サイバー犯罪のビジネス:元FBIアシスタントディレクターがすべてのCISOに知ってほしいこと

サイバー犯罪は単なる技術的な脅威ではなく、繁栄しているグローバルビジネスです。そして、ブライアン・ボーティグほどそのビジネスの進化をよく理解している人はほとんどいません。
国家安全保障と公共の安全に35年以上携わってきた彼は、FBIのアシスタントディレクター、米国外交官、CIA連絡官、国際顧問会社のパートナーを務めてきました。彼は現在、グローバルトレースの主任顧問であり、組織がサイバーレジリエンスを構築できるよう支援しています。
このエピソードで セグメント、 ブライアンは私とともに、法執行機関や情報機関での彼の経験が今日のサイバーセキュリティへのアプローチをどのように形作っているのか、そして企業が遅れをとっているところで脅威アクターが勝利を収めている理由について話してくれました。
店舗強盗からサービスとしてのランサムウェアまで
ブライアンは海外での誘拐事件まですべてを調査してきました デジタル強要 自宅で。
何が彼らをつなぐのか?レバレッジの追求。
「私たちは身代金目的の誘拐事件を、私たちと同じように扱いました。 ランサムウェア 今日」とブライアンは言った。「誰がやったか、彼らがどのように運営されているか、そして交渉の仕方を知っている。これはビジネスモデルであり、一部の合法的な企業よりもうまく運営されています。」
彼は、サイバー犯罪の経済は攻撃者に有利に傾いていると言います。
「50ドルで店を直接強盗すると、警察の対応チーム全員が現れます」と彼は言う。「しかし、オンラインで50万ドルを盗むの?ほとんどの法域では、法執行機関はそれをどう扱うべきかわからないでしょう。」
サイバー犯罪はスケーラブルでボーダーレスであり、目に見えないことが多いです。ブライアンの意見では、ディフェンダーが同様のビジネス志向のアプローチを採用するまでは、ディフェンダーは追い越され続けるでしょう。
50ドルで店を直接強盗すると、警察の対応チーム全員が現れます。しかし、オンラインで50万ドルを盗む?ほとんどの法域では、法執行機関はそれをどう扱うべきかわからないでしょう。
身代金の支払いを禁止することが答えにならない理由
組織に身代金の支払いを許可すべきかどうかほど議論の的となるトピックはほとんどありません。ブライアンは、FBIに勤務していたときから、情報漏えいに対処するためにCEOと相談することまで、双方を見てきました。
「包括的な答えはない」と彼は言った。「お金を払わなければ存在しなくなる企業もあります。」
彼はある法律事務所で、クライアントの履歴がすべて封印されていたことを思い出しました。支払いがなければ、彼らのビジネスと評判は破壊されていたでしょう。
バニング 身代金の支払い あからさまな行動は抑止力のように思えるかもしれませんが、Brian はそれが組織を二重の犠牲にするリスクがあると考えています。「生き残るために残された数少ないツールの 1 つがなくなっているのです。」
代わりに、彼はもっと微妙な戦略を提案しています。
- 準備を整えることで支払いのインセンティブをなくす
- バックアップを含む一般的なサイバーセキュリティ対策の構築
- スマート保険モデルの実装
- 複雑なビジネスの現実を過度に単純化する法律を減らす
組織が必要としているのは、全面的な禁止ではなく、よりスマートなアプローチです。つまり、レジリエンス、リスク、攻撃後にリーダーが直面する現実のバランスをとるアプローチです。
サイバー保険はセーフティネットではない
より多くの企業が目を向けるにつれて サイバー保険 安心のために、ブライアンはリアリティチェックを提供しています。
「これは修正ではありません。たいていは交渉のようなものです」と彼は言います。「そして時々、保険会社が最初にすることは理由を探すことです。 じゃない 支払う。」
彼はそれを自動車保険と比較した。はい、補償対象です... 細字で詳細を1つ見逃した場合を除きます。その結果、危機の際には混乱が生じ、補償条件が不明確になり、回復が遅れます。
「ほとんどのポリシーは、オンラインに戻るのに役立つだけです」とブライアンは警告しました。「信頼の再構築、評判の低下、または将来のレジリエンスには適用されません。」
CISOへの彼のアドバイスは、保険契約の対象範囲と補償範囲のギャップを正確に把握することです。保険を強力な防御の代わりとして扱わないでください。また、攻撃を受けた後に保険会社が最善の利益のために働いてくれると信じてはいけません。
サイバーリスクはビジネスリスク
サイバーリスクが未だにIT問題として扱われているケースが多すぎます。ブライアンはそれを危険な間違いだと考えています。
「経営幹部がサイバーセキュリティを信じなければ、資金提供も優先順位付けも実施もされません」と同氏は言います。
彼は、CEOが自分のITリーダーが誰なのかを知らなかった時代を思い出しました。「今、サイバーセキュリティはファイアウォールではなく、ビジネスを存続させることだということを役員会がようやく理解し始めています。」
この変化は、一部には規制圧力によるものですが、レジリエンスは競争上の優位性であるという認識が高まっていることも反映していると彼は言います。
また、ブライアンは、侵害されたからといって失敗したわけではないことをすぐに指摘しました。実際、最高のセキュリティリーダーは、それが起こると想定しています。
「私は以前、CEOにこう言っていました。『サイバー攻撃の被害者になっても大丈夫。準備ができていないのは良くない」と彼は言った。
その考え方が中心です ゼロトラスト これは妥協を前提としており、侵害による影響を減らすことに重点を置いています。
「備えとは、バックアップやポリシーだけを意味するのではありません」とブライアンは強調しました。「それは文化的なことです。問題が発生したときには、組織内の全員が自分の役割を知る必要があります。」
私は以前、CEOにこう言っていました。「サイバー攻撃の被害者になっても大丈夫。そのための準備ができていないのは良くありません。」
リスクと現実のギャップを埋める
ブライアンの物語は中心的な真実を浮き彫りにしています。サイバーセキュリティはリスクを回避することではなく、リスクを管理することです。
最もレジリエントな組織は、セキュリティをビジネス機能として捉え、プロアクティブなプランニングを採用し、予防だけでなく抑制にも投資しています。
または、ブライアンが言ったように、「消火器を買うのに、火事になるまで待つ必要はありません。計画を立て、トレーニングして、全員にそれがどこにあるかを知ってもらいます。」
もっと聞きたい?今週の全エピソードを聞いてください ザ・セグメント:ゼロトラスト・リーダーシップ・ポッドキャスト オン アップル・ポッドキャスト、 Spotify、またはポッドキャストを入手できる場所ならどこでも。また、読むこともできます 全トランスクリプト。