Organisationer för cybersÀkerhet varnar för nationalstat- och insiderhot

Organisationer för cybersÀkerhet varnar för nationalstat- och insiderhot

Eftersom det Àr nÀstan överallt var cybersÀkerhet ett stort tema för Fortune Brainstorm Tech-konferensen förra veckan. Vid en rundabords lunch diskuterade chefer frÄn ett antal cybersÀkerhetsföretag och organisationer nya hot. Medan de sa att saker och ting faktiskt kan förbÀttras pekade de ocksÄ pÄ större bekymmer frÄn nationalstater.

Under tiden talade FBI: s Amy Hess pĂ„ scenen om de olika typerna av hot och vad företag borde göra som svar. PĂ„ frĂ„gan om vi skulle vara rĂ€dda sa hon “det korta svaret Ă€r” ja “.”

Vid lunchbordet var en av de stora frÄgorna som diskuterades den roll som nationstater som Kina och Ryssland spelar, bÄde i externa intrÄng och i att försöka infiltrera företag direkt för att göra saker som att stjÀla immateriell egendom.

Michael Brown, tidigare vd för Symantec och nu chef för försvarsdepartementets försvarsinnovationsenhet sa att “de mindre företagen Ă€r inte sĂ„ medvetna som de borde vara om hotet med insiderövertrĂ€delser och utlĂ€ndska spelare som Kina.”

Han sa att de flesta övertrĂ€delserna och hoten i volym Ă€r kriminella och inte kommer frĂ„n de olika regeringarna, sĂ„ vad bĂ„de regeringen och den privata industrin behöver göra Ă€r att göra inbrott i system bĂ„de svĂ„rare och dyrare. Han noterade att angripare bara mĂ„ste ha rĂ€tt en gĂ„ng för att komma in i ett system, medan försvarare mĂ„ste ha rĂ€tt hela tiden för att hĂ„lla mĂ€nniskor ute. “Det Ă€r ett ekonomispel”, sa han.

“Det finns bara fyra problem inom cybersĂ€kerhet: Kina, Ryssland, Nordkorea och Iran”, enligt Dmitri Alperovitch, grundare och CTO för CrowdStrike. Han sa att inte bara dessa lĂ€nder sjĂ€lva var stora hackare, men mĂ„nga kriminella hackare verkar ocksĂ„ frĂ„n dessa lĂ€nder. Dessa grupper Ă€r sĂ„ avsedda att hacka att om de försöker tillrĂ€ckligt hĂ„rt kommer de sĂ„ smĂ„ningom att hitta en svaghet i ditt nĂ€tverk.

Tim Junio, medgrundare och VD för Expanse, som övervakar internet för att leta efter information som tillhör kundernas företag, sa att “Det Ă€r oerhört sĂ€llsynt – och sent i spelet – att företag tĂ€nker pĂ„ det faktum att utlĂ€ndska aktörer kommer att rekrytera mĂ€nniskor för att trĂ€nga in i deras nĂ€tverk. ” Han föreslog att vi behöver motsvarande ett finansiellt granskningssystem för cybersĂ€kerhet.

Oracles generalrĂ„d Dorian Daley instĂ€mde i att fler företag behövde fokusera pĂ„ insiderhot, men betonade att företagsledare mĂ„ste ta cybersĂ€kerhet pĂ„ allvar. Hon pratade om hur Oracle hade en sĂ€kerhetstillsynskommittĂ© och pratade om att göra en “företagskoloskopi” för att leta efter sĂ€kerhetsfrĂ„gor och sedan rĂ€tta till dem.

I en intervju pĂ„ scenen sade Amy Hess, verkstĂ€llande bitrĂ€dande direktör för FBI: s brotts-, cyber-, svar- och servicegren (högst upp) att terrorism, spionage, IP-stöld och enkel brottslighet alla Ă€r en del av “cyber” -frĂ„gorna. .

Hon sa att Kinas mĂ„l Ă€r “att bli vĂ€rldens dominerande stormakt” och tillade att den kinesiska regeringen Ă€r villig att stjĂ€la information, immateriell egendom, personlig identifierbar information (PII), regeringshemligheter och FoU för att komma dit. Dessutom sa hon att kineserna Ă€r villiga att investera i företag och bli en del av försörjningskedjan för att fĂ„ mer information. Hon sa att det hĂ€r ger dem lĂ€tt tillgĂ„ng till teknik som det tog amerikanska företag Ă„r att utveckla och utnyttjade amerikansk uppfinningsrikedom. “De fĂ„r det gratis, de fĂ„r det snabbt”, sa hon.

Ryssland var annorlunda, sade Hess, för medan det fortfarande var intresserat av att stjĂ€la militĂ€ra hemligheter, regeringshemligheter och FoU, var det ocksĂ„ ett “ondartat utlĂ€ndskt inflytande.” Hon sa att Ryssland anvĂ€nde vĂ„rt beroende av sociala medier för att fĂ„ mĂ€nniskor att ifrĂ„gasĂ€tta om det de lĂ€ser Ă€r riktigt och för att anvĂ€nda dessa plattformar för att dela oss.

Hess sa att FBI samordnar med Department of Homeland Security om hur man ska försvara nĂ€tverk i USA och arbetar med Department of Defense för att se vad som hĂ€nder offshore. Men hon sa att FBI: s huvudroll var “ansvarsskyldighet” – att ta reda pĂ„ vem som hackar och hĂ„lla dem ansvariga. Till exempel sa hon att baserad pĂ„ FBI-utredning anklagade justitieministeriet flera individer för att stjĂ€la information inför presidentvalet 2016. FBI sĂ„g försök att infiltrera valsystem 2016, sade hon, men att det inte fanns nĂ„gon indikation pĂ„ att rösterna Ă€ndrades, men hackare försökte verkligen fĂ„ information kring valprocessen.

Hon var inte bara orolig för Kina och Ryssland, dĂ€r FBI formellt har Ă„talat agenter frĂ„n dessa regeringar, utan ocksĂ„ Iran och Nordkorea. Kriminella var ocksĂ„ ett problem, eftersom “pengarna Ă€r ganska fenomenala.” Hon sa att under de senaste 15 mĂ„naderna Ă„terhĂ€mtade FBI: s team för Ă„terhĂ€mtningstillgĂ„ng 380 miljoner dollar, eller 78 procent av det som kallades in.

FBI uppmuntrade starkt företag att kontakta det nĂ€r de ser nĂ„got som ser ut, sĂ€ger Hess. Hon sa att hon insĂ„g att vissa företag kanske kĂ€nner att de har en konkurrensnackdel om de erkĂ€nner att de kan ha blivit hackade, men FBI kan hjĂ€lpa, hjĂ€lpa andra mĂ€nniskor och hjĂ€lpa till att förhindra nĂ€sta attack. Hon noterade att FBI inte har nĂ„gon skyldighet att berĂ€tta för vĂ€rlden om en attack och sa: “Vi tar det pĂ„ allvar.”

Hon ville uppmuntra till samarbete och samarbete, att hon skulle vilja se förmĂ„gan att flytta fram och tillbaka mellan den privata sektorn och regeringen lĂ€ttare. Även om regeringen inte kan konkurrera med den privata industrin i löner för cybersĂ€kerhetspersonal, kan den konkurrera pĂ„ uppdraget, sa hon. Åtminstone “Vi behöver varandra för att dela information.”

Det största problemet inom cybersĂ€kerhet Ă€r fortfarande mĂ€nniskor, sa hon. Detta inkluderar anvĂ€ndarfel, som att inte uppdatera system eller installera korrigeringar, samt att “stĂ€ndigt klicka pĂ„ saker dĂ€r du inte vet vart de leder till.”

PĂ„ frĂ„gan vad hennes största rĂ€dsla var, sa Hess att det var företagets “kritiska infrastruktur” och hur nĂ„gon som tar ut till och med en liten del av mobilnĂ€tet, finans, energi eller transportnĂ€t kan fĂ„ “allvarliga konsekvenser.” Hon var orolig för nya anslutna enheter och sa att i brĂ„dska för att fĂ„ saker pĂ„ marknaden Ă€r sĂ€kerhet ibland en eftertanke.

Jag frĂ„gade vad hon tyckte om att företag eller kommuner betalar ransomware, en frĂ„ga som har varit i nyheterna nyligen. Hon sa att det inte var en bra idĂ© att betala lösen eftersom detta bara “uppmuntrar andra.” Dessutom fanns det aldrig nĂ„gon garanti för att det skulle fungera. Hon sa att ransomware nyligen var mer benĂ€gna att rikta sig mot mindre företag som Ă€r “potentiellt mer mottagliga”, sĂ„vĂ€l som kommuner.

“Du kommer att bli ett mĂ„l”, sa Hess, “sĂ„ tĂ€nk pĂ„ dig sjĂ€lv pĂ„ det sĂ€ttet.”

Hon tillfrĂ„gades ocksĂ„ om begreppet “hacka tillbaka” och sa att hon hade verkliga farhĂ„gor om att den privata industrin vidtar stötande Ă„tgĂ€rder. Hon sa att hon var orolig för sĂ€kerhetsskador, sekundĂ€ra och tertiĂ€ra konsekvenser som organisationerna kanske inte kĂ€nner till och hur detta kan vara farligare för den kritiska infrastrukturen.