Gdyby nie biegł Karta wyników bezpieczeństwa– mówi Alex Yampolskiy, prawdopodobnie siedziałby w parku w Nowym Jorku i grał w szachy. Nowy Jork jest jego domem od wielu lat, odkąd jego rosyjsko-ukraińska rodzina wyemigrowała do Stanów Zjednoczonych, gdy był nastolatkiem.
Już jako nastolatek cudowne szachowe dziecko zostało ukąszone przez błąd cyberbezpieczeństwa. Podróż Yampolskiy’ego do branży bezpieczeństwa rozpoczęła się, gdy miał 12 lat, kiedy przyjaciel wsunął mu dyskietkę 3,5 cala zawierającą kopię klasycznej gry wideo Książę Persji. I wirus.
„Wydaje mi się, iż w dzisiejszych czasach ludzie nie pamiętają, czym są dyskietki. Ale kiedy włożyłem to do komputera i zainfekowałem wirusem, pomyślałem: muszę się dowiedzieć, co to do cholery jest. Jak sprawić, by komputery działały nieprawidłowo? Chciałem zemścić się na przyjacielu” – mówi.
„I zacząłem uczyć się łamać zabezpieczenia, włamywać się do komputerów. A potem naprawdę zakochałem się w cyberbezpieczeństwie.”
Po przybyciu do Stanów Zjednoczonych Yampolskiy mógł realizować swoje zainteresowania. Poszedł na studia, a później obronił doktorat kryptografia z Yale University, gdzie spędził pięć lat kończąc swoją pracę magisterską, po drodze prowadząc badania nad koncepcjami, które są w tej chwili częścią blockchain technologia.
„Chciałem budować rzeczy i ożywiać je, a nie tylko publikować artykuły akademickie, więc wszedłem do branży” – mówi Yampolskiy. „Pracowałem w takich firmach jak Oracle i Goldman Sachs. A potem zostałem dyrektorem ds. bezpieczeństwa [CSO] w firmie o nazwie Gilt Groupe [a US-based members-only online retailer]i tam narodził się pomysł SecurityScorecard.”
Tak naprawdę cała działalność miała swoją genezę podczas zakupów w Gilt Groupe, gdy Yampolskiy pełnił funkcję CSO.
Wyjaśnia: „Mój zespół marketingowy zarejestrował się w ramach systemu jako usługi [SaaS] produkt pomagający zapobiegać oszustwom w handlu elektronicznym – jeżeli jesteś sprzedawcą detalicznym i sprzedajesz towary w Internecie, ludzie będą używać fałszywych kart, aby Cię okraść, dlatego zarejestrowaliśmy się po ten produkt.
„Jednakże” – kontynuuje – „aby było to skuteczne, musieliśmy udostępnić informacje o wszystkich naszych klientach, co napawało mnie niepokojem, więc kazaliśmy im przejść atest. Wypełnili długi kwestionariusz na papierze i stwierdzili, iż wykonują świetną robotę.
„Zdałem sobie sprawę, iż mogę wykonywać świetną pracę, mogę ciężko pracować jako CSO, a mimo to mogę stracić pracę z powodu okoliczności, na które nie mam wpływu. To było wielkie odkrycie”
Alex Yampolskiy, karta wyników bezpieczeństwa
Chętna do dalszego rozwoju organizacja podpisała umowę zgodnie z linią przerywaną, ale gdy rozpoczął się proces integracji, napotkała poważną przeszkodę.
„Ku mojemu przerażeniu odkryliśmy niezaszyfrowane dane kart kredytowych w ich systemach należących do innych klientów” – mówi. „Dla mnie to była wielka pobudka. Zdałem sobie sprawę, iż mogę wykonywać świetną pracę, mogę ciężko pracować jako CSO, a mimo to mogę stracić pracę z powodu okoliczności, na które nie mam wpływu. To było wielkie odkrycie!”
Niekwantyfikowane zależności
Latem 2013 roku Yampolskiy i jego partner biznesowy zaczęli głębiej zastanawiać się nad niezliczoną liczbą zależności od stron trzecich istniejących w przeciętnym przedsiębiorstwie oraz nad tym, jak szeroko udostępniane są dokumenty i dane – dokumenty prawne trafiają do kancelarii prawnej, podatki do księgowego, Twoje własne pliki do usługi przechowywania w chmurze i tak dalej.
Według Yampolskiy każda z tych zależności może skutkować incydentem związanym z bezpieczeństwem cybernetycznym, za pomocą którego Twoja organizacja znajdzie się na pierwszej stronie ogólnokrajowej gazety, a mimo to w świecie bezpieczeństwa w przeszłości nie istniały żadne najważniejsze wskaźniki wydajności (KPI). które można wykorzystać do skutecznej oceny ryzyka strony trzeciej.
„Idziesz do lekarza, on mierzy ci ciśnienie krwi. Jeździsz samochodem, masz prędkościomierz. Ze względów bezpieczeństwa nic nie dostaniesz. Dlaczego nie może istnieć KPI pozwalający zmierzyć i określić ilościowo ryzyko? To właśnie ta wiedza skłoniła nas do rozpoczęcia prac nad SecurityScorecard” – mówi.
Jak to działa
W swej istocie platforma SecurityScorecard to baza danych firm ocenianych według różnych czynników ryzyka cybernetycznego, dająca użytkownikom wgląd w stany bezpieczeństwa i profile ryzyka każdej organizacji, z którą prowadzą interesy lub chcą przeprowadzić wyszukiwanie.
Jak obliczane są te wyniki? Po pierwsze, SecurityScorecard przygląda się powierzchni ataku organizacji z zewnątrz, przy użyciu nieinwazyjnych metod skanowania zbierać sygnały na temat organizacji.
„Tak jak spacerując po okolicy i widząc wybite okno lub graffiti na ścianie, tak samo bez wchodzenia do domu można wywnioskować, iż być może nie był on dobrze utrzymany w środku. Podobnie w przypadku firm istnieją setki sygnałów, które można wychwycić w sposób nieinwazyjny” – mówi Yampolskiy.
„Prostym przykładem może być to, iż patrzysz na witrynę internetową i widzisz na dole witryny informację „prawa autorskie 2005”. Cóż, mamy rok 2024, prawda? Zatem nie jest to luka w zabezpieczeniach, nie można jej wykorzystać, ale właśnie ustaliłeś, iż nie aktualizują witryny proaktywnie [so] jak pilnie zamierzają odeprzeć atak innego rodzaju?”
Do tych informacji następnie stosuje model statystyczny oparty na danych historycznych z prawie dziesięciu lat, aby porównać organizację z innymi podmiotami w grupie porównawczej i uzyskać ostateczny wynik. Algorytm, którego używa, jest publikowany publicznieYampolskiy jest wielkim zwolennikiem przejrzystości działania organizacji.
Wysiłek i zasoby potrzebne do jego zbudowania były znaczne i stanowi to ciągłe wyzwanie, mówi Yampolskiy. „W firmie zatrudniamy 600 osób, a około 35% do 40% z nich zajmuje się badaniami i rozwojem. W ciągu ostatnich dziewięciu lat opracowaliśmy technologię, która codziennie zbiera miliardy sygnałów.
„Na przykład prowadzimy jeden z największych na świecie luk w złośliwym oprogramowaniu, gdzie przechwytujemy sygnały o tym, które maszyny są zainfekowane na całym świecie – i musimy mieć pewność, iż jest on dokładny i godny zaufania. Wymaga to dużego wysiłku inżynieryjnego. Zbudowanie tego typu technologii nie jest łatwe.”
Czy dane są dokładne? Najwyraźniej tak. „Wykazaliśmy – i udowodniły to na przykład firmy takie jak Marsh McLennan – iż firmy ze złym wynikiem są osiem razy bardziej narażone na naruszenie bezpieczeństwa danych niż te z dobrym wynikiem” – mówi.
Ale na tym nie kończy się obsługa. „Nie tylko oceniamy i życzymy powodzenia. Dajemy Ci również zalecenia, w jaki sposób możesz stać się bardziej odporny, [and] umożliwiamy Ci zbieranie wyników i spostrzeżeń oraz integrowanie ich z przepływami pracy” – mówi Yampolskiy.
„Wykazaliśmy, iż firmy ze złym wynikiem są osiem razy bardziej narażone na naruszenie bezpieczeństwa danych niż te z dobrym wynikiem”
SecurityScorecard integruje się z ponad 100 innymi platformami, aby umożliwić użytkownikom ustalanie i definiowanie wszelkiego rodzaju różnych elementów ich profili ryzyka – na przykład zgodności z przepisami Ogólnego rozporządzenia o ochronie danych (RODO) lub równoważnych przepisów na poziomie stanowym w USA – oraz co najważniejsze, rozumieć kwestie bezpieczeństwa i rozbieżności między dostawcami, które należy uwzględnić w planowaniu ryzyka.
Coraz większe zagrożenia
Kiedy prawie 10 lat temu SecurityScorecard po raz pierwszy wystartował, świat cyberbezpieczeństwa wyglądał zupełnie inaczej niż dzisiaj. Przenieśliśmy się ze świata, w którym bezpieczeństwo było w dużej mierze uważane za domenę ekspertów technicznych i osób zaznajomionych z kulturą hakerską, do świata, w którym ataki ransomware pojawiają się w wiadomościach telewizyjnych w godzinach największej oglądalności, a bezpieczeństwo jest tematem rozmów przy kolacji.
Zdaniem Yampolskiy przyczyniają się do tego trzy główne trendy. Po pierwsze, powierzchnia ataku stała się znacznie bardziej złożona i połączona ze sobą. Po drugie, doszło do eksplozji ryzyka stron trzecich – pokazują to statystyki firmy prawie 30% wszystkich naruszeń ma w tej chwili swoje źródło za pośrednictwem strony trzeciej. Po trzecie, ugrupowania zagrażające mają dostęp do bardziej wyrafinowanej i tańszej broni, od rozproszonych ataków typu „odmowa usługi” (DDoS) możliwych do zrealizowania za kilka dolarów, po ataki typu „zero dni” liczone w tysiącach.
„Nie możemy zmienić faktu, iż świat stał się bardziej złożony. Nie możemy zmienić faktu, iż napastnicy stali się bardziej wyrafinowani” – mówi Yampolskiy.
„Możemy wpłynąć na to, iż większość firm przez cały czas koncentruje się na solidności, a nie na odporności. Próbują zapobiec włamaniu się przeciwnika, zamiast odwrócić założenie i powiedzieć, iż prędzej czy później, przy wystarczającym wysiłku, przeciwnik się włamie, [so] Jak mogę im to maksymalnie utrudnić?”
Pogląd, iż zajęcie się ryzykiem stron trzecich stanowi część zmiany w kierunku odporności, jest następujący: taki, który wielu podziela. Patrząc w przyszłość, Yampolskiy ma nadzieję, iż w miarę jak organizacje będą zmierzać w kierunku praktyki bezpieczeństwa skoncentrowanej na odporności, metodologia SecurityScorecard oparta na wskaźnikach KPI ostatecznie pomoże im podjąć bardziej odpowiednią decyzję o zakupie, zamiast po prostu skupiać się na problemie.
Przyszły rozwój
SecurityScorecard rozwija także usługi, które mogą towarzyszyć i udoskonalać system ocen, o co prosili klienci. W końcu ilościowe określenie ryzyka bezpieczeństwa Twojego oraz ekosystemu Twojego partnera i dostawcy nie zaprowadzi Cię daleko – a prawdopodobnie w pewnym momencie przez cały czas będziesz atakowany.
„Jestem bardzo podekscytowany możliwością nie tylko udostępnienia wam ocen bezpieczeństwa, ale także zaproponowania rozwiązań” – mówi Yampolskiy.
„Obecnie dużym naciskiem i dużym naciskiem skupiamy się na tym, jak przejść od ocen do rozwiązań. Mamy teraz jednostkę biznesową, która wykonuje ćwiczenia na stole, do której przychodzimy i szkolimy Twój zespół kierowniczy. Mamy jednostkę zajmującą się kryminalistyką, więc jeżeli Twój komputer zostanie zhakowany lub zostaniesz zainfekowany oprogramowaniem ransomware, możemy Ci pomóc.
Yampolskiy jest szczególnie zainteresowany pomaganiem w wypełnianiu dawno uznanej luki komunikacyjnej między zespołami ds. bezpieczeństwa a ich przywódcami na szczeblu zarządu.
„Zarządom i CISO brakuje wspólnego języka. Członkowie zarządu są z Marsa, a CISO z Wenus”
„Zarządom i CISO brakuje wspólnego języka. Członkowie zarządu pochodzą z Marsa, a CISO z Wenus” – mówi.
„CISO często posługuje się technicznym językiem, technicznym żargonem, więc może powiedzieć: „Wdrożyłem Akamai Prolexic w wersji 124.1.1.3/24, aby ograniczyć ataki na punkty końcowe”, a członek zarządu nie ma pojęcia, co właśnie powiedział CISO. CISO powinien był powiedzieć: „Wdrożyłem funkcję zapobiegania atakom typu „odmowa usługi”. Kosztowało mnie to 200 000 dolarów i pozwoliło nam zaoszczędzić 3 miliony dolarów na przestojach.
„Na członkach zarządu spoczywa również obowiązek zdobywania większej wiedzy na temat bezpieczeństwa cybernetycznego. jeżeli jesteś członkiem zarządu i podczas spotkania zapytasz: „Jaka jest marża brutto?”, usłyszysz klepnięcie w ramię i przerwę, podczas której ludzie powiedzą: „Naprawdę musisz dowiedzieć się więcej jeżeli chodzi o finanse, musisz wiedzieć, jaka jest marża brutto. Ale jeżeli członek zarządu zapyta: „Co to jest atak typu „odmowa usługi”? nikogo to nie obchodzi. To normalne. To jest oczekiwane.
„Niestety członkowie zarządu nie posiadają pełnej wiedzy technicznej i to musi się zmienić – to już się zmienia. Widzimy więc coraz więcej zaangażowanych zarządów, widzimy, iż zarządy standaryzują pomiar i raportowanie ryzyka oraz widzimy, iż zarządy przyjmują oceny bezpieczeństwa takie jak nasze, aby zweryfikować to, co robią. Świat zmienia się w pozytywnym kierunku w zakresie cyberbezpieczeństwa.”
![Pod Bełchatowem wykopano pocisk. W drodze są saperzy, a policjanci pilnują znaleziska [FOTO]](https://storage.googleapis.com/patrykslezak-pbem/belchatow/articles/image/7e5ce98d-a627-46b4-a409-e702490c004f)
