Estamos pensando mal en la ciberseguridad

Michael Daniel tiene una perspectiva única sobre el caótico mundo actual de la ciberseguridad. Recién salido de un período de cuatro años como principal asesor cibernético del presidente Obama, Daniel ahora es presidente de la Alianza de amenazas cibernéticas , un equipo sin fines de lucro de empresas de ciberseguridad que construye una plataforma para compartir información sobre amenazas comunes. Revisión de tecnología del MIT se encontró con Daniel en la conferencia de seguridad informática Black Hat en Las Vegas la semana pasada. Lo que sigue es una transcripción editada de la discusión.





Ha visto el desafío de la seguridad cibernética desde la perspectiva tanto del gobierno como ahora del sector privado. ¿Cómo describirías el momento en el que nos encontramos ahora?

Donde estamos ahora es que cada vez más países están comenzando a incorporar capacidades cibernéticas en sus herramientas de gobierno. Necesitamos reconocer que se convertirá en una herramienta del arte de gobernar, no solo para los Estados Unidos y los jugadores de alto nivel como Rusia, China, Israel y Gran Bretaña, sino para casi todos. Como resultado, debemos comenzar a pensar cómo establecemos normas de comportamiento y reglas de tránsito, para que esto no sea desestabilizador.

Tanto los delincuentes como los estados-nación se están volviendo más sofisticados en sus operaciones cibernéticas. ¿Qué papel puede desempeñar Cyber ​​Threat Alliance para abordar esto?



En su nivel más amplio, CTA es una organización de análisis e intercambio de información, que se centra en el proveedor y la comunidad de proveedores de ciberseguridad. Realmente no hay otra organización que haga este tipo de trabajo. Fundamentalmente, CTA se trata de hacer dos cosas. Primero, ¿podemos cambiar la forma en que se produce la competencia en la industria de la ciberseguridad para que sea más beneficiosa para el conjunto? En lugar de seguir compitiendo porque mi conjunto inadecuado de datos es más grande que su conjunto inadecuado de datos, debemos haber compartido nuestros conjuntos de datos, y la competencia debería estar en Hago mejor las cosas con los datos: soy más rápido o Me integro mejor con su empresa, o entiendo mejor su modelo de negocio, sea lo que sea. Ese es un nivel de competencia de mayor valor. Todo el mundo estará mejor.

En segundo lugar, al combinar la información, podemos comenzar a trazar formas más efectivas de interrumpir a los malos y hacerlo en todo su proceso comercial. No se trata de un niño en su sótano; esa no es la verdadera amenaza. Estas son organizaciones que funcionan como negocios, y debemos comenzar a pensar en ello en términos de la disrupción de sus modelos comerciales.

Pero, ¿funcionará ese enfoque si el atacante es un adversario del estado-nación?



Si y no. En un nivel, la idea de producir un libro de jugadas funcionaría igual de bien para un adversario del estado-nación. Ahora, sus motivaciones son diferentes. La mayoría de los estados-nación están dispuestos a invertir tiempo y dinero de una manera que una organización criminal no puede ni puede hacer, por lo que el impacto que puede tener puede ser diferente. Pero aún puede imponerles costos y ralentizarlos.

Sin embargo, en última instancia, el sector privado deberá encontrar nuevas formas de cooperar con el gobierno en estos temas, dada la naturaleza de la amenaza. ¿Cómo podemos innovar en el ámbito de las políticas para ayudar a habilitar eso?

Puedo darte dos ejemplos. Hemos aprendido que si hace que su sistema de jubilación opte por participar, en general obtiene una tasa de aceptación del 45 al 50 por ciento entre sus empleados. Sin embargo, si opta por no participar en su sistema de jubilación, obtiene una tasa de aceptación del 95 por ciento. No hay diferencia técnica entre esas dos cosas, pero desde el punto de vista del proceso producen resultados dramáticamente diferentes. ¿Por qué? Debido a la psicología de la misma. La gente es perezosa. Si les obligas a tomar una decisión, encontrarán una razón para no hacerlo. Pero si la opción es Esto es bueno para ti y todo lo que tienes que hacer es aceptarlo, solo un pequeño porcentaje dirá que no. Entonces, ¿cuál es el equivalente cibernético a eso? ¿Cómo hacemos que la ciberseguridad opte por no participar en lugar de optar por participar?



Del mismo modo, tenemos esta idea de que la ciberseguridad es como la seguridad fronteriza. Eso no tiene sentido. Todo el mundo en el ciberespacio está tocando a alguien más. No hay barrera ni intermediario. Eso significa que debemos pensar en la ciberseguridad y la relación entre el gobierno y el sector privado utilizando un modelo completamente diferente. Tal vez necesitemos tomar prestados algunos modelos. Por ejemplo, mire cómo pensamos acerca de los desastres naturales. En un desastre natural, la respuesta comienza localmente. Si comienza a abrumar a los funcionarios locales, el gobierno estatal interviene. Si va más allá del estado, es posible que soliciten la ayuda mutua de otros estados. Si va más allá de eso, FEMA interviene desde el nivel nacional. ¿Cuál es el equivalente cibernético de eso? ¿Cómo hacemos el traspaso y decidimos si algo es el tipo de cosa que el sector privado puede y debe manejar por sí solo, en lugar de algo que requiere la ayuda de los federales? Todavía no tenemos el lenguaje político para hablar sobre cuál es esa relación.

esconder