Vídeo: El futur dels correbous a Catalunya: debatem amb taurins i antitaurins (De novembre 2024)
Howard Schmidt ho ha fet tot. Ha gestionat la seguretat de Microsoft i eBay. Va exercir d'assistent especial del president i de coordinador de ciberseguretat per al govern. Actualment és soci, juntament amb l'ex secretari de DHS Tom Ridge, a l'empresa de consultoria Ridge-Schmidt Cyber. Com a president de la Junta Consultiva Internacional dels Laboratoris Kaspersky, va dirigir un fascinant grup d'atacs dirigits i espionatge cibernètic a la recent Cimera de Ciberseguretat de Kaspersky.
Els altres grups van oferir coneixement i experiència de diverses indústries. Fred Schwien, director de Programes i Estratègia de Seguretat Nacional, The Boeing Company, ha de tractar la seguretat a tots els nivells, a partir de la cadena de subministrament. (Schwien va fer broma: "La meva paga es relaciona amb el nombre de lletres del meu títol".) Joe Sullivan, OSC de Facebook, es preocupa més pel regne electrònic. Per completar la taula, Eugene Kaspersky és el fundador, president i conseller delegat del gegant de seguretat mundial Kaspersky Lab. No puc comunicar la discussió àmplia, però arribaré al màxim.
Schmidt: "Quan ens fixem en el tema de la cadena de subministrament, Fred, a la vostra cadena de subministrament de treball ho és tot. Teniu reblons, motors, seients, coses molt importants per al vostre negoci i per al govern. Com veieu la cadena de subministrament a el teu món crític d’infraestructures?"
Schwien: "M'agrada dir, el nou 747 és de sis milions de peces que volen en formació. Treballem molt per assegurar la cadena, per assegurar-nos que les coses estan concretades i no corrompudes. Tenim un grup setmanal específic per a la cadena de subministrament. " Schwien va continuar a detallar les maneres en què les companyies d'aviació i les agències governamentals comparteixen informació, incloses informacions classificades del FBI, TSA i molt més.
Schmidt: "Joe, Fred parla de grans infraestructures, agències governamentals, transport. Què passa amb Facebook? Suposo que tens molts venedors de què depenen, així que és un problema de la cadena de subministrament. Com es tracta d'això?"
Sullivan: "La gent confia en nosaltres, de manera que no només ens fixem en el lloc web, sinó en tots els àmbits que podrien ser vulnerables. Pensem en quatre coses, el front end, el final, els nostres empleats i els nostres venedors. un pla integral per a cadascú i vetllem per un estat de millora constant ". Sullivan va assenyalar que quan Facebook va afegir una recompensa d'errors per a les vulnerabilitats del servidor, van obtenir una visió valuosa de la comunitat de recerca.
Schmidt: "Eugene, heu publicat un bloc sobre això. Una violació no ha de ser un assalt frontal. Vam veure un gran comerciant compromès a través d'un venedor aparentment sense relació. Com és que vosaltres i el vostre equip veiem treballar amb una cadena de subministrament?"
Kaspersky: "És una mica complicat. Represento la seguretat de la identificació i sóc un paranoic. Les empreses han de pensar no només en la seva pròpia seguretat, sinó en els seus proveïdors. No són només les empreses que proporcionen peces per a una empresa enorme com Boeing. Els restaurants, el menjador, proporcionen un servei. Es connecten a la vostra xarxa? Ofereixen servei de taxi? Té wifi? Ha de pensar en tots els proveïdors directes i indirectes. " Va relacionar un descobriment d’investigadors de Kaspersky Lab. En comprovar una empresa que desenvolupa aplicacions SCADA per a centrals, van descobrir una porta del darrere. Qui la va plantar va tenir accés complet a la tecnologia i la possibilitat de modificar el codi font. "Si el vostre proveïdor estava infectat, ja no podeu confiar en les vostres dades", va dir Kaspersky. "És una bona notícia per a la seguretat informàtica, una mala notícia per a la resta del món".
Schmidt: "Eugene, quan mireu tota la petjada mundial global, bloquegeu els APT per a Microsoft, Boeing, Facebook… Com es beneficiaran els nois?"
Kaspersky: "La ciberdelinqüència és una història diferent. Volen diners . No volen matar-te, ni arruïnar la seva reputació ni robar-te els secrets. Si una petita empresa va ser afectada pel ciberespionatge, algú va cometre un error".
Schmidt: "Joe, on es dedica a aconseguir la cadena de subministrament?"
Sullivan: "Comprovem si els tercers poden complir els estàndards publicats, però això no és suficient i no es poden treure conclusions en funció de la mida o l'edat de l'empresa. Vam auditar una empresa de 15 persones que era realment segura perquè era construït amb seguretat en compte. Un altre venedor, una institució financera important, contrasenyes limitades a vuit caràcters, sense caràcters especials i sense distinció entre majúscules i minúscules. No es pot jutjar per mida."
Schmidt: "Eugene, fa deu anys que sentim que" l'antivirus està mort ". És cert?"
Kaspersky: "Què és aquesta cita de Mark Twain? Els rumors de la seva mort són molt exagerats. Existeixen signatures antivirus, encara són importants, però no el més important. Com el cinturó de seguretat al cotxe; cal tenir-lo, però no és el la part més important."
Schmidt: Fred, Tom Ridge va mencionar les normes relacionades amb la seguretat. Els existeixen aquí i a tots els països. Pots ser conforme, però encara no segur. Com es tracta de la normativa com a empresa global?"
Schwien: "De vegades anomenem un avió un sistema global de control industrial mòbil. Un avió que em va agafar a Newark sortia de Singapur i em va portar a Tel Aviv. Treballem a l'entorn per a cada país." Schwien va assenyalar que les regulacions nord-americanes són sovint les més estrictes, la norma d'or, tant per a la seguretat física com per a la seguretat cibernètica. A continuació, va citar al general Keith Alexander, antic cap de la NSA, sobre l’equip de ciber defensa nord-americà: "Tenim el millor equip del món, però encara són al vestuari".
Sullivan: "Per acabar-ho, els majors problemes d'ús han estat les amenaces que són completament noves. Les signatures no haurien funcionat. Necessitem més inversió en seguretat fora de les nostres fronteres i, quan es tracta de noves vulnerabilitats, hem de desenvolupar noves formes de protecció. L'intercanvi d'informació és clau."
Kaspersky: "Què s'ha de fer? El món ha de dividir-se en tres categories, infraestructura individual, empresarial i crítica. No necessitem cap regulació sobre els usuaris, a usuaris de Facebook. Però necessitem una regulació estricta de la seguretat de les infraestructures crítiques. Les empreses" estem entremig. Necessitem educació. El més important, necessitem una regulació especial del govern per a proves d’oficials de seguretat. Han de passar un test de paranoia! Això canviarà el món ".
Allà el teniu. Protegiu la cadena de subministrament, assegureu-vos que es comparteixin informació de seguretat crucial i garanteixi que tots els agents de seguretat passin la prova de paranoia. Els membres del públic van mostrar molta il·lusió.