Aceasta este versiunea în limba română a interviului cu April C. Wright, realizat de Andra Zaharia pentru DefCamp.

Faptul că avem ce învăța de la speakeri este unul dintre lucrurile pe care le apreciem cel mai mult la DefCamp. A oferi contextul potrivit pentru schimbul de cunoștințe a reprezentat unul dintre obiectivele inițiale ale acestui eveniment condus de comunitate și suntem bucuroși că acest lucru continuă să ne motiveze şi astăzi.

Așadar, în continuare vrem să vă împărtășim din experienţa lui April C. Wright, unul dintre speakerii DefCamp a cărui prezentare se numără printre cele mai așteptate.

April ocupă funcția de Senior Security and Compliance Manager pentru Verizon Wireline, unde se ocupă de complexitatea infrastructurii masive de tehnologie și de oamenii din spatele ei. Obiectivul pe care îl are este să educe și lăse în urmă programe de securitate durabile cu rezultate reale.

Am vrut mai întâi să explorăm subiectul provocărilor interne și externe cu care se confruntă organizațiile de astăzi în ceea ce privește asigurarea activelor și păstrarea lor în siguranță. April a subliniat câteva dintre cele mai importante:

„Una dintre cele mai mari provocări care mă preocupă este că investim timp, bani şi efort pentru a proteja active care nu sunt pe deplin înțelese. Aceeași cantitate de resurse care este investită în securizarea unui server web accesibil în mod public este alocată şi pentru protejarea unui instrument de raportare back-office. Acest lucru se întâmplă pentru că este mai ușor să aplici un nivel uniform de protecție decât să descoperi ce date sunt protejate și de ce. În concluzie, unele date ajung fie supraprotejate, iar altele sunt prea puțin securizate. Aplicarea procesului de whitelisting, de exemplu, este o mare bătaie de cap în privința configurării şi este mai bine să o utilizați numai în cazul componentelor de infrastructură esențială (în condițiile în care opțiunea de a nu o face peste tot este acceptabilă pentru profilul de risc al companiei).

Companiile ar trebui să încerce să înțeleagă mai bine cât de importante sunt datele pe care trebuie să le protejeze, unde sunt păstrate, modul în care sunt conectate la alte lucruri, cine are acces la ele, etc. Numai atunci o companie poate decide să investească resurse pentru a aplica protecții suplimentare componentelor infrastructurii critice sau să aleagă să diminueze protecția din zonelor care nu sunt esențiale, în scopul de a reduce costurile. Procesele de apărare și detecţie ar trebui să fie proporționale cu importanța datelor, cu mediul înconjurător și cu riscurile cu care se confruntă datele.”

Provocările pe care le menționează April și ceea ce decurge din ele necesită o abordare diferită, o schimbare a mentalității colective. Dar la ce valori și stimuli psihologici trebuie să apeleze specialiștii în domeniul securității cibernetice pentru a contribui la integrarea securității cibernetice în cultura unei companii sau, la scară mai largă, în mentalitatea majorității celor care folosesc internetul și tehnologia în general?

April a pus punctul pe i când a răspuns că „o cultură organizațională a securității începe cu cei aflați în funcții de conducere”. De asemenea, ea a subliniat că „atunci când o companie apreciază importanța securității sau a vieții private, acest lucru se reflectă în tot ceea ce face, iar deciziile luate vor fi ghidate de acele valori. O companie (sau societate) ar putea să nu se clintească în fața cererilor care i-ar putea încălca idealurile de securitate / confidențialitate. A face ceea ce este «corect» este important atunci când protejăm confidențialitatea datelor angajaților, a utilizatorilor sau a cetățenilor.”

În plus, experiența ei a demonstrat că „aprecierea unui comportament bun este întotdeauna mai bună decât critica negativă. Aplicarea conceptului de gamification și recompensele pot declanșa competitivitatea, iar atunci când sunt folosite într-un context infosec, angajații pot fi încurajați să manifeste o conștientizare sporită a securității. De exemplu, pedepsirea unui angajat pentru că nu a raportat un e-mail de phishing nu va fi la fel de eficientă ca oferirea unui premiu angajatului care raportează cele mai multe e-mailuri de phishing până la sfârșitul trimestrului fiscal. Dar își pot oamenii schimba cu adevărat obiceiurile? Este mai ușor să vedeți aceste modificări prin ochii unui specialist care a lucrat în domeniu mai bine de 25 de ani.

„Securitatea este, în cele din urmă, în prim-planul atenției oamenilor, dar nu este întotdeauna văzută cu ochi buni. Oamenii înțeleg că există entități rău intenționate acolo, undeva, iar mulţi dintre aceştia au fost implicați probabil, la un moment dat, într-un caz de violare a securității. Utilizatorul de rând, neavizat, încă nu înțelege neapărat care este rolul ei individual în imaginea de ansamblu sau ce ne trebuie pentru a ne apăra împotriva personajelor negative. Munca noastră este provocatoare şi, uneori, ingrată.

Infosec e o luptă dificilă care presupune un efort de echipă. Există o comunitate mult mai mare de hackeri și apărători ai infosec astăzi, ceea ce este un lucru foarte bun. Învățăm, împărtășim și creștem împreună. Din păcate, astăzi, este mult mai probabil ca omul de rând să transmită informațiile personale pentru un card cadou online de 5 dolari decât era în trecut. Indiferent dacă este vorba de publicitate care vizează un public țintă, de social media sau de crearea unui cont în timpul efectuării plății pentru cumpărăturile online, ne transmitem cu ușurință în fiecare zi informații către nu-știu-cine pentru nu-știu-ce. P.S. dacă un serviciu nu vă costă nimic, voi sunteți produsul!

Observ că oamenilor le pasă mai puțin de dreptul fundamental la viață privată și mai mult de lucrurile pe care își doresc să le obțină în mod facil, pentru o sumă cât mai mică de bani. Câte concursuri există doar pentru a aduna date despre utilizatori? Dacă ar fi trebuit să plătim din buzunarul nostru pentru social media, cu siguranță reţelele de socializare nu ar exista la nivelul la care se găsesc astăzi. Există și lucruri pozitive, așa cum e faptul că mulți dintre noi încearcă să ducă lupta cea dreaptă. Am să vă ofer ca exemplu serviciul gratuit LetsEncrypt, care face posibilă creșterea numărului utilizatorilor care folosesc certificate TLS. Sau instrumente de securitate cum ar fi anti-malware gratuit sau encrypted password managers. Când securitatea și viața privată vor deveni mai simple și mai puțin costisitoare, acest lucru va avea un impact major asupra societății.”

Dar dacă învățarea este un proces care are loc, care este viteza organizațiilor private, a instituțiilor guvernamentale și a utilizatorilor privați? Acest lucru a adus în discuție unele probleme profund înrădăcinate în ecosistemele noastre tehnologice.

„Chiar și „companiile de securitate” produc software cu un nivel de securitate îndoielnic. E cale lungă în acest domeniu. Companiile devin din ce în ce mai bune în ceea ce privește depistarea și remedierea vulnerabilităților, iar programe precum bug bounties consolidează eforturile depuse. Cu toate acestea, nu devenim mai buni la a preveni bug-urile. Dezvoltarea de software se află încă în „epoca întunecată” atunci când vine vorba de design, arhitectură, codificare şi dezvoltare. Toate companiile doresc să arunce software-ul pe piață cât mai repede posibil pentru a obține venituri și statistici impresionante, dar acest ethos face mai mult rău decât bine. Status quo-ul „Dacă nu te simți jenat de prima versiune a produsului tău, ai lansat prea târziu” (citat din Reid Hoffman, fondatorul LinkedIn) conduce la crearea de software care este nesecurizat de la început, ceea ce pune în pericol toate datele noastre.

Firmele sunt dispuse să accepte riscul expunerii datelor pentru a lansa noi opţiumi înaintea concurenței. Aceasta este o mentalitate care trebuie schimbată. Software-ul este la fel de sigur ca fundația pe care se construiește.

Uneori, totuși, în ciuda celor mai bune eforturi, atacurile cibernetice au loc. Să luăm ca exemplu „scurgerile de date”. Cum ar putea o companie să supraviețuiască unui astfel de eveniment?

„Un PR bun? 🙂

Consumatorii par foarte dispuși să ignore cauza și efectul încălcărilor securității datelor și este aproape de așteptat atât din partea companiilor, cât şi a publicului. În calitate de apărători, ar trebui să ne concentrăm mai mult pe prevenirea acestor evenimente.

Amenzile sunt inutile în prevenția hack-urilor dăunătoare, iar cheltuielile cauzate de încălcarea obligației de confidențialitate devin doar o parte a costului de a susţine o afacere. Odată ce datele sunt pierdute, rămân aşa pentru totdeauna. Avem nevoie de un vaccin, nu de o ambulanță.”

Cu toate acestea, calea spre dezvoltarea unui vaccin este pavată cu niște cuvinte-cheie, cum ar fi “machine learning”, “second generation antivirus” și altele. April a ajutat la tragerea cortinei și ne-a permis să aruncăm o privire asupra a ceea ce se află în spatele acesteia.

„Astăzi totul este aproape următoarea generație a ceva care a apărut înainte. Este important să trecem peste hype-ul marketingului de produse și să evaluăm nu numai ceea ce face într-adevăr un produs, ci și ceea ce nu face bine. Machine learning are un potențial foarte mare, dar, ca în toate cazurile, depinde în totalitate de modul în care este folosit.

Doar pentru că este un sistem tehnologic nu înseamnă că este infailibilă. Dispozitivele sunt la fel de bune ca și oamenii care le creează. Orice tehnologie trebuie să facă parte dintr-un ecosistem mai complex care include conștientizarea umană, detectarea adecvată și sistemele de apărare încorporate.

Nu există niciun lucru «complet sigur» , există doar «risc scăzut». Dacă un antivirus de a doua generație scade cu adevărat riscul, este grozav. Cu toate acestea, dacă este la fel de bun ca prima generație, atunci este doar entuziasm.”

Am vrut să profităm de această ocazie pentru a-i cere părerea lui April cu privire la problemele „fierbinți”: cele mai mari temeri pe care companiile le au în legătură cu schimbul de informații.

„Există justificări pentru teama de a împărtăși informații neverificate, deoarece ar putea conține secrete sau informații brevetate. Cu toate acestea, datele agregate, cum ar fi Verizon DBIR (Raportul privind investigațiile în legătură cu încălcarea datelor), pot fi de mare ajutor pentru organizațiile care doresc să învețe din lucruri pe care nu le-au experimentat în mod direct. Companiile se pot teme să-și piardă avantajul competitiv dacă datele lor neprotejate și informațiile sunt folosite într-un fel împotriva lor, adică să-i dăuneze brand-ului.

Multe servicii se ocupă de colectarea acestor informații cu intenția expresă de a le partaja, fie ca hărți ale atacurilor în timp real sau date istorice, cu scopul final de a face bani de pe urma lor, deoarece acestea sunt date valoroase! Companiile inteligente contribuie și, în același timp, consumă aceste informații în avantajul lor; dacă o organizație nu înțelege actualul peisaj al amenințărilor cibernetice, cum poate să se protejeze?”

Dacă totul se aranjează de la sine la sfârșitul zilei, au companiile un număr suficient de specialişti din care să poată recruta noi angajaţi? În cariera ei rapidă, April a avut cu siguranță provocări atunci când a recrutat, ne-am gândit noi. Nu numai că a confirmat acest lucru, dar a avut și ea niște soluții pregătite!

„Da, de o mie de ori da, există un deficit de talent infosec.

Specialişti în securitate cibernetică foarte bine pregătiți sunt la fel de greu de găsit și de păstrat ca inorogii.

O modalitate de a aborda această problemă este să construieşti echipe de securitate la scară largă. Cu alte cuvinte, angajați mai degrabă câțiva oameni pentru a îndeplini un rol decât o singură persoană. Să presupunem că doriți să găsiți un programator cu experiență în „echipa roșie”, care să poată gestiona și o echipă de oameni. În loc să angajați o persoană, angajați trei – un dezvoltator, un echipaj roșu și un manager – și faceți-i să lucreze împreună.

În plus față de a fi deschis la opțiunea de alegere a candidaților disponibili, această abordare ajută în câteva moduri: în primul rând, veți avea mai puține vulnerabilități. Dacă aveți o singură persoană responsabilă de securitate angajată și aceasta pleacă în concediu, există o problemă. Dacă aveți 3 sau 4 persoane în echipă și o persoană nu e disponibilă, nu e o mare problemă. În al doilea rând, veți ajunge să aveți mai mulți oameni care învață infosec și care se dezvoltă la locul de muncă, ceea ce crește în timp rezerva de talente. În al treilea rând, echipele cu o componență diversă rezolvă problemele mai repede decât echipele sau indivizii care nu sunt diferiți, astfel că, având oameni cu experiențe neasemănătoare care lucrează împreună, veți avea o abordare mai echilibrată a rezolvării problemelor și, astfel, veți ajunge pe o poziție de securitate mai cuprinzătoare. Având oameni cu diferite competențe care lucrează împreună, ei învață să accepte și alte puncte de vedere și dezvoltă modalități de a gândi cu noi perspective.”

Nu cred că e nevoie să adaug că April ne-a împărtășit idei valoroase care vor continua să fie relevante și utile pentru anii următori, chiar și după ce se schimbă peisajul infosec.

Aceasta a fost doar o mostră a numeroaselor lucruri pe care le vom învăța în mai puțin de două luni, când April va urca pe scenă pentru a vorbi despre unul dintre subiectele sale preferate. Prezentarea ei va aborda una dintre cele mai importante probleme menționate anterior: „Orange is the New Purple – Cum și de ce să integrați echipele de dezvoltare cu echipele roșii / albastre pentru a construi un software mai sigur”.

Cumpărați-vă bilete în primul rând pentru a asculta discursul lui April și al multor altora, care vor aduce în centrul atenției problemele de bază ale infosec-ului!

Interviul realizat de Andra Zaharia
Traducere în limba română: Raluca Cîrjan
Editor: Mihaela Pană

 

Interviu April C Wright April Wright cyber security DefCamp2017 front Information Security Interviu Romania securitate cibernetica securitatea informatiei speaker Verizon Wireline