A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
¿Cuál es el costo de la pérdida?
Season One
· Episodio
11

¿Cuál es el costo de la pérdida?

En este episodio, el presentador Raghu Nandakumara se sienta con Richard Staynings, estratega jefe de seguridad de Cilera, para discutir cómo ha cambiado el papel del CISO en los últimos 30 años, los desafíos de TI que enfrentan las organizaciones modernas de atención médica y el panorama actual de la ciberdelincuencia.

Transcripción

0:00:00.0 Raghu Nandakuma: Bienvenido al podcast Segment, A Zero Trust Leadership podcast. Soy su anfitrión, Raghu Nandakumara, jefe de Soluciones Industriales en Illumio, la Compañía de Segmentación de Confianza Cero. Hoy me une Richard Staynings, estratega jefe de seguridad de Cilera, pionero en dispositivos médicos y seguridad OT sanitaria. Richard es un líder de opinión de renombre mundial, autor, orador público, asesor y defensor de la mejora de la ciberseguridad en las industrias de la salud y las ciencias de la vida. Se ha desempeñado en diversos grupos de trabajo de seguridad sanitaria e imparte clases de posgrado en ciberseguridad e informática de la salud en la Universidad de Denver. Hoy, Richard se une a nosotros para discutir cómo ha cambiado el papel del CISO en los últimos 30 años, los desafíos de TI que enfrentan las organizaciones modernas de atención médica y el panorama actual de la ciberdelincuencia.

0:0:54 Raghu Nandakuma: Hola, Richard. Es fantástico poder hablar con usted y gracias por acompañarnos en este podcast. Entonces quiero decir, he estado buscando tus antecedentes, tu CV, tu sitio web, y es un subestado severo al decir que has tenido una carrera bastante ilustre e histórica. Así que comencemos llevándonos en tu viaje a través de la ciberseguridad desde donde empezaste hasta donde estás hoy.

0:01:19.3 Richard Staynings: Espero que tengamos suficiente cinta aquí para grabar todo eso pero...

0:01:21.4 Raghu Nandakuma: Ese es el podcast, por cierto. Ese es el episodio.

0:01:25.6 Richard Staynings: Así que digamos que llevo probablemente 30 años en el espacio de ciberseguridad, mucho antes de que alguien llamara al espacio en el que estamos, ciberseguridad. Fue una especie de seguridad de la información y cumplimiento de normas y riesgo que se han unido en lo que hoy llamamos ciberseguridad. He tendido a concentrarme en varias industrias. He sido CISO, Chief Information Security Officer, para servicios financieros, para entidades de salud, para otras verticales de la industria. Pasé mucho tiempo en educación como profesora adjunta de ciberseguridad e informática de la salud en la Universidad de Denver. Llego a hacer un montón de grandes conferencias alrededor del mundo como parte de mi papel para Cilera donde probablemente hablaremos con un poco más de detalle. He tendido a centrarme, a lo largo de mi carrera, realmente en la intersección de la ciberseguridad y la salud, en parte porque crecí con un diccionario médico en la boca, gracias a un padre que trabajaba para el NHS. Probablemente se pueda decir el acento británico aquí, y en parte porque yo era el único que podía hacer esas evaluaciones HIPAA cuando salieron allá por 1996 en Estados Unidos. Entonces, como que me agruparon aquí en realidad.

0:02:33.0 Raghu Nandakuma: En realidad iba a preguntarte, cómo terminaste en la seguridad sanitaria, pero has respondido parcialmente a eso, pero volveremos a eso. Cuando hablabas de tu carrera, hablabas de hacer ese rol de CISO en varias organizaciones, número de verticales, y por supuesto has estado en este campo durante más de 30 años. Entonces, ¿cómo ha visto evolucionar el papel del CISO en ese periodo de tiempo?

0:02:54.6 Richard Staynings: Oh, revolución absolutamente drástica, particularmente en los últimos 5 a 10 años. Entonces creo que el líder de seguridad, si usamos eso como término genérico aquí, fue realmente alguien que surgió a través de TI. Puede ser en la persona que se encargó de configurar inicialmente los firewalls o tal vez en la persona que hizo la evaluación anual de riesgos por razones de cumplimiento y marcaba todas las casillas. Puede haber sido alguien más el que entró en una especie de movimiento lateral, lo que hoy describiríamos como un movimiento lateral, al espacio de ciberseguridad. El papel ahora ha cambiado a ser líder ejecutivo. Ahora viene a sentarse a la mano derecha del CEO de una organización, a menudo con informes directos al CEO porque el riesgo, el riesgo empresarial de la organización depende realmente de que el CEO y la junta directiva entiendan su postura de riesgo de ciberseguridad.

0:03:51.9 Richard Staynings: Ya no es una disciplina tecnológica de reportar a través del CIO o del CTO hasta el elevado comité ejecutivo. Ahora es uno de reporting directo y explicación directa del riesgo. Creo que eso ha traído consigo un cambio significativo en los tipos de habilidades que los líderes de seguridad necesitan presentar. Necesitan entender el negocio, también necesitan ser capaces de entender la tecnología, pero necesitan ser capaces de, lo más importante, traducir los riesgos de la tecnología de ciberseguridad en riesgos financieros empresariales empresariales para que el CEO, el CFO y la junta directiva puedan tomar las decisiones adecuadas. Después de todo, son los árbitros de riesgo definitivos en cualquier organización.

0:04:36.4 Raghu Nandakuma: Y creo que, parafraseando lo que acaba de decir sobre que ese líder de seguridad ahora es capaz de conectar las decisiones de negocio con las decisiones de seguridad y de ahí la necesidad de que el líder de seguridad esté esencialmente sentado en ese C-suite justo en el nivel superior de administración, desde su perspectiva, por qué ha tardado tanto en suceder esa evolución. ¿Y es ese realmente el lugar adecuado para que esté sentado el líder de seguridad?

0:05:02.5 Richard Staynings: Yo responderé esos en orden inverso, bien. Definitivamente creo que el CISO necesita tener una relación de trabajo directa con el CEO, ya sea que se trate de una relación de reporte directo o si es a través del Chief Risk Officer u otra persona, que tiene sentido. Y cada organización es muy diferente de otra. Entonces, para que yo presente una declaración genérica y diga, todos los CISO deben informar a los CEOs, en realidad podría no encajar demasiado bien con la estructura organizativa. Creo que definitivamente tiene que haber una relación directa ahí, y creo que el CISO también necesita exponerse a la junta para poder presentar su análisis de los hechos, sus recomendaciones a la junta de manera empresarial, en lugar de una manera de miedo, incertidumbre y duda que muchos de mis colegas lo han hecho a lo largo de los años. El cielo se está cayendo, dame algo de dinero para que pueda comprar un nuevo firewall, o puedo contratar a otro analista de seguridad para que vea todos estos registros que me están bombardeando. Es una evolución, y creo que hemos llegado al punto en que esa relación necesita estar en un nivel superior al que es en muchas organizaciones hoy en día.

0:06:08.8 Richard Staynings: Volviendo a tu primera pregunta, creo que ha habido una evolución en la ciberseguridad a lo largo del último... Ciertamente los últimos 20 años. Probablemente 15 más marcadamente así. La seguridad se veía como un costo necesario del negocio. Era un costo necesario que tenía que desembolsarse todos los años, principalmente debido a los requisitos de cumplimiento de chump porque una organización estaba sujeta a HIPAA o GLBA o PCI DSS o una de la multitud de otras regulaciones que existen, que las empresas tenían que cumplir para no ser multadas o no quedar incapacitadas, por así decirlo, en términos de su procesador de pagos. Entonces, ese impulsor de cumplimiento creo que fue la chispa inicial que realmente encendió el fuego en torno a la necesidad de mejorar la ciberseguridad. Y creo que desde ese momento, las empresas ahora han desarrollado sus estructuras de riesgo empresarial más en torno a un marco de riesgo que incluye ciberseguridad en lugar de un simple modelado de riesgo financiero empresarial, que era el caso anterior.

0:07:11.9 Richard Staynings: Y como resultado, la ciberseguridad se ha vuelto mucho más importante. Y creo que hay otro punto ahí, y ese es el hecho de que no se puede escapar de la cantidad de ataques de ciberseguridad que hay en la prensa, más o menos cada día alguien está siendo golpeado. Según la investigación que en Cilera Labs realmente hemos descubierto, de dos a tres hospitales en Estados Unidos a la semana están siendo golpeados por ataques de ransomware. Eso es solo en Estados Unidos. A nivel mundial, son alrededor de 1900 al mes los que están siendo sometidos, siendo atacados por ransomware en la actualidad. Eso es solo el sector hospitalario. Si nos fijamos en otros sectores, está en la prensa todas las semanas, ya sea Royal Mail y la gente que no pueda enviar sus paquetes al extranjero o si se trata de otra industria de infraestructura crítica como vimos con los ductos en Estados Unidos el año pasado o el año anterior u otros negocios.

0:08:04.5 Raghu Nandakuma: Por lo que acaba de describir, eso solo en términos de los ataques más recientes y la interrupción que están ofreciendo. Y definitivamente hemos visto que ese cambio en términos de que el resultado de estos ataques está en gran medida en torno a la interrupción a gran escala, a menudo una interrupción que está tocando la vida de las personas individuales en lugar de, digamos, un gran tipo de empresa. ¿Ve esto como un cambio en términos de la motivación del atacante de que la disrupción es ahora el principal motivador frente a digamos data exfil y el uso de esos datos más adelante?

0:08:38.0 Richard Staynings: Entonces creo que tenemos que entender quiénes son realmente los perpetradores del cibercrimen. Y si lo miramos en términos de la magnitud de los ataques, China en realidad encabeza la lista. Ahora, China es un perpetrador de delitos cibernéticos patrocinado por el estado. Emplean cerca de un ejército de liberación de 100.000 personas, 'guerreros cibernéticos' como se les conoce. Pero hay unidades del PLA que se enfocan principalmente en el ciberespionaje. Están fuera a robar no solo secretos de defensa, secretos nacionales de Occidente con el fin de alimentar la economía china. También están ahí afuera robando secretos comerciales de todos los negocios en todos los sectores importantes, ya sean farmacéuticos para que puedan robar las formulaciones o la investigación detrás de los medicamentos y llevar un medicamento al mercado a través de sus industrias estatales en China, o si es el robo de diseños de F35 para que puedan construir su propio bombardero sigiloso caza furtivo. Así que eso es China. Ese es el primer grupo real. El segundo grupo son realmente los rusos. Y están en dos grupos separados. Aunque, creo que en el último par de años hemos acordado que hay mucha colaboración entre los dos grupos, y de hecho, bien podrían estar co-unidos. Obviamente, hay un aspecto estatal en eso. El GRU ruso, la Unidad de Inteligencia Militar que nos trajo NotPetya, el único ataque más grande, que costó entre 8 y 12 mil millones de dólares en pérdidas y derribó a un gran número de empresas globales.

0:10:02.7 Richard Staynings: Eso fue en realidad un error que fue dirigido contra los ucranianos, como muchos de sus oyentes sabrán, que salió por la culata y derribó a muchas organizaciones rusas así como al resto del mundo. Y luego están los sindicatos del cibercrimen dentro de Rusia que pueden enrollarse bajo la mafia rusa. En definitiva a Putin esa parece ser la cabeza de la serpiente por así decir, si creemos lo que nuestra inteligencia nos dice en este momento, que están inextricablemente conectados y esos están motivados monetariamente. Y creo que lo que ha pasado es que desde la guerra con Ucrania, muchos de esos sindicatos del crimen organizado han estado trabajando de la mano con el Kremlin para desbaratar. Y creo que estamos viendo eso como una especie de bofetada en la muñeca para las acciones políticas de los países anfitriones en los que las organizaciones son golpeadas. Y podemos ver el reciente ataque de Royal Mail como un ejemplo de eso porque coincidió con la declaración de Gran Bretaña de que estaría proporcionando más armas y más financiamiento a Ucrania en su guerra contra Rusia.

0:11:08.6 Raghu Nandakuma: Y es interesante porque... Absolutamente viendo ese cambio que tan elocuentemente describió y ese giro hacia la disrupción que parece estar realmente impulsando ahora el mayor enfoque de una serie de organismos gubernamentales y reguladores, ese enfoque hacia la resiliencia. ¿Es esa su observación de que el impacto disruptiva de los ataques cibernéticos realmente está impulsando el enfoque en la resiliencia cibernética?

0:11:34.8 Richard Staynings: Sí, absolutamente. Creo que muchos altos ejecutivos solían cuestionar el hecho, ¿Cuál es la probabilidad de que mi organización sea atacada? ¿Necesito gastar este dinero ahora? ¿Puedo gastar este dinero en otro proyecto mascota mientras tanto y posponer las inversiones en ciberseguridad un año más? ¿Puedo tomar un gran bono ejecutivo este año sabiendo que mi mandato de 5 años como CEO está hasta el próximo año de todos modos y puedo irme con X número de millones de dólares en bonos por ganancias o productividad o lo que sea que me midan en esa organización? Creo que ahora hemos llegado al punto en el que ya no es cuestión de si voy a ser atacado, es una cuestión de: ¿cuántas veces voy a ser atacado y qué daño va a resultar realmente ese ataque? Y no es solo una cuestión de multas y daños punitivos porque te violaron y muchos de tus datos protegidos están ahora en la red oscura para la venta por parte de los sindicatos del crimen, y cualquiera que quiera comprarlo, es una cuestión del costo de restitución a esos individuos en monitoreo crediticio. Se trata de demandas colectivas masivas por parte de sus clientes contra su organización.

0:12:50.8 Richard Staynings: Es un daño reputacional contra esa organización. En Estados Unidos, ¿cuántas personas irían y se inscribirían para obtener una tarjeta Target, sabiendo que la tarjeta Target se violó como parte del ataque hace varios años? La gente tiene una larga memoria. Así que hay muchas cosas que se construyen en eso. Pero también, diría yo, el factor de costo más grande es el factor de downtime. ¿Qué hace si su organización está inactivo durante semanas o meses? ¿Tus clientes van a recoger y mudarse a otro lugar? Sabemos que ciertas industrias tienen bases de clientes muy, muy volubles, por ejemplo la industria de la telefonía celular. Si no puedes hacer una llamada durante una semana en tu celular, vas a llamar, cancelar tu suscripción y cambiar a otro proveedor. La gente hace eso todo el tiempo. Si hay $5 al mes menos en su factura. En el cuidado de la salud, las personas tienen muchas menos opciones en cuanto a dónde van debido a sus compañías de seguros. Estamos viendo que los costos de pérdida se incrementan en el espacio de atención médica, que es donde obviamente me enfoco, a cientos de millones de dólares en ingresos perdidos debido al downtime.

0:13:54.7 Richard Staynings: Y podría citar aquí muchos ejemplos de hospitales que han visto cómo sus ingresos se han secado como resultado de un ciberataque y el tiempo que les llevó restaurar completamente sus sistemas. Por lo tanto, la resiliencia es absolutamente crítica. Se trata de sostener un ataque, saber que vas a tener uno, sostener el ataque, tener implementadas medidas de continuidad del negocio que sean bien practicadas y medidas de respuesta a incidentes que estén bien practicadas para que puedas continuar con el negocio, aunque sea solo a un nivel de gotero. Y puede mantener a sus clientes relativamente satisfechos mientras realiza tareas de limpieza y restore. Y eso requiere altos niveles de resiliencia en su arquitectura, su aplicación, su infraestructura y mucho más. Y no creo que estemos en ese punto todavía.

0:14:43.4 Raghu Nandakuma: No creo que pudiera haber pedido una especie de respuesta mejor y más accesible que esa. Y supongo... Esto es tal como realmente lo es un seguimiento, ¿ve ahora que para impulsar el cambio que se requiere e impulsar la mejora que es correcta, vemos, digamos que en la UE tenemos NIST 2, tenemos la Ley de Resiliencia Cibernética, tenemos DORA específicamente para servicios financieros para impulsar una mejor resiliencia cibernética allí? ¿Ve que esos actos y tipo de legislación, etcétera, que va con ello, van a tener las mejoras necesarias? ¿Tiene esperanzas de eso?

0:15:17.2 Richard Se queda: Tengo muchas esperanzas y creo que con cualquier cambio en la resiliencia organizacional, tiene que ser una combinación de zanahoria y palo. Hemos tenido el palo por ahí durante mucho tiempo con las multas del GDPR, pero la mayoría de las organizaciones son demasiado pequeñas para realmente necesitar preocuparse por eso o han estado dando vueltas con la cabeza en la arena diciendo que no me va a pasar a mí. Y hemos visto algunas multas bastante masivas, francamente en los últimos años por infracciones. ¿Correcto?

0:15:41.6 Raghu Nandakuma: Si. Absolutamente.

0:15:46.0 Richard Staynings: Los resultados de una resiliencia inadecuada, una ciberseguridad inadecuada.

0:15:47.7 Raghu Nandakuma: Absolutamente. Así que vamos al cuidado de la salud porque obviamente esa es tu... y la seguridad sanitaria, tu área de especialización entre muchas. Dijiste que como que entraste en seguridad sanitaria porque esencialmente te tragaste el libro de texto del NHS pero debe haber un poco más que eso. Cuando buscabas dónde especializarte, ¿qué era específicamente sobre la salud, el sector de la salud y los desafíos de ciberseguridad en el sector de la salud que era tan atractivo?

0:16:14.8 Richard Staynings: Bueno, en primer lugar, a mi padre le hubiera gustado que creciera para ser médico, pero no estaba teniendo nada de eso. Estaba más interesado en las ciencias físicas que en las ciencias biológicas en la escuela y decidí que las computadoras eran el camino del futuro. De hecho, fui la primera persona en mi licenciatura en Artes Liberales en escribir realmente su propia disertación en una PC de 4.7 kHz, si puedes recordar eso muy atrás, probablemente antes de tu época, francamente. Pero era lento y tenía estos disquetes masivos en los que encajaba mi disertación. Hace mucho tiempo que tengo esa fascinación por TI. Pero creo que los factores motivadores fueron, uno, que conocía el idioma, conocía la industria desde adentro. Mucha de mi familia ha trabajado en el NHS o ha trabajado en otras partes de la salud, en los servicios de psique o en otras partes del tejido social del NHS.

0:17:08.0 Richard Staynings: Así que sabía mucho de eso y también me sentí atraído por ello porque podía relatar muchas de las experiencias y lecciones que había aprendido de la manera difícil dirigiendo los servicios financieros y llevarlos de vuelta a la atención médica. Los servicios financieros probablemente estén 15 o 20 años por delante de la industria de la salud en la mayoría de las organizaciones porque tienen que hacerlo, porque han sido blanco de delitos cibernéticos durante tanto tiempo. La diferencia es que en los servicios financieros, es evidente de inmediato si alguien lo ha recortado de tu banco con millones de dólares porque los ledgers ya no suman. Ahí hay un registro de transacciones y te han robado una gran suma de dinero y es inmediatamente evidente. En salud, es menos evidente. Por lo que muchos hospitales han sido golpeados hace 15, 20 años y apenas están empezando a enterarse que fueron golpeados hace 15 o 20 años.

0:18:00.2 Richard Staynings: Y es básicamente porque alguien ha venido a hacer una investigación forense de sus sistemas, luego de un ataque reciente y encontró todos estos ataques anteriores que han pasado desapercibidos. No gastamos el tiempo, el esfuerzo y el dinero y no teníamos la experiencia de nuestro personal en atención médica para ir a perseguir posibles preocupaciones. No teníamos los sistemas de alerta allí para avisarnos cuando algo inky estaba pasando en la red. Cuando hubo actividad anómala, simplemente asumimos que era normal correr de la actividad del molino. No teníamos el personal para ir a perseguir estas cosas hacia abajo. Entonces creo que pude traducir muchas de las lecciones que los servicios financieros y otras industrias, la alta tecnología, por ejemplo, en las que había trabajado habían podido lograr y llevarlas a la atención médica. Ojalá haya hecho un impacto.

0:18:50.0 Raghu Nandakuma: Internet es testimonio de ello. Y su contenido ahí, el desafío del que está hablando, siento la forma en que los está narrando en este momento, solo se está enfocando en los desafíos de TI del sector de la salud o los desafíos de ciberseguridad en lo que respecta a su infraestructura de TI. Ni siquiera hemos hablado todavía de la infraestructura médica OT. ¿Eso es correcto? Porque vamos a llegar a eso en un segundo.

0:19:13.8 Richard Staynings: Sí, y he estado hablando a 50,000 pies aquí sobre toda la tecnología dentro del espacio de la salud. Pero la mayoría de las personas no se dan cuenta de que las organizaciones de TI de atención médica, el grupo de TI dentro de un hospital, por ejemplo, solo son responsables de aproximadamente el 25% de los activos conectados. Los dispositivos que se conectan a una red hospitalaria típica. Y puede extrapolar eso a varios porcentajes en clínicas y consultorios médicos y otros proveedores de servicios de atención médica. La gran mayoría de esos dispositivos son ahora dispositivos médicos. Son dispositivos inertes o en gran medida inertes que cumplen funciones básicas cuando se les pide. Incluyen de todo, desde sus sistemas de diagnóstico, rayos X, CT, escáneres PET, ultrasonidos, este tipo de cosas hasta sistemas de tratamiento radiológico altamente complejos para radioterapia y sistemas de tratamiento de medicamentos y quimioterapia que están todos conectados a las redes en general, hasta sistemas de monitoreo de pacientes y sistemas de manejo a los sistemas que están conectados a usted cuando está en la sala de emergencias que tal vez un manguito de presión arterial automático que mide su presión arterial cada tantos minutos.

0:20:26.3 Richard Staynings: Un pulsómetro, un monitor de saturación de O2, que es lo poco clippy que te ponen en los dedos para medir tus niveles de oxigenación. Y hay una multitud de otros dispositivos que ahora son utilizados por una simple visita a la sala de emergencias, una visita a la sala de emergencias o una visita al departamento de emergencias, hasta las unidades de cuidados intensivos que tienen hasta 50 dispositivos médicos por cama disponibles para pacientes que necesitan todo tipo de diferentes niveles de tratamiento de monitoreo. Todos ellos están conectados a la red hospitalaria. A menudo se encuentran en una VLAN separada, que es una segmentación de enrutamiento, no una segmentación de seguridad. Eso impide que parte del tráfico de multidifusión llegue a esos dispositivos médicos que son increíblemente frágiles. Y también incluyen no solo dispositivos médicos, también incluyen todo un montón de sistemas de administración de edificios en la actualidad. Tus escaleras mecánicas y elevadores o elevadores, son administrados por un tercero a cientos de kilómetros de distancia porque es más barato, mejor y más sofisticado.

0:21:27.6 Richard Staynings: Y hay un pequeño PLC que controla los ascensores en un edificio que lo eleva al piso correcto. Abre las puertas, cierra las puertas, dependiendo de cómo hayas... Qué botón has pulsado. Y lo hace millones de veces a lo largo de su ciclo de vida. Y solo requiere ajustes menores para los cables periódicamente para que alguien salga y ajuste los cables a medida que se estiran. Este es un ejemplo de un sistema de administración de edificios que es relativamente tonto, pero que está conectado y podría usarse como un punto de apoyo en la red de dispositivos médicos. Cosas como HVAC que controlan la presión del aire y el aire y la temperatura en nuestros hospitales. No podríamos haber sobrevivido a COVID sin HVAC. No podríamos haber tenido salas de presión de aire negativa para todos esos pacientes de pandemia sin infectar a todo nuestro personal de enfermería y médico en todo nuestro hospital y a cualquier otra persona que se acercara a un hospital en ese momento.

0:22:19.4 Richard Staynings: Crítico. Cámaras de CCTV que monitorean a los pacientes en sus habitaciones para asegurarse de que no están teniendo una convulsión o algo así. Y vuelve a una estación de llamada de enfermería a cámaras físicas de seguridad que tal vez monitorean pasillos y puertas. Cerraduras de seguridad física, en las que los médicos y enfermeras se insignian para entrar en partes seguras de los edificios hospitalarios. Y hay muchos más si nos fijamos en robots, robots de farmacia, gabinetes Pyxis, por ejemplo, robots de entrega, laboratorios, la cantidad de equipos conectados a Internet de las cosas en los hospitales es absolutamente asombrosa. Y hacemos un trabajo muy, muy pésimo al asegurar estos dispositivos en parte porque nunca fueron diseñados pensando en la seguridad. No había ninguna regulación que dijera que tenían que estar seguros.

0:23:03.6 Richard Staynings: That's about to change as of October 1st, 2023 with the new PATCH Act goes into effect. And new FDA regulations are brought online and that will percolate across other countries to the UK, to Europe, right the way down to the TGA in Australia which mirrors a lot of the FDA rules and regulations, if not most of them, to be honest with you. So that's gonna bring around a change in some of those things, but we still have that massive gap on our networks right now. It's the open back door and we spent a lot of money securing the front doors of hospitals with, we have multi-factor authentication and a whole load of user-management tools for single sign-on and what have you across hospitals. But these are the open back doors. This is the open windows on the back... On the ground floor of the building that anyone can climb through right now. And it's concerning.

0:23:55.4 Raghu Nandakumara: You've provided such a great overview of that plethora of different types of connected devices that let's say a healthcare organization can have on the network. And you sort of refer to the front door and I think about the front door of that traditional IT environment that we understand, it's commoditized, commodity hardware, running commodity software. And while we can obviously do a much better job of securing that, we have good practices and understood practices to do that. On the connected device side on the OT side, just from the variety of manufacturers, the types of devices, etc. Just as a starting point, what would be, as someone who's now very much in that sort of the OT security space, what is good enough from a OT security perspective and what is the holy grail that everyone is after on the OT security or securing OT side?  

0:24:48.4 Richard Staynings: I'll start with your last question first. The holy grail where we're trying to get to is medical devices that are secure by design. They are supported by manufacturers. There are vulnerability assessments conducted periodically against those devices and disclosures made to the community about any vulnerabilities that are found in those devices. And patches are made available very quickly depending on criticality, obviously, for any vulnerabilities found in each of those devices. And that includes a lifecycle, an expected lifespan for devices so that we don't have hospitals, amortizing medical device assets over 30 years when they're only supported by the manufacturer for eight for example, which is often the case today because there is no lifecycle, no lifespan guaranteed by the vendors. And in fact, vendors do a lousy job of supporting devices once they've been sold. So that's really where we need to get to.

0:25:45.6 Richard Staynings: Now to get to that point, we need to adopt a risk-based approach to all of those legacy devices, because medical devices are like plutonium. They have a half-life measured in decades or hundreds of years. They're not retired. If you've got a Windows laptop, you may decide to replace that every two years, partly because it's cheaper to buy a new laptop than it is a new Windows license to upgrade to the new version. And partly because the thing's probably useless after two years of work. Macs have a slightly longer lifespan. But I'm a Mac guy, so I'm gonna say that. Right?  

0:26:17.1 Raghu Nandakumara: Likewise. Likewise.

0:26:18.1 Richard Staynings: Yeah. But medical devices tend to kick around for eight to 20 years in many cases. Certainly the big iron-type systems, X-ray systems. You are not gonna throw out a $25 million X-ray machine because of a vulnerability and because the manufacturer of that X-ray machine has gone out of business or is not making a patch available. So you have to put in place compensating security controls. And those are controls that risk assessors and auditors like HIPAA, like OCR for example, the Office of Civil Rights, part of the Health and Human Services group or other regulatory bodies that audit compliance, will accept as being a compensating security control. Now, to get to those compensating security controls, you need to understand the risk posture of every device type that attaches to your network.

0:27:08.6 Richard Staynings: And right now hospitals are... I was gonna say clueless, but let's just say that there is a large gap between what they think they have on their networks, and what they actually have on their networks. And there've been a number of reports. There was one published over the weekend talking about the number of NHS Trusts, for example, that had very limited knowledge of the inventory of the assets that were on their networks. And this is common across the entire developed world. We don't know what attaches to our networks. We have a spreadsheet, an asset spreadsheet that's kept by clinical engineers or biomed technicians and they update that as new devices come in. But what they're not updating is when firmware's updated on those systems, when applications are updated, when systems are returned to the vendor and RNA-ed and replaced with a new system that may have a different OS on it or a different configuration on it.

0:28:04.2 Richard Staynings: And we really need to get to understand what assets connect to our networks, so we can understand the risks. And this is really what I've been working on for the last five years at Cylera in terms of building a true asset inventory with a high degree of fidelity of what connects to the network, mapping out the ports, protocols, destination IP addresses that each device requires so that we can lock those devices down in a Zero Trust framework. Now this is... And most people when I talk about Zero Trust, are probably saying, "Oh, you're talking about identities?" No, we're talking about the other side of it. There's the ID or the user to data object relationship, and then there's the data object to data asset relationship.

0:28:48.8 Richard Staynings: And it's that latter one that I'm talking about here. In this case, this is medical devices. If we can lock those medical devices down so that they can only communicate to the rest of the medical network on the ports and the protocols to the destination IP addresses that we have explicitly authorized, basically because it's part of its profile, then we can basically drop everything else at the network level to ensure that a radiologist can't listen to Spotify on a PAC system while he is looking or she's looking at images which is a common thing right now. Common compliance concern.

0:29:24.8 Raghu Nandakumara: I didn't wanna interrupt anywhere there because there's so many great things that you're covering and then you landed on Zero Trust. When you think about, let's say security architecture at a healthcare organization/at a hospital, for the security leadership, when does Zero Trust enter that conversation? And is this something now that the healthcare sector is looking at seriously as an approach that they need to take to really radically improve their security foundations?  

0:29:52.0 Richard Staynings: I'd like to think that all healthcare organizations are looking at Zero Trust at all aspects of Zero Trust. But Zero Trust is a journey. It's not something that you can throw a switch and become Zero Trust certified on overnight. It's a mindset, it's a journey, it's a framework about adopting various security controls that follow the Zero Trust principles of trust, but verified - of minimal permissions on any object or any user in order to lock down a network and secure it. It's a step towards more mandatory access control that we have in our military for example, where you are only allowed to access certain data and certain systems based upon your assignments and your level within a military organization. We're not obviously gonna do that in a healthcare organization, but it's about adopting some of those principles to the network.

0:30:46.3 Richard Staynings: I think Zero Trust in the last few years has become more mainstay in business magazines. You'll read about Zero Trust on the Wall Street Journal or the Financial Times or The Guardian or wherever. Whereas you wouldn't find anything of that before five years ago, even though Zero Trust was really... I mean, Forrester published their first paper on the subject back in 2009, I believe. So it's taken a little while to get here. Is it something that senior business executives should be working towards? Absolutely.

0:31:18.7 Raghu Nandakumara: So from your perspective, as you are having those conversations with the cyber professionals in the healthcare sector, what are the questions that you are typically being asked as someone who's been doing this for 30 years, when it is at around Zero Trust adoption? And I know you mentioned Zero Trust as a journey and we need to take incremental steps to improve our security posture, but what is the most common question you are asked when it comes to securing healthcare organizations and the adoption of Zero Trust?  

0:31:45.5 Richard Staynings: I think it depends who you talk to. If you talk to the CEO or the CFO, they say, "What is it gonna cost me?" Because every dollar spent on improved cybersecurity is a dollar that isn't being spent on patient care. We could talk for another hour here just on the efficiencies of certainly the US healthcare system, but I think most healthcare systems around the world are not exactly optimal in terms of how they spend their money on all things. But that's a separate... Really separate discussion there. I think really it's about...

0:32:17.3 Richard Staynings: The success of Zero Trust adoption is really about adopting a cybersecurity culture within the organization. And that culture needs to start at the board of directors, at the CEO level. And it needs to permeate down through every level of the organization. And if you find that the CEO is standing up talking about cybersecurity at his annual briefing or at every executive briefing, where are we in terms of our cybersecurity risk posture? What are we doing about this and that? You'll find that everyone else does the same, takes cybersecurity seriously. That's obviously the starting place. Still, when we talk about Zero Trust, we're talking about different components that need to come together towards that goal of Zero Trust, and those are separate conversations under the umbrella of Zero Trust as it were.

0:33:09.4 Raghu Nandakumara: Completely agree. And the other interesting point that you made was there around, you didn't use these words specifically about return on investment, but you said every dollar that is spent or every pound that is spent on cyber is a pound less spent or a dollar that is not spent on patient services. ROI, etc. it's such a top-of-mind thing at the moment. How does a healthcare organization like RNHS here, that is already strapped for cash, how does it justify the need to spend money on cyber investments? How does it make it an essential budget item?  

0:33:48.2 Richard Staynings: So I think regulation is one way of making that message come across is the fact that you need to be cyber secure. And we saw that, in the last couple of years with adoption of the DSPT, the Data Security Protection Toolkit, which was a big step forward around, trusts having to report to digital around NHS National, I guess, at this point, around the security risks that may be present on their networks as a result of new vulnerability disclosures being eannounced. And a lot of trusts have done a very good job by reporting on DSPT with the adoption of tools like Cylera and others, that can help them with that. There are still many more that have not done so yet. There's another dynamic here around ROI particularly, and that is around, what is the potential cost of loss versus the potential cost of putting in place adequate cybersecurity controls to prevent an attack in the first place?  

0:34:46.9 Richard Staynings: Now, you're not gonna prevent every attack, but you can limit an attack, you can limit the damage, you can minimize the impact to patients and minimize the impact to system downtime as a result of putting in place cybersecurity measures. And there's about a 10X measure on that if we look at most of the statistics around this. So you are gonna spend 10 times more money dealing with a cybersecurity incident, the attack against the Irish health system or the Wizard Spider attack, for example, or the North Korean WannaCry attack against the NHS. The NHS spent a large amount of money remediating end of life computer systems that should have been replaced over the course of 10 years, but weren't putting in place cybersecurity controls and systems and processes that should have been put in place a long time ago, and upgrading the infrastructure.

0:35:39.7 Richard Staynings: It would've been a lot cheaper, to have spent all the money that was involved in dealing with WannaCry and all of the money that's still being spent on a backlog of elective surgery across the UK, on cybersecurity controls in the first place to prevent those types of attacks. Bear in mind that when there's an attack, you're still paying for the cleanup. And you still haven't remediated the hole that perpetrators were able to get through. You still gotta do that anyway.

0:36:08.4 Raghu Nandakumara: It's almost like a self-fulfilling prophecy. You're paying out twice to fix it and also to the cleanup. But, I get the justification of if we don't spend X on this today, the potential cost if when we get breached will be 10X. That forward-looking justification is understandable. Once you've invested in a security capability, let's say like Cylera, how does an organization or even as a vendor, how do you go and essentially show the return on that investment to your stakeholders, the budget owner, so that they understand that now having made that investment, they're getting the returns on it?  

0:36:50.5 Richard Staynings: I think it's difficult for any technology vendor because there's a saying there that you can lead a horse to water, but you can't make it drink. So as technology vendors, we provide the tools, the data, the intelligence to our customers for them to make the appropriate decisions around fixing vulnerabilities around microsegmenting at-risk devices. If a customer doesn't do that, then it's hard for them to realize the investment in the software that has been provided to them. I think we're now getting to the point of partnership really where we're working hand in hand with vendors. And I know many of the vendors that we partner with have that similar relationship with our customers to say, "Look, this is what we need to do. This is the policies, the procedures that we need to put in place," so that it's automated so that they don't have to sit down and make a decision when they're gonna remediate a problem. It's automatically remediated. And this is where we're trying to get to at Cylera in terms of complete orchestration and automation of security remediation.

0:37:56.4 Raghu Nandakumara: What you touched on there is really important because it's essentially, you have almost two parts to this. The first phase is convincing a prospect, convincing an incoming buyer that it is important to spend money on this and buying this capability because it's important to secure the organization. And the second part of it is, once that commitment has been made, is then driving the adoption to put in place the right policies, the right sort of services, etc., the consumption of that capability so that it's actually used. And what we have seen and what we see across a multitude of security capabilities is, I think, going to refute what you said is that you can lead the horse to water but you can't force it to drink. When you look at the future of healthcare and medical device security, what do you see as in the medium and long-term? And I know you've spoken about threats of AI as well, so there's probably some aspect of that. What do you see as upcoming and what is gonna be needed to protect the healthcare organization of the future?  

0:38:57.9 Richard Staynings: You hit a good point there with AI, so I'm glad you brought that up. AI is obviously gonna make a dramatic change to the entire healthcare ecosystem. We have a large amount of IT, a large amount of AI within the IT and IoT networks of hospitals today. We have... Our clinical decision support is based upon machine learning. Our radiological imaging system that now allows us to use low dosage radiation with AI enhancement of those low dose images, rather than bombard patients with radiation that otherwise would have a 2% probability of inducing cancer rather than actually identifying it by an image, which has always been one of the trade-offs of whether you go for a CT scan or not, or some other type, like a PET scan for some other type of imaging.

0:39:43.4 Richard Staynings: So we have those technologies already. We are using extensive amounts of AI and the next generation of tools around precision medicine. That's personalized medicine that is based upon your genome, upon your own lifestyle, your particular conditions, so that instead of a drug having a 2% efficacy, it has a 90% efficacy and can remediate problems for you or things like gene grafting, so that you can graft genomes to prevent the onset of certain types of cancer, for example, which are hereditary in nature. Now all of those technologies are gonna require access to vast amounts of data for their training models.

0:40:29.3 Richard Staynings: So we're not talking terabytes of data here, we're talking millions of terabytes or zettabytes, as they're known. A zettabyte is a billion terabytes, just for your audience. We have approximately 100 zettabytes of medical data that is being used by AI today in order to train models for the next generation of healthcare. Now that is great, but AI models can be corrupted, they can be poisoned. So we need to put in place security around those AI models, those training models, those learning mechanisms. On one side, we also need to put in place privacy mechanisms because I'm sure you don't want your medical data, your genome being up there on the Russian dark net and up for sale. And well... Whereas your genome and my genome might not fetch an awful lot, there are certain people whose genomes would fetch a significant amount of money.

0:41:19.5 Raghu Nandakumara: Mine definitely will be available on the cheap. Yours I'm sure is far more.

0:41:23.2 Richard Staynings: Oh, I don't know about that. So that's one example of AI in the healthcare space. I think the other area is more generic across industry, and that is really around the onset of AI-laden malware, offensive AI, for example. We've seen this in the last... Probably since about 2018, 2019 with certain malwares being AI-enabled so that they can get past our traditional endpoint and perimeter antivirus, perimeter security defenses, advanced malware protection tools, XDRs and all the rest of it because they learn as they go. They're able to pass themselves off as legitimate network traffic and get by our defenses. And we see this same sort of principles played out with fake images and fake videos on the internet. We've all seen deep fakes of famous people saying things that they would never have said or didn't say during their lifetime. We've now got new songs coming out from the Beatles which are AI-enabled which are gonna be hitting the stores very soon. The Beatles latest album with the entire original cast, and it's all AI-enabled.

0:42:35.1 Raghu Nandakumara: What I say to that is that, it's not the Beatles, it's statistically equivalent to a Beatles track, is what I say in response.

0:42:47.7 S2: Right. Exactly. But most people would just say, I went to the Beatles.

0:42:50.9 Richard Staynings: Or this new John Wayne movie that came out in 2023, it's John Wayne. He's in color in this one. Even though it's entirely computer-generated. And certain families of deceased actors have tried to protect the use of AI for their imagery moving forward. But those same types of tools are being used now to attack our organizations. And the only way really around protecting against those offensive AI tools, is using defensive AI tools. So we need to rethink the tools that we have at our disposal so that we can AI-enable those defensive tools to recognize an AI attack and block it immediately.

0:43:30.2 Raghu Nandakumara: I was reading your recent blog post, 'The Rising Thread of Offensive AI.” That's fascinating, the number of different areas that you cover and where AI poses a threat, I assume just by your last answer that in your opinion, the only way to defend against defensive AI is AI-powered defenses and that conventional defenses will not be enough on their own.

0:43:50.3 Richard Staynings: That's correct. We're already finding that AI-enabled attacks are getting past our traditional heuristic-based endpoint detections. For example, even some of the early AI XDR tools that are out there right now, they're able to get past them because they understand how they work. If you are a Russian crime syndicate, you can go out and you can buy every conceivable piece of software under a fake company name, and set it up in your labs, and figure out how to defeat it. And this is what perpetrators are doing, unfortunately. We need smarter tools, newer tools. And unfortunately, that's gonna mean that a lot of vendors are gonna have to rethink their approach, be highly innovative and come up with new AI-based tools. And it also means that end users are gonna have to get rid of and retire a lot of those tools that they've used for the last 5-10 years, and look elsewhere. And maybe the approach, the mix of systems and tools that they have at their disposal, in their toolbox, needs to be adjusted for the reality of 2025 and onwards.

0:44:53.0 Raghu Nandakumara: Yep. Absolutely. So Richard, I know we've had quite a wide ranging conversation and honestly, you've made my job super-easy today. Just by being so open and so generous with your insights that I've barely had to ask a question other than just to sort of say a nod and appreciate it. So, before we sort of wrap up, any final thoughts for our listeners around just any nuggets of advice for security practitioners in the healthcare industry or in other verticals?  

0:45:22.3 Richard Staynings: Yeah, I would say look to the future. Don't look to the past, don't look to the market leaders from five years ago, because obviously that is gonna change and the acceleration of change is going to increase and continue to increase. I would say look for vendors that are gonna partner with you, that are gonna get down in the trenches with you, and help you troubleshoot and figure out how you use those tools to their optimum level of value. And I would also look for tools and vendors that have automation built into them, because we cannot continue to add more tools to our toolbox because the toolbox is already full. I've had many conversations with senior executives over the course of my career who've basically said, "That's great. I hear where you're coming from. I understand why we need this. What two tools can you get rid of before we buy this tool? Which tools does this replace?”

0:46:13.4 Raghu Nandakuma: Es toda la conversación ROI con el giro diferente.

0:46:16.6 Richard Estancias: También es la conversación sobre los gastos generales porque no tienes suficiente gente, no tenemos suficiente gente en nuestros equipos de seguridad. Estamos superados en número por lo menos 5 a 1 en contra de los perpetradores. Y tenemos que hacer un trabajo mucho mejor al automatizar las defensas de ciberseguridad basadas en libros de ejecución y procesos y políticas que todos hemos acordado de antemano para que estos sistemas se ejecuten solos.

0:46:41.6 Raghu Nandakuma: Impresionante. Richard, muchas gracias. Para nuestros oyentes, si desea ir y ponerse al día con más de la experiencia de Richard en ciberseguridad, sus pensamientos, visite su sitio web cyberthoughts ts.org Y si desea comprender más sobre cómo Illumio y Cilera se están asociando para llevar Zero Trust a las organizaciones de atención médica, vaya y consulte nuestras soluciones conjuntas en illumio.com. Gracias, Richard. Muchas gracias por estar en The Segment.

0:47:13.6 Richard Estancias: Gracias por tenerme.

0:47:16.8 Raghu Nandakuma: Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más recursos de Zero Trust, asegúrese de visitar illumio.com. Y mientras lo hace, consulte la recientemente publicada Guía de mercado 2023 de Gartner para microsegmentación, donde Illumio ha sido catalogado con orgullo como un proveedor representativo. Eso es todo por hoy. Soy tu anfitrión, Raghu Nandakumara y volveremos pronto.