Nitin Natarajan är biträdande direktör för CISA (Cybersecurity and Infrastructure Security Agency), och har lång erfarenhet av cybersäkerhetsområdet, inklusive att övervaka kritisk infrastruktur för det amerikanska nationella säkerhetsrådet och det amerikanska departementet för hälsa och mänskliga tjänster. 

I den här diskussionen med a16z generalpartner Joel de la Garza (som tidigare var säkerhetschef på Box och har lett säkerhetsteam på ett flertal finansiella institutioner), förklarar Natarajan varför det utvecklande landskapet för cybersäkerhetshot tvingar organisationer av alla storlekar – såväl som individer — för att bli mer cyberkunniga. Han täcker också ett antal andra ämnen, inklusive hur industrin och regeringen bäst kan samarbeta för att dela information och hålla alla skyddade.

Detta är en redigerad version av en livediskussion som ägde rum i maj. Du kan lyssna på hela diskussionen i poddform här.

JOEL DE LA GARZA: Hur tänker du, och hur tänker CISA, kring att prioritera hot? Det verkar som en nyckel till allt du försöker göra.

NITIN NATARAJAN: När vi tittar på prioritering handlar det om att verkligen förstå vad dessa systemrisker är. Hur kan vi hjälpa till att berätta historien om kaskadanalyser så att människor kan fatta beslut om var de ska investera och vilka risker de ska investera i att skydda sig mot? 

Eller, hur ser vi på risken som en trebent pall? Jag tror att vi lägger mycket tid på att prata om riskidentifiering. Vi ägnar mycket tid åt att prata om riskreducering. Vi glömmer det tredje benet, vilket för mig är det varje risk vi identifierar och vi inte minskar, accepterar vi. Och vi accepterar alltid en viss risk. Jag menar, jag körde upp hit. Jag gick upp på scenen. Jag tog en risk genom att komma hit. Jag tar en risk genom att lämna och eventuellt ramla.

Men hur ser vi till att våra ögon är vidöppna för det vi accepterar? Och hur förstår vi detta risklandskap och använder det för att driva vår prioritering? Och hur ser vi då på detta i 16 kritiska sektorer som befinner sig i olika mognadsnivåer?

Branscher som finanssektorn har haft en kvantifierbar avkastning på investeringar från att investera i cybersäkerhet, men vi har andra sektorer som inte har investerat lika länge eller lika mycket på det området. Vi vill kunna hantera risker på ett sätt som erkänner att människor befinner sig på olika platser, och som talar till stora multinationella företag såväl som småföretag. När vi tittar på riskerna i försörjningskedjan finns inte mycket av den risken i stora multinationella företag, utan i det lilla företaget som skapar den där lilla biten, den där widgeten som är avgörande.

Så prioritering för oss är en utmaning eftersom vi ser över hela branscher – vertikalt och horisontellt. Men vad vi vill försöka göra är att verkligen förstå vad den där systemrisken är.

Media och säkerhetsbranschen brukar alltid prata om samma hot. Vad är några saker som är viktiga för dig som vi inte hör om varje dag?

Jag tror att det största hotet är självgodhet. Det har pratats mycket där ute om vem motståndaren är och hur motståndaren ser ut. Och hur engagerar vi oss? Men det jag verkligen oroar mig för är att få människor att verkligen förstå potentialen för dem att bli ett offer och hur de uppfattar hotet som deras.

Saker som Colonial Pipeline Hack och andra incidenter har hjälpt till med det, där folk tidigare har tänkt: ”Jag kan inte vara ett offer. Ingen kommer att komma efter mig: jag är ett litet företag, eller jag är en liten lantlig jurisdiktion, eller jag är en skola, och vad har du. De är inte oroliga för mig. De är oroliga för världens New York-städer, de är oroliga för stora multinationella företag.” Jag tror att det vi ser är att människor kan se att hotet är verkligt för dem. 

Vi hade en incident med ett litet skoldistrikt som blev offer för ransomware. De ringde numret och sa: ”Vi har inga pengar. Vi är bara det här lilla skoldistriktet. Du förstår inte." Och angriparna sa: "Nej, vi vet hur mycket pengar du har."

Hur tänker du om att bryta ner en del av den där domningar eller den där självbelåtenheten från allmänhetens sida?

Jag tror att det är utbildning. Det får konsumenten att ställa frågor. Så om du till exempel går till en bank, använder banken multifaktorautentisering? Du vill leta efter den typen av möjligheter, såväl som vad den institutionen gör med din personliga information och dina resurser, och vad är värdet där.

Jag tror att få folk att förstå även saker som Sakernas Internet, och att vi introducerar mycket fler sårbarheter i världen, är viktigt. Jag menar, vi har kylskåp anslutna till internet. Jag är inte emot det. Jag vet inte vad det gör annorlunda än mitt kylskåp. Men alla dessa saker leder till nya sårbarheter. 

Jag sa skämtsamt till någon häromdagen att jag skulle älska att gå tillbaka till min gamla Motorola StarTAC dagar. Vi har fört in mycket kapacitet och teknik i våra mobila enheter. Men med det tog vi risker. Och jag tror inte att vi har spenderat tillräckligt med tid på att prata om risken, eftersom vi pratar om pixelstorleken och möjligheten att spela spel.

Jag tror att vi också måste utbilda nästa generation. Förmodligen är jag vilsen. Jag tror på det jag tror, ​​du vet, och hur ändrar du mig? Men jag tittar på mina barn som kommer ut från gymnasiet, och folk säger: "Åh, de är så cyberkunnig.” Och jag skulle säga att de inte är det - jag skulle erbjuda att de är det tekniskt kunniga. De har använt iPads sedan de var två månader gamla, men de tejpar fortfarande lösenordet på baksidan av iPad eller på baksidan av deras tangentbord.

Så jag tror att vi har likställt tekniskt kunnighet med cyberkunnighet. Vi måste göra dem cyberkunniga. Vi måste bygga in det i nästa generation för att de verkligen ska kunna bygga in det i sina dagliga liv, både personligt och professionellt.

Finns det hot som vi är alldeles för besatta av och förmodligen distraherar oss från den verkliga risken?

Vi lägger mycket tid på att titta på kort sikt. Det är naturen, det är som standard. Vi fokuserar på vad som finns här och nu, vad som finns framför oss. Men jag vet inte om vi spenderar tillräckligt med tid på att titta på längre sikt — om vi verkligen, verkligen tittar på hur motståndskraften ser ut om 5 år, 10 år, 15 år. Och jag tror att det är för att det är svårt. Vi vet inte var tekniken kommer att vara om 5 eller 10 år, så det är svårt att bedöma var vi ska fokusera. Så vi fokuserar på det som omedelbart står inför oss.

Jag tror att vi måste lägga mer tid på den långsiktiga motståndskraften eftersom det kommer att ta tid att bygga upp den. När jag tittar på företagslösningar, eller i regeringen, är många av den typen av saker fleråriga ansträngningar. Och ofta, åtminstone i regeringsförvärvsprocessen, när vi har bestämt vår omfattning och vi har gjort förvärvet, är det redan föråldrat. Och vi börjar bara cykeln igen.

Det största är att engagera oss. Vi har goda relationer med våra partners som vi vet. Min största oro är att det finns många partners vi vet inte.

Låt oss prata om situationen med Ryssland och Ukraina. En av de saker som har varit väldigt intressant som passiv observatör är att vi inte har haft samma kaos som vi hade tidigare — NotPetya och dessa saker som designades och utvecklades för att störa Ukraina men kom ut och störde den globala handeln. Det verkar som att det i denna iteration har blivit mycket mindre sidoskador. 

Är det för att vi precis har nått en nivå och vi gör mycket? Är det regeringens arbete som driver normer och låter folk veta? Eftersom vi fick Sköldar upp tillkännagivande att många av de styrelser som jag sitter i, och människorna som jag arbetar med, tog på största allvar. 

Jag tror att detta förändrades på flera sidor. Det var definitivt förändringar med motståndaren och några av tillvägagångssätten där. Jag tror att det definitivt finns förändringar från regeringens sida och det arbete som vi har gjort under flera år för att verkligen höja ribban. Mycket av det beror på samarbete med industrin, och mycket av den typen av saker som har hjälpt industrin att bli mer motståndskraftig. Jag tror att folk tror på cybersäkerhet mer än de gjorde för flera år sedan. Och så, alla dessa saker tillsammans har fått oss till en bra plats.

Jag var inom folkhälsoområdet ett tag, och vi har kämpat mot pandemier under lång tid. Detta är inte nytt för oss. Och vi kämpade mot pandemier, jag minns när H1N1 – vad vi trodde var en pandemi – slog till. Lite visste vi. Och, du vet, vad vi faktiskt sa då var att vi inte kunde gå till en fullständig distansarbete eller distansarbete eftersom IT-systemen inte kunde hantera det. Tja, spola framåt 12 år och vi klarade det. Vi lyckades inte bara på grund av övergången till molnet – många saker ledde oss dit vi är idag.

Så jag tror att när vi tittar på NotPetya kontra nu, är en del av det egentligen både förändringar på motståndarsidan, förändringar på vår sida och förändringar på partnerskapet och relationen. Shields Up är ett bra exempel där vi kan luta oss framåt och dela mycket mer information med branschpartners, både på klassificerad nivå och oklassificerad nivå. Hur får vi information där ute? Hur får vi människor att lita på informationen vi lägger ut där?

Vårt mål i slutändan är inte att få ut alla hemligstämplade dokument till alla eller få alla godkända med säkerhetsprövning. Vi kommer aldrig att få ut den informationen i tid. Det är att få ut informationen på ett sätt så att folk faktiskt kan använda den. Under åren har jag utvecklat ett slags mantra om informationsdelning. För mig är det: Hur får vi rätt information till rätt personer i tid som resulterar i mer informerad beslutsfattande. Så även om beslutet är detsamma, är det åtminstone bättre informerat.

Och så när vi tittade på den här händelsen, och vad vi såg, hade vi mekanismerna för att få information där ute. Vi hade människor som trodde på kvaliteten på informationen som kom ut. Jag tror också att det finns ett värde i att luta sig framåt och säga att vi inte har så mycket information. Och vi såg några riktigt unika saker. Vi hade mycket information som vi kunde få från det hemliga utrymmet till pallen ganska snabbt - på rekordtid, i vissa fall - och kunde verkligen använda den för att driva människors beslutsfattande om vilka åtgärder de skulle vidta. Så jag tycker att det har varit ett starkt och effektivt svar.

Men allt handlar om samarbetet och partnerskapet, för det är inte bara vi som lägger ut information om den inte kan användas. Och tills vi kan få feedback och verkligen bygga dessa system på ett sätt som gör att vi kan arbeta tillsammans, ändrar vi inte det nationell landskap när vi tittar på kritisk infrastruktur.

Jag tittar på mina barn som kommer ut från gymnasiet, och folk säger: "Åh, de är så cyberkunnig.” Och jag skulle säga att de inte är det - jag skulle erbjuda att de är det tekniskt kunniga. De har använt iPads sedan de var två månader gamla, men de tejpar fortfarande lösenordet på baksidan av iPad eller på baksidan av deras tangentbord.

Jag skulle gärna vilja ha din syn på ransomware. Administrationen har blivit väldigt allvarlig med det. Och det råkar vara så att det mest är centrerat i de områden som nu slåss med varandra. Jag är nyfiken på din inställning till att hantera ransomware och hur du kanske tar bort en del av det. För det verkar som att det kanske har blivit bättre...

Jag ska göra min plugg för vår ransomware-sajt, där vi försökte sätta ihop allt på en central webbplats för att få ut informationen. Men jag tror att mycket handlar om utbildning. Det är att utbilda folk att du inte kommer att få en miljon dollar via e-post - du kommer att få en stor papperscheck, någon kommer till din dörr och ringer på klockan. Jag tror att det handlar om att låta folk förstå vilka de potentiella offren är.

Vi hade en incident med ett litet skoldistrikt som blev offer för ransomware. De ringde numret och sa: ”Vi har inga pengar. Vi är bara det här lilla skoldistriktet. Du förstår inte."

Och angriparna sa: "Nej, vi vet hur mycket pengar du har. Vi har dina kontoutdrag. Vi vet hur mycket du har. Och vi vet hur mycket du kan betala och vad vi ber dig är ganska proportionerligt till hur mycket du har på banken. Så vi tar inte allt, vi lämnar lite av något. Men det är verkligen det här vi vill ha."

Och skoldistriktet sa: "Tja, du vill ha Bitcoin. Jag vet inte hur man gör det." 

”Vi har en helpdesk. Vi har hjälpdesk på 14 olika språk som kan hjälpa dig att skaffa bitcoin. Så hur kan vi hjälpa dig?”

Så jag tror att vi med ransomware måste låta folk förstå sårbarheterna, riskerna, vilka målen kan vara och de åtgärder som ska vidtas [se CISA joint advisory 2021 Ransomware Trends]. Och den monetära effekten. Med ransomware-attacker och med andra typer av saker vi ser, är människor individuellt användare. Men jag tror också att folk börjar uppmärksamma. Jag tror att folk börjar inte klicka på allt.

I do oroa oss för saker som pandemier och den typen av saker där vi har en ökad möjlighetspotential. Eller någon med 300 e-postmeddelanden i sin inkorg och bara behöver ta sig igenom dem, som blir offer för den typen av saker. Och så måste vi hålla trycket på. Vi måste hålla igång meddelandena. 

Och vi måste få den yngre generationen att inse detta också. För jag gjorde misstaget att titta igenom min gymnasieelevs inkorg. Och jag vet inte om de läser sina mejl, eller vad. Jag vet inte vad de har ... det finns hundratals — hundratals — e-postmeddelanden. Jag vet inte ens var de kommer ifrån eller hur de fick dem. Hur utbildar vi nästa generation att vara på en bättre plats?

Vårt mål i slutändan är inte att få ut alla hemligstämplade dokument till alla eller få alla godkända med säkerhetsprövning. . . . För mig är det: Hur får vi rätt information till rätt personer i tid som resulterar i mer informerad beslutsfattande.

Det skulle vara fantastiskt att förstå hur vi i den privata sektorn bättre kan engagera oss med regeringen och hjälpa till att göra saker bättre. För det är en av de här lagsportssakerna, där vi alla förlorar tillsammans om vi inte vinner.

Jag tror att det största är att engagera oss. Vi har goda relationer med våra partners som vi vet. Min största oro är att det finns många partners vi vet inte. Vi vet inte var de är eller hur vi ska ta oss dit. CISA är en växande organisation – vi har en fältstyrka i hela landet på cirka 500 personer, och vi måste fortsätta att växa det – men även 500 personer är en droppe i hinken. Så vi måste veta hur vi ska engagera oss och vem vi ska engagera oss med. Och det är där jag tror att industrin kan hjälpa, eftersom det finns mycket större möjligheter för branschengagemang för att få oss att ansluta till de rätta partnerna som kan hjälpa oss att höja den ribban för motståndskraft.

Och sedan hålla oss ärliga. Håll oss ärliga och utbilda oss. Du vet, vi försöker verkligen luta oss framåt i många av våra engagemang eftersom jag tror att det tidigare har funnits mycket rädsla för hur vi engagerar oss i industrin: "Vad kan vi göra?" "Vad kan vi säga?" "Vad kan vi inte säga?" 

Vi har byggt ett team på CISA nu som verkligen är framåtlutat där vi inte är rädda för det engagemanget. Ja, det finns linjer, men vi har mycket latitud inom dessa linjer. Vi försöker verkligen att hålla oss inom dessa skyddsräcken - vi vill inte krascha igenom och gå av klippan - men så länge vi håller oss inom de skyddsräckena, är vi bra.

Så jag tror att det största är att berätta det vi inte vet. Och jag vet att det finns mycket vi inte vet. Men att hjälpa oss att utbilda oss om vad de är, att hjälpa oss hålla ansvar för vad vi gör eller inte gör, tror jag verkligen kommer att hjälpa oss att gå framåt och göra de betydande hopp vi behöver göra.

Upplagd 4 juli 2022