied van cyberbeveiliging uit de academische wereld, onderzoeksinstellingen en de particuliere sector.

Mimecast: Op basis van uw ervaring met de regering Obama, hoe denkt u dat het team van Biden cyberveiligheid moet benaderen?

Mark Weatherford: Dat is iets waar ik over schreef in een Forbes stuk, de drie belangrijkste beleidsgerelateerde beslissingen die ze moeten nemen. [1]

Een daarvan is om iemand terug te krijgen op het ministerie van Buitenlandse Zaken als mondiale cyberbeveiligingsverbindingspersoon met andere landen. Ik denk zelfs dat het Congres op dit moment bezig is met het opstellen van wetgeving - misschien geen wetgeving, maar ze hebben wel gevraagd om een cyberambassadeur op het ministerie van Buitenlandse Zaken. Dit is van cruciaal belang, want als we in de loop der jaren iets hebben ontdekt, is het dat we dit niet alleen kunnen. We kunnen de beste beveiliging, de beste mensen en het beste beleid ter wereld hebben, maar als we niet samenwerken en op één lijn zitten met andere landen, kunnen we eenvoudigweg niet succesvol zijn. Het is van cruciaal belang dat we deze internationale cyberambassadeursrol weer op ons nemen.

Vanuit een adviesperspectief hoop ik dat er meer mensen met cyberbeveiligingservaring in de private sector komen, en dat niet alleen veel van deze functies worden bezet door mensen met een carrière bij de overheid. Dat neemt niets weg van de overheidsmensen, want degenen die tot nu toe zijn genomineerd zijn zeer, zeer goed gekwalificeerd. Maar uit mijn tijd bij de overheid, zowel op staats- als op federaal niveau, heb ik steeds weer geleerd dat overheidsmensen anders tegen cyberveiligheid aankijken dan mensen uit de private sector. Ze pakken problemen anders aan, ze geven andere prioriteiten aan problemen en ze kijken anders naar risico's dan de particuliere sector doet. Mensen in de regering met operationele ervaring op het gebied van cyberbeveiliging, met inzicht in winst en verlies, die beslissingen hebben moeten nemen over zaken als: "Moeten we hier geld aan uitgeven of moeten we hier geld aan uitgeven?" Ik denk dat dat echt essentieel is.

De andere was dat het Witte Huis werk moet maken van de benoeming van een nationale cyberdirecteur. Deze persoon moet gezag hebben over de uitvoerende agentschappen met betrekking tot cyberbeveiliging, zowel voor het beleid als voor de financiering binnen de federale overheid.

Er kan zoveel efficiëntie worden gewonnen in de uitgaven van de federale overheid aan cyberbeveiliging op dit moment. Er wordt veel geld verspild omdat organisaties hun eigen gang gaan, zonder afstemming tussen federale departementen en agentschappen op het gebied van cyberbeveiliging.

Mimecast: U schreef dat de V.S. het leiderschap op het internet heeft opgegeven. Tegelijkertijd zijn de staten opgestapt met regelgeving zoals CCPA en de New York SHIELD wet, die enige verantwoordelijkheid over gegevens vestigt. Is het regelgevingskader geëvolueerd naar een meer consumentgerichte, persoonlijke verantwoordelijkheid waarbij van individuen wordt verwacht dat zij hun eigen gegevens beschermen?

Weatherford: Ik denk niet dat het een evolutie is. Ik denk dat het altijd zo geweest is dat de overheid zich richt op het beschermen van de consument. Maken ze de consument nu meer verantwoordelijk? Misschien. Maar ik zeg u dat de lat hoger is komen te liggen voor bedrijven die de privé-informatie van hun klanten moeten beschermen.

Dit is het verschil tussen privacy en veiligheid. De overheid is altijd proactiever geweest op het gebied van privacy dan op het gebied van veiligheid. Dat is de reden waarom we dit gesprek voeren; de overheid moet meer doen op het gebied van veiligheid om de privacywetgeving en -regelgeving die zij heeft ingevoerd, te helpen ondersteunen.

Ik heb dit al lang geleden gehoord, en het is nooit veranderd: veiligheid kan bestaan zonder privacy, maar privacy kan niet bestaan zonder veiligheid. Vanuit het oogpunt van privacy is er een afhankelijkheid op het gebied van veiligheid waarvoor we nog niet genoeg steun van de overheid hebben gezien.

Mimecast: Met de COVID-pandemie hebben we een versnelling gezien van de digitale transformatie en nieuwe beveiligingsuitdagingen. Schuiven we die verantwoordelijkheid meer naar individuen en minder naar organisaties? Moet die kwetsbaarheid worden aangepakt?

Weatherford: Wel, ik denk niet dat we daar regelgeving rond gaan zien, want het is industrie- en bedrijfsafhankelijk. Er zijn zeker extra verantwoordelijkheden verschoven naar thuiswerkers, daar bestaat geen twijfel over. Maar de meeste CISO's en beveiligingsteams die ik ken, hebben de volgende benadering gekozen: "OK, omdat we meer van deze verantwoordelijkheid bij de werknemer leggen, moeten we meer doen om hen te helpen." Dus gebruiken ze meer end-point technologieën die kwetsbaarheden kunnen screenen en identificeren. Ze geven meer training aan gebruikers over dingen die ze wel en niet moeten doen.

Ik denk dat het erop neerkomt dat bedrijven en CISO's nog steeds eindverantwoordelijk zijn. Dus hoewel er een beetje meer verantwoordelijkheid bij de werknemers wordt gelegd, kunnen de bedrijven en CISO's er niet omheen dat het uiteindelijk nog steeds hun verantwoordelijkheid is. Zij hebben werknemers die thuis werken, het is hun verantwoordelijkheid om ervoor te zorgen dat hun werknemers de juiste dingen doen. Ik zou niet zeggen dat het minder organisatorische focus is, maar eerder dat het waarschijnlijk een uitgebreid pakket van verantwoordelijkheden is voor zowel werknemers als organisatorische beveiligingsverandering.

Mimecast: In een andere column die u schreef, werd besproken hoe de pandemie een " tech-schuld" bij staatsoverheden en de behoefte aan een gecentraliseerde cyberstructuur had blootgelegd. Hoe beïnvloedt die technische schuld de cyberbeveiliging? Hoe kunnen staten dit corrigeren?

Weatherford: Ik zou dat niet de tech schuld zelf noemen. Dat is technologie rijpheid. Ik zie hetzelfde hier in Colorado en ik hoor ervan in andere staten. Waar de technologie schuld komt is vanwege de financiering: Voor het grootste deel zijn er nog steeds een heleboel zeer oude technologieën die vandaag de dag worden gebruikt en die veel geld kosten om draaiende te houden. En tussen haakjes, dit is niet specifiek voor staats- en federale overheid en lokale overheid, je ziet het ook in veel particuliere bedrijven.

Een van de duidelijkste voorbeelden, gerelateerd aan de pandemie, was dat van de mensen die onmiddellijk werkloos werden, toen de federale regering de financiering van de werkloosheidsverzekering goedkeurde, veel staten hebben zeer archaïsche werkloosheidssystemen. Velen van hen zijn nog steeds COBOL-gebaseerde platforms, wat gek is, omdat ze op zoek moesten naar COBOL-programmeurs om deze systemen te onderhouden. Ik ken zelfs niemand meer die COBOL onderwijst. Dat is een zeer zichtbaar voorbeeld van tech-schuld.

Een ander voorbeeld, in de particuliere sector: het kleine waterbedrijf in Florida dat werd gehackt. [2] Ze draaiden Windows 7 in die omgeving, wat overigens niet ongebruikelijk is. Veel van deze kritieke infrastructuur bedrijven gebruiken nog steeds dit soort oude technologie. Microsoft ondersteunt Windows 7 niet eens meer, wat betekent dat kwetsbaarheden die worden ontdekt, niet gemakkelijk te verhelpen zijn. Je kunt er niet veel aan doen, behalve compenserende maatregelen nemen.

Dat soort tech debt kost veel geld en levert risico's op voor de organisatie. Maar tegelijkertijd, als bedrijven het zich niet kunnen veroorloven om te upgraden, kunnen ze het zich niet veroorloven om te upgraden. Dat is een beetje de technologische wereld waarin we leven, waar we compenserende controles moeten toepassen om het risico en de kwetsbaarheden in deze oude legacy-systemen te beheren. En helaas brengen die compenserende controles een enorme hoeveelheid kosten met zich mee.

Mimecast: In de beginfase van de pandemie was er aandacht voor de toeleveringsketen en zagen we een toename van ransomware-aanvallen . Neemt daardoor ook de aandacht voor cyberbeveiliging in de logistiek en de toeleveringsketen toe?

Weatherford: Bij supply chain denken mensen vaak aan de fysieke logistiek, dat wil zeggen, hoe krijgen we een product van punt A naar punt B. Als degenen onder ons in de cyberbeveiligingssector aan supply chain denken, denken we aan de digitale infrastructuur. Ik zat in een panel om hierover te praten vanuit het perspectief van: hoe zorg je ervoor dat de software die we bouwen veilig is? Heel weinig softwareontwikkelaars gaan zitten en schrijven al hun code. Wat ze doen is naar bibliotheken of opslagplaatsen gaan en daar brokken code uithalen en die aan elkaar knopen. Dat is een enorme, enorme kwetsbaarheid om te begrijpen waar die software oorspronkelijk is ontwikkeld en hoe een volledig pakket eruit ziet.

NTIA [National Telecommunications and Information Administration] sponsort een initiatief genaamd de Software Bill of Materials waarbij, wanneer een bedrijf een softwareproduct levert, het een lijst met ingrediënten of een inventarisatie van waar alle code vandaan komt, meelevert. [3] Dat is een van de dingen die zullen helpen om de onveiligheid van software in de toeleveringsketen aan te pakken. SolarWinds heeft ons echter op zeer dramatische wijze bewezen dat de toeleveringsketen kwetsbaar is. We kennen nog steeds niet de volledige implicaties van SolarWinds, en dat zal waarschijnlijk nog wel even duren, maar het zal aanzienlijk zijn en het zal veel geld kosten en veel tijd kosten om het volledig onder controle te krijgen - als we het ooit volledig onder controle krijgen.

Mimecast: Het lijkt wel of iedereen het erover heeft dat het delen van informatie een onderdeel moet zijn van het opbouwen van een betere verdediging. Is er meer urgentie na gebeurtenissen zoals de SolarWinds aanval, of de gemelde Noord-Koreaanse hack van Pfizer? [4]

Weatherford: We kunnen altijd meer doen, maar doen we ook genoeg? Waarschijnlijk niet. Ik weet niet of u de reportage in 60 Minutes hebt gezien, waarin de president van Microsoft in wezen zei dat we meer informatie moeten delen en dat daarvoor misschien regelgeving nodig is die bedrijven verplicht meer informatie te delen. [5] Mijn angst en die van veel mensen in de beveiligingsgemeenschap is dat SolarWinds zal uitsterven en dat we dan gewoon weer verder gaan zoals het was tot de volgende grote inbreuk. Dat is een beetje wat we de afgelopen tien jaar hebben gedaan: We gaan van gebeurtenis naar gebeurtenis zonder ze ooit echt op te lossen.

Ik denk wel dat SolarWinds een katalysator is omdat het zoveel bedrijven, zoveel grote bedrijven en zoveel overheidsorganisaties heeft getroffen. Ik denk dat de overheid moet handelen. Ze gaan een regelgevend kader creëren rond rapportering en veiligheidsnormen die de veiligheid in de privésector formeel op een hoger niveau zullen tillen.

Mimecast: Maar heeft de federale regering niet eerder de kans gehad om dit te doen?

Weatherford: De federale overheid heeft meerdere gelegenheden gehad om dit te doen. We hadden de (Office of Personnel Management) inbreuk in 2015; dat werd indertijd een katalytische gebeurtenis genoemd. Maar wat is er gebeurd? Er is niets, of niet veel, gebeurd. Dus het antwoord is ja, de regering heeft al eerder genoeg kansen gehad.

Mimecast: Hoe kunnen cybersecurity professionals meer proactief worden? Hoe kunnen zij een strategische hulpbron worden?

Weatherford: De meeste CISO's die ik ken, zien het als een deel van hun taak om de contactpersoon te zijn voor technologie en beveiliging voor de organisatie. Ik denk echter dat ze in veel te veel organisaties niet worden gezien als essentieel voor de business, maar eerder als een soort ondersteunende cast. Te veel technologische beslissingen worden nog steeds genomen zonder het security team te raadplegen - slechte beslissingen, naar mijn mening. Want dan krijg je technologie die wordt binnengehaald en technologie die wordt ontwikkeld waar je achteraf pleisters op moet plakken en beveiliging aan moet vastschroeven.

Het is een beetje aan het veranderen. Meer en meer raden van bestuur omarmen nu dat ze meer moeten weten over beveiliging en ze begrijpen dat ze niet de expert zullen zijn. Toch denk ik dat de verwachtingen nog steeds niet op elkaar zijn afgestemd. Ik hoor CEO's en bestuursleden nog steeds zeggen: "Dat is de verantwoordelijkheid van de CISO." Ik ben er altijd snel bij om terug te slaan en te zeggen: "Nee, dat is niet de verantwoordelijkheid van de CISO. Het is jouw verantwoordelijkheid. De CISO voert die verantwoordelijkheid voor u uit."

Mimecast: Beginnen bedrijven te begrijpen dat verantwoordelijk zijn voor gegevens deel uitmaakt van de bescherming van de bedrijfsactiviteiten?

Weatherford: Om het in een soort cliché te zeggen, CEO's zijn meer en meer bang om de cyber perp walk te doen, om voor het Congres te worden geroepen of voor de raad van bestuur te worden geroepen en ter verantwoording te worden geroepen. Gartner heeft een rapport gepubliceerd waarin staat - en ik parafraseer hier - dat in 2024 75% van de CEO's financieel aansprakelijk zal worden gesteld voor cyberbeveiligingsincidenten. [6] Als we op het punt komen dat CEO's persoonlijk verantwoordelijk worden gehouden voor beveiliging, dan zullen we meer nadruk gaan zien op beveiliging en meer steun voor de beveiligingsorganisatie.

[1] " The Biden Administration's Cybersecurity Opportunity And Obligation ," Forbes

[2] " Gehackte waterfabriek Florida hergebruikte wachtwoorden en had verouderde Windows-installaties ," CNN

[3] " Software Bill of Materials ," NTIA

[4] " Noord-Koreaanse hackers probeerden Pfizer-vaccin-knowhow te stelen, zegt wetgever ," Reuters

[5] " SolarWinds-hack was 'grootste en meest geraffineerde aanval' ooit: Microsoft voorzitter ," Reuters

[6] " Gartner voorspelt dat 75% van de CEO's persoonlijk aansprakelijk zal zijn voor Cyber-Physical Security-incidenten tegen 2024 ," Gartner