Sicherheit cool machen: Nationaler Monat der Cybersicherheitsaufklärung 2020
Den ganzen Oktober über wird F5 auf Twitter , LinkedIn , Facebook und Instagram Erkenntnisse zur Cybersicherheit teilen .
Der nationale Monat der Cybersicherheitsaufklärung findet bereits zum 17. Mal statt. Seit fast zwanzig Jahren informiert die Cybersecurity and Infrastructure Security Agency (CISA) jeden Oktober die Amerikaner darüber, wie sie im Internet sicherer sein können. Hat sich in all dieser Zeit etwas verändert?
Nun, ja und nein. Das Informationssicherheitsrisiko hat sich nicht grundlegend geändert: Unternehmen sind heute denselben Bedrohungen ausgesetzt wie schon immer. Was sich geändert hat , sind ihre Strategien zum Risikomanagement und ihre Meinungen darüber, was ein akzeptables Risiko darstellt. Wenn es um Cybersicherheit geht, zeigen die Daten, dass wir Benutzer und Fachleute nicht mit den Botschaften erreichen, deren Verbreitung wir im National Cybersecurity Awareness Month verfolgen. Wie ich kürzlich in meiner Keynote beim Securityweek CISO Forum sagte, haben wir ein PR-Problem: Wir müssen Sicherheit cool machen .
Die Priorisierungskrise
Sicherheitstechnologen haben sich jahrelang mehr auf Kontrollen als auf das Problem konzentriert. Das Ergebnis ist das, was ein aktuelles USENIX-Papier als „Krise der Beratungspriorisierung“ bezeichnete. In ihrer Studie „Eine umfassende Qualitätsbewertung von Sicherheits- und Datenschutzratschlägen im Internet“ teilen die Autoren mit, dass Experten 118 Cybersicherheitspraktiken zu den „Top 5“ der Dinge zählen, die Benutzer tun sollten – wobei es den Endbenutzern weitgehend selbst überlassen bleibt, welche Verhaltensweisen sie priorisieren und welche Maßnahmen sie zu ihrem Schutz ergreifen.
Das Ergebnis dieser Krise ist eine unzureichende Sicherheit. Wir haben Benutzer jahrzehntelang gebeten, für den Zugriff auf geschäftliche und private Daten niemals dasselbe Kennwort zu verwenden. Untersuchungen zeigen jedoch, dass 94 % der wiederverwendeten Kennwörter exakt übereinstimmen. Wir haben Schulungen zur Sensibilisierung für die Sicherheit durchgeführt, in denen wir den Teilnehmern erklärt haben, dass sie in E-Mails von nicht verifizierten Quellen nicht auf Links zu nicht verifizierten Quellen klicken sollen. Doch die Erfolgsquote von Phishing-Angriffen liegt weiterhin bei 33 bis 11 %.
Nicht nur Endbenutzer leiden unter diesem Ansatz. In der Technologiebranche schreitet die Innovationsgeschwindigkeit derzeit unglaublich schnell voran, doch die Unternehmen entwickeln sich hinsichtlich der Implementierung dieser Technologien aus Sicherheitsgründen nicht weiter. Die größten technischen Innovationen des letzten Jahrzehnts – IoT, Cloud, APIs – haben die Arbeitsweise von Unternehmen revolutioniert und werden größtenteils ohne grundlegende Sicherheitskontrollen eingesetzt. IoT-Geräte können gesichert werden. APIs können gesichert werden. Die Cloud kann gesichert werden. Doch zu den Unternehmen, die dies nicht schaffen, zählen Fortune 50-Unternehmen, renommierte Agenturen und hochentwickelte Technologieunternehmen mit den besten Sicherheitsteams, die man für Geld bekommen kann.
Im Moment besteht „cool“ darin, sich schnell zu bewegen und Dinge kaputt zu machen. Sicherheit ist nicht cool. Es ist im Weg. Es ist nicht einfach. Es passt nicht zu unserer Art der Innovation.
Der Wettbewerb
Wissen Sie , was „cool“ ist ? Hacken. Viele von uns in der Branche sind alt genug, um sich an die Zeit zu erinnern, als „Hacking“ unser Wort war, etwas, das man tat, um sowohl zu innovieren als auch sich weiterzuentwickeln. Jetzt haben Cyberkriminelle und Angreifer dieses Wort und den Ethos dahinter für sich beansprucht. Sie kommunizieren. Sie teilen. Sie machen ihre Bots Open Source. Sie passen sich neuen Marktchancen an und reagieren schnell und flexibel darauf. Diese bösartigen Hacker bilden 13-Jährige im Bau von Bots aus, während der Highschool-Schüler meines Nachbarn keine Ahnung hat, dass Informationssicherheit überhaupt eine berufliche Laufbahn einschlagen kann – und schon gar nicht, dass er dafür ein Vollstipendium bekommen könnte.
Wenn also die Bösen in der Lage sind, schnell Waffen zu entwickeln und zu teilen, warum können wir das nicht? Warum investiert der Bereich Cybersicherheit so viel Zeit, Geld und Mühe in die Entwicklung neuer Möglichkeiten, um NICHT zu wachsen?
Drei Fakten
Als Sicherheitsexperten müssen wir uns einigen Tatsachen stellen. Erstens haben wir ein Problem mit dem Steuerungsdesign. Trotz fortwährender Misserfolge haben sich die grundlegenden Kontrollmechanismen seit Jahrzehnten nicht weiterentwickelt. Wir machen buchstäblich immer wieder die gleichen Dinge auf die gleiche Weise und erwarten ein anderes Ergebnis. Und wenn Sicherheitskontrollen zu streng sind, stören oder zu lange dauern, finden die Leute Wege, sie zu umgehen.
Darüber hinaus müssen wir das Bewusstsein dafür, was dieser Job mit sich bringt, und für den Wert der Sicherheit außerhalb unseres Bereichs stärken. Sicher, Sicherheitsanbieter sind großartig darin, Sicherheitsprodukte an Sicherheitsleute zu vermarkten. Aber wir haben wenig getan, um andere IT-Spezialisten oder andere Mitarbeiter über die Notwendigkeit und den Wert von Sicherheit aufzuklären. (Und können wir über die Qualität der meisten Schulungen zum Sicherheitsbewusstsein sprechen? Man kann es den Mitarbeitern nicht verübeln, dass sie so schnell wie möglich durchklicken, auch wenn sie auch beim hundertsten Ansehen von „Matrix“ noch immer gebannt dasitzen.)
Hinzu kommt, dass unsere Markteintrittsbarrieren zu hoch sind. Jeden Tag sehe ich Online-Threads von talentierten Sicherheitsleuten, die keinen Job bekommen, weil sie ein bestimmtes Zertifikat nicht haben, keine Experten für eine bestimmte Firewall sind oder nicht über die erforderlichen 15 Jahre Erfahrung mit einem Produkt verfügen, das möglicherweise noch nicht einmal so lange auf dem Markt ist. Wir alle reden darüber, wie schwierig es ist, Talente zu finden, aber allzu oft lassen wir die Talente nicht ins Haus. Die mangelnde Kenntnis unseres Fachgebiets, gepaart mit hohen Eintrittsbarrieren und einem Mangel an Lehrplänen und Absolventen im Bereich Cybersicherheit sorgen dafür, dass es schwierig ist, die Skalierung so vorzunehmen, dass sie den Anforderungen des Unternehmens entspricht.
So wird Sicherheit cool
Wir haben alle Zutaten, um Sicherheit im Jahr 2020 cool zu machen. Also, wie machen wir es? Ich werde hier meinen eigenen Rat befolgen und ihn auf die Top 3 reduzieren:
1. Teilen Sie mehr. Angreifer teilen gern ihre Informationen, und das sollten wir auch tun. Teilen Sie Ihre urkomischen und großartigen Geschichten mit Leuten außerhalb Ihres Kreises von Sicherheitsexperten, um andere für unsere Arbeit und ihre Auswirkungen zu interessieren. Geben Sie Ihre Daten zu Angriffen an jeden weiter, der davon profitieren kann. Teilen Sie organisatorische Ressourcen, indem Sie in MINT-Programme investieren. Geben Sie Ihr Fachwissen weiter, indem Sie sich freiwillig für die Ausbildung und Schulung von Menschen im Bereich Cybersicherheit melden.
2. Akzeptieren Sie Veränderungen. Nehmen Sie neue Technologien an, die sich nach links verschieben, automatisieren und mit der Geschwindigkeit von Angreifern arbeiten. Machen Sie Werbung für DevSecOps und verbreiten Sie es.
3. Kommunizieren Sie besser. Ein Sicherheitsbewusstseinstraining ist eine einmalige Gelegenheit, mit allen Mitarbeitern Ihres Unternehmens auf positive Weise über Cybersicherheit zu sprechen. Lassen Sie es nicht ungenutzt verstreichen! Sorgen Sie dafür, dass die Schulung für ihr Leben und ihre wichtigsten Interessen relevant ist, und verwenden Sie eine Sprache und Bilder, die bei ihnen Anklang finden. Konzentrieren Sie sich darauf, ihnen zum Sieg zu verhelfen, und nicht darauf, sie einzuschränken.
Die Realität ist: Sicherheit ist cool. Wenn wir unseren Ansatz modernisieren, wird es auch die ganze Welt erfahren.
Von Mary Gardner, Chief Information Security Officer (CISO) bei F5