A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
FBIプレイブックの内部
Season Three
· Episode
5

FBIプレイブックの内部

サイバー犯罪はビジネスであり、国家安全保障上の秘密は目に見えないことが多い世界で、このエピソードではスパイ活動とサイバーセキュリティの魅力的な交差点を明らかにします。

トランスクリプト

ラグー・ナンダクマラ 0:12

みなさん、こんにちは。それでは、The Segmentの別のエピソードへようこそ。今回は、ブライアン・ボーティグと話すことができてとても興奮しています。現在、ブライアンは国家安全保障、公共安全、コンサルティングの分野で35年の経験を持ち、FBIのアシスタントディレクター、米国の外交官、CIA連絡官、州、地方自治体、大学の警察官、国際的なビジネス諮問会社のパートナーなど、非常に名高いキャリアを持っています。彼は現在、オーダーメイドの顧問会社であるグローバルトレースの主任顧問です。彼が関わってきた3文字の頭字語はたくさんありますが、彼が今日私たちと共有できるストーリーを見ることができて本当にワクワクしています。ブライアン、ザ・セグメントへようこそ。

ブライアン・ボーティング 1:01

来てくれてどうもありがとう招待状にとても良かったです。何度も語られてきた話や、語られていなかったり、何年も前ほど関連性がなかったりして、今日の環境下にあるかもしれない話を共有できることを楽しみにしています。

ラグー・ナンダクマラ 1:16

素晴らしい。待ちきれません。興味深いことに、これを録音しているときに、ブライアン、最近発見した特定のポッドキャスト「The Rest is Classified」に夢中になりました。このポッドキャストは、元英国シークレットサービスのエージェントと、元米国CIAエージェントが主催していると思いますよね?素晴らしいです。そして、ちょうど彼らがスパイクラフトのさまざまな側面といくつかの現実的で現実的な任務について話し合っているようなものです。それで、それは本当に面白いと思いました。ですから、実は、私たちと共有するのと同じように、あなたはおそらくあなたの経験から分かち合うことができるストーリーが好きだと言わせてください。そこから始めて、それがどのようにあなたを形作ったか見てみませんか?

ブライアン・ボーティング 1:52

さて、私がワシントンDCにいたときに話したストレンジャーの話の1つをお話しします。これは、実際にはロバート・ハンセンとの9/11以前のことでした。ロバート・ハンセンはFBIのスパイで、最近刑務所で亡くなったばかりですが、有罪判決を受けて終身刑に処せられましたが、彼はロシア人に情報を渡していました。ストーリーはおそらく皆さんが思っている通りには行かないでしょうが、妻と私はワシントンDCでダックスフントの散歩をしていました。これは子供が生まれる前のことで、ある紳士が私のところにやって来て、ダックスフントも飼っていました。彼はこのダックスフンドを繁殖させたかったのです。それで、妻が彼と会話をしたのに、私はその会話全体を無視しました。そして彼女は私にこの会話について話してくれました。私は彼女が歩いている間、私は公園に座っていて、家に帰るまで何も考えていませんでした。繰り返しになりますが、これは早いもので、2000年で、ロバート・ハンスが逮捕された直後です。しかし、9/11以前に家に帰ると、ロシア連邦、基本的にはロシア大使館から発信者IDボックスに3回電話がかかってきました。ダックスフンドを持った男は大使館で働いていたロシア人だったことが分かった私が思いついたのは、このロバート・ハンスの時代に、人々に対する監視が強化されていたとき、そして今、私はこのイベントでロシア人と拘束されていたということだけでした。ご存知のように、ロシア人は今、私の家に電話をかけています。どのタイプか調べています。それで、私は戻ってこれをFBIに報告しなければなりませんでした。本当に面白かったです。私は彼らの指導に従い、彼らが尋ねました。ご存知のように、私は彼らに私が何をすべきか尋ねたからです。そして彼らは、「これからも続けよう」と言いました。それで、次の週末、ロシア大使館の前で犬の散歩をしていることに気づきました。ご存知のように、行き来していました。ずっと考えてたんだロシア人からも、アメリカのスパイ機関からも、誰か、誰かが私を守ってくれているに違いない。そして、それはただ、最も厄介な状況の1つであることが判明しました。それから彼が来て、私たちは公園に戻りましたが、犬たちは私たちが望んでいたようにはあまり仲良くしませんでした。もしかしたら言葉の壁があったのかもしれないし、それが何だったのかはわかりませんが、それはただすべてのタイミングでした。リスナーの多くは、おそらく発信者IDボックスを覚えているでしょう。ロシア人に対する監視が強化され、意識が高まったときに戻ってきてそれを見ました。私がロンドンにいたとき、ノビチョクで神経ガス攻撃があったのは止まりませんでした。それは2018年のことで、ご存知のとおり、今日のロシア・ウクライナ戦争とその状況、そして最近、米国がそれに取り組んでいるようなものです。だから、スパイゲームが止まらないのは面白いです。そして、あなたが予想していなかったときにいつでもあなたを襲う可能性があります。

ラグー・ナンダクマラ 4:30

絶対に!ああ、それ。それは素晴らしいです。このようなロシア系アメリカ人の婚約って何?ああ、何もない。私たちの犬はただ繁殖したいだけです。それがすべてです。ただの犬の飼育用リングです。

ブライアン・ボーティング 4:38

大変だったのは、本当にできなかったこと、私たちが何をしているのかを妻に伝えることもできなかったことです。妻には次の週末の予定がありましたが、私たちはすでにそこに戻るよう手配していました。でも、ワシントンDCのロシア大使館の前を行ったり来たり、この犬の散歩をしたり、いつか犬を拾って門の向こうに投げ込もうと思ったりして、本当に気まずく感じました。あそこに駆け込んで何かをするつもりだ。しかし、スパイゲームは、予想もしなかったような非常に奇妙なひねりを加えているだけです。そして、ご存知のように、あなたが見ているテレビ番組の多くは、かなり非現実的だと思っています。私は時々見ます。ドラマチックな要素のいくつかは非現実的かもしれませんが、結局何らかの関与や防諜活動に変わるほど小さすぎるものはありません。

ラグー・ナンダクマラ 5:26

それは素晴らしい!さて、ブライアン、今言っておきますが、間違いなくそれが最高です。ポッドキャストの第3シーズンとなる今ゲストの一人が私たちに与えてくれたイントロだけでなく、おそらく間違いなく最高のストーリーでもあります。だから、元ゲストなら誰でも、誰にでも挑戦して、それよりも面白くてクレイジーな体験を分かち合ってください。

ブライアン・ボーティング 5:53

必要なのはダックスフントを買うだけで、そのようなばかげた状況に陥るでしょう。

ラグー・ナンダクマラ 5:59

話していたポッドキャストに話を戻すだけでもいいですね。実際、私が今聞いているエピソードをベースにしていて、その本がベースになっています。「ビリオンダラー・スパイ」を読んだことがあると思います。そして、彼らが最初に資産と関わり、次に情報を交換するために使おうとしているさまざまなスパイクラフトのような説明だけです。クリエイティビティはすごいですよね?子供が遊ぶゲームみたいな感じですよね?きっと、世界でも80年代の最も緊迫した映画館で、情報交換をするためです。

ブライアン・ボーティング 6:33

ええ、クルーの採用プロセスは非常にクリエイティブで、何週間も何ヶ月も費やし、時にはロールプレイングをしたり、参加したり、満足できるやりとりを話し合ったりします。5秒未満続く場所での偶然のブラシの出会いを期待しますが、食料品店や交通渋滞での偶然のブラシの出会いを成功させるために、5、6か月の作業を費やすこともあります。創造性の量だけでなく、それに伴うロジスティクスの仕事も素晴らしいです。

ラグー・ナンダクマラ 7:13

絶対に。つまり、特に映画で見たり、メディアや本で消費してきたものを見たりすると、スパイクラフトの多くは、実際には心理的、身体的な接触などのようなものです。世界がますますサイバー化するにつれて、それはどのようになりますか?そして、スパイクラフトがサイバーに移行しました。それはどのように変わりますか?サイバー世界と歩調を合わせるためのスパイクラフトの進化とは?

ブライアン・ボーティング 7:44

興味深いのは、まだ非常に行動的な要素があるということです。サイバーでもFBIでも、何十年もクリミナルマインドを見て誰もが知っているグループ、行動分析ユニットがあり、彼らにはサイバーを専門とするグループがあります。なぜなら、そこにマルウェアやその他の種類のコードを作成している人がいても、そこには署名があるからです。それは、ご存知のとおり、人々が手を好むように、質問や文書の手書き分析をするのと同じように、コードに署名があるようなものです。そして、さまざまなコード作成者が、うっかりそこのどこかに自分の名前を入れたり、入力しなかったりしますが、うっかりはしません。しかし、彼らは無意識のうちに、その書き方、書かれた文書に A の文字を書く方法、書かれた文書に A の文字を書く方法、誰かがコードでそれを書くのと同じように、自分が誰であるかを識別するのに役立ちます。つまり、書かれたコードやスクリプトを読むことには、行動分析の要素があります。つまり、この分野は成長を続けており、本当に驚くべきことです。

ラグー・ナンダクマラ 8:55

他の行動と同じように、これも身近に存在していると思います。おっしゃるように、攻撃者が残したり、攻撃者が残したり、攻撃者を特定したりするのに役立つようなシグネチャや兆候があります。しかし、サイバー攻撃者の戦術や行動が長年にわたって進化していることにどのように気づきましたか?

ブライアン・ボーティング 9:13

実は、サイバー犯罪から生まれたビジネスモデルがあります。当初を振り返ってみると、最初のサイバー攻撃で私たちが行っていた作業の多くは、Webサイトの改ざんだけでした。今ではビジネスとしては非常にささいなことであり、吸収しやすいように思えますが、実際にはビジネスモデルに移行しています。私は過去10年間、FBIとコンサルタントの両方で、ランサムウェアに取り組んできました。この背後にいるのはまだ人間であり、彼らが事業を営んでいることを認識しておく必要があります。それも同じです。私が最初に配属されたのは、私がFBIに入ったとき、エクストラ・テリトリアル・スクワッドで働いていました。そこでは、FBIの人々のエクストラ・テリトリアル・キュアッドで働きました。時々考える.地球外生命体ですが、領域外です。つまり、私たちが管轄する米国外で、つまり人々が殺害されたり誘拐されたりした国で、FBIが現在米国政府がそれらを調査する管轄権を持っている国では、身代金目的で多くの誘拐を行いました。アフリカでは、どのグループが誰かを誘拐することがわかっていて、彼らが何を望んでいるかを正確に知っていました。知ってるでしょ、彼らは1000万ドルを要求するだろうし、5ドルで和解して人々を無傷で戻せることを知っていました。そして、このグループに情報があったからといって、アメリカの観光客に繰り返しそれを行うでしょう。最近のランサムウェアで起こっていることと同じように、ランサムウェアも起こります。中に入れば分かるよこれはどんなグループでもいいこの件を理解するために、FBIや他の顧問会社の同僚全員と話をしたわ。これがまさに彼らの運営方法です。24 時間以内に、フォローアップメールが送信されます。彼らはこれを脅すつもりだ。彼らは1000万を要求するつもりです。他の人が支払うときに支払う金額は次のとおりです。これが起こることです。ランサムウェアのようにクリアに処理されているか、ランサムウェアのようにクリアに処理されているか、2つ目の攻撃を受けるかのどちらかです。ご存知のとおり、コンピューターのロックが解除されました。しかし、データを破壊したいのであれば、そのサイクルを理解しておきましょう。つまり、これはまさにビジネスであり、サイバー犯罪はビジネスモデルに変わったのです。ほら、北朝鮮が何をしているのか見てください。つまり、北朝鮮が低レベルのささいなサイバー犯罪を通じて資金を調達しているのです。それが、現時点で彼らが自国に資金を提供している方法です。だから、サイバー犯罪は本当はビジネスだと思うんだ。ストーカー事件や、ほら、元カレなどのプライベートな写真の汚い写真を載せているエグゼのことだってね。それは、復讐だ、復讐だ。しかし、それにはある程度のビジネスもあります。彼らはこの人から何かを引き出そうとしています。それがもっとイライラさせたり、お金を払わせたりする可能性があります。ですから、私はそれをビジネスモデルとしてとらえなければなりません。それに対抗するには、それが最善の方法です。

ラグー・ナンダクマラ 12:04

それは本当に面白いですよね?そうすれば、そのビジネスモデルをほぼ複製する、あるいは少なくとも防御側で複製し、そのビジネスモデルをどこに置くのが最適かを特定して、本質的にビジネスを壊したり、ビジネスを妨げたりすることができると思うからです。たとえば、チェーンのどこに自分を置くのか、生産性を低下させるために重点を置いていますか?そういうふうにアプローチしているんですか?

ブライアン・ボーティング 12:29

私はそう思います。犯罪者であるというビジネスモデルから考えると、はるかに安全です。もしあなたが押し入るとしたら、私はこの例をよく使います。例えば、イギリスでコンビニエンスストアに押し入ったり、テストで食料品店に侵入したり、イギリスのテスコからお金を盗んだり、アメリカで711ドルを盗んだりしたときです。押し入って店員から物理的に強盗されたか、店員がいないときに金庫に入って50ドルを盗んだら、大勢の警察が現れます。警察にとってはとても快適で、指紋を採取したり、インタビューしたり、ビデオを引っ張ったりします。しかし、同じテスコ、同じ711で、誰かがサイバー犯罪で50万ドルを盗んだとしたら、ご存知のように、サイバー犯罪の観点から見ると、侵入して盗むと、警察に通報できます。ほとんどの管轄区域では、警察が手を挙げて「どうしたらいいかわからない」と言うでしょう。これが私たちの仕事です。もしそうなら、もちろん、犯罪者にアドバイスを提供しようとはしていませんが、サイバー世界よりも現実の世界で捕らえられがちです。在宅勤務です。コンピューターから実行できます。ここで問題となるのは、地理的な問題であるサイバー世界の人々を犠牲にしているということです。現実の世界では、どこかに行って何かをしなければならないので、自分が住んでいる都市や町だけでなく、犠牲者のプールが世界になったり、旅行してどこかに行く必要がなくなったりします。だからこそ、これまで無法者のオートバイギャング組織であったスマートな組織が、サイバー犯罪に移行するのを見たことがあるでしょう。ご存知のように、彼らは今でも多くの麻薬や暴力を行っていますが、サイバー犯罪も行っています。なぜなら、サイバー犯罪は安全で収益を上げているからです。だから、やりたい世界だね。しかし、私はいつもサイバー犯罪をまずビジネスとして捉えています。なぜなら、サイバー犯罪は理解しやすく、その方法でそのビジネスの一部を切り分けるようにしているからです。

ラグー・ナンダクマラ 14:21

ええ、私も同感です。サイバー犯罪は究極の在宅勤務だというあなたのアナロジーや言い方が好きですよね?最終的には、利益を生み出すものから非常に遠く離れていてもかまいません。そこから非常に安全ですが、ある程度保ち、毎日持ち帰っていますよね?

ブライアン・ボーティング 14:40

FBIに入る前は、大学で、都市で、州で、警察官でしたが、あなたは本当に管轄区域に集中しています。つまり、イギリスに同じような人がいる場合、英国の方が43の機関しかなく、もう少し調整が行き届いていれば少し優れていますが、米国には17,000の法執行機関があります。そして。そして、出血しているものや、人の家から物理的に盗まれたものを心配しています。そして、いったんある都市から別の州に渡ると、それを行うには警察署のリソースが浪費されてしまいます。つまり、サイバー犯罪の根底には、強制されないまま放置されているのです。また、犯罪件数が多い場合でも、連邦レベルでの起訴基準を満たさない場合があります。例えを盗んでアメリカとの国境でモンタナ州かアイダホ州で100ポンドのマリファナを見つけたことがあるとしたら、それは大きなケースです。もし、あなたが国境警備隊員で、南の国境で誰かに100ポンドのマリファナが狙われているのを見つけたら、それは警告のようなものです。「ねえ、みんな、それを注ぎなさい。それを取り除いてください。」ご存知のように、犯罪が発生するのは各連邦直轄地だけで、それに関連するドル価値が検察を駆り立てるようなものです。つまり、ニューヨーク南部地区のニューヨーク市では、ホワイトカラー犯罪を5万10万ドルで起訴するつもりはないでしょう。訴訟を起こす前には、おそらく100万ドルの敷金があります。そして、それがどこにあるかを知っていれば、そこで活動でき、ほとんどの場合免責される仕事に就くことができます。

ラグー・ナンダクマラ 16:18

ええ、あなたがそれを表現する方法が本当に好きだったよね?ある種の、その管轄外から何かを標的にしている場合、法執行機関からほとんど逃れていませんが、それについて何かをするための法執行機関のコストは非常に高くなります。つまり、その転換点に達するまで、ほとんど同じことを繰り返すことができます。

ブライアン・ボーティング 16:43

実際に見るカリフォルニアのカリフォルニアでは、万引きの容疑で逮捕された金額の基準が引き上げられました。950ドルとか、それ以下のものはただのチケットでした。それで、万引きが屋上を駆け巡りました。みんながこう言ったからです。「まあ、できるよ。彼らはそれについて何もするつもりはありません。」つまり、私たちはサイバー犯罪に巻き込まれているのです。それについて何かをする人が十分ではありません。

ラグー・ナンダクマラ 17:03

じゃあ、その件だけを考えてるんですか?よくある質問ですが、ほぼ毎月のように感じます。他の記事があったり、ジャーナリストが「ああ、そうだね」と言ったりします。ランサムウェアのように、組織は支払いをすべきか、支払いを拒否すべきか、正しい、とか、支払いをしたら罰金を科されるべきか?しかし、ランサムウェアにお金を払ってはいけないという法律を制定すべきでしょうか?身代金は支払われますよね?その上に座る場所は?

ブライアン・ボーティング 17:33

私がFBIにいた時は、その件についてじっくり考えることもできなかったし、捜査中だったので話すことも許されなかった。私は企業や組織にそのようなガイダンスを与えることは許されませんでした。彼らは自分でその決定を下さなければなりませんでした。その後、サイバーセキュリティコンサルティングの仕事に転向し、結局その職に就く機会がかなり多くなり、席に座って意思決定を主導するCEOやCFOの話を聞くようになりました。本当に個々に落ちてきます。ある法律事務所がランサムウェアの被害に遭い、報酬を支払わなければ存在しなくなるというケースを扱っていたので、毛布をあげることはできないと思います。正しい?まさに、彼らの専有情報や弁護士の依頼人の情報が盗まれたので、それが公開されたことによる評判の低下です。情報にアクセスできないだけでなく、ビジネスの観点から見ると、その情報を取り戻すことができなければ存在できませんでした。情報を取り戻せると感じる唯一の方法は、身代金を支払うことでした。バックアップを取ることでより良い仕事をした人とそうでない人がいます。企業ができる最悪なことの1つは、データを保存するだけで、もう必要ないとわかっているのに、そのデータをそのまま保持することです。なぜなら、ある種の侵入やランサムウェアの被害に遭った場合、何十年にもわたるデータがあり、そのデータを知らない何百万もの顧客に通知する必要があるからです。あなたの元顧客、彼らはどこかの顧客でもありません。あなたはもう彼らとは何の関係もありませんが、あなたがそれを取り除かなかったので、今は彼らは犯罪の被害者になっています。しかし、あなたにはそのための準備が整っている会社があります。データガバナンスとクリーンアップをうまく行い、ランサムウェアに見舞われた場合、自己回復と再構築が可能になり、数か月分とは対照的に、1日分の作業量を失う可能性があります。だから私は座って両側を見てきました。身代金を払うつもりはないとは決して言いません。誘拐された例に戻ると、私が働いていたアメリカ人は時々身代金を要求していました。ほら、身代金が支払われたのは、5,000ドルまで引き下げるからですが、ねえ、また5,000ドルまで引き下げられますが、それでもガイダンスを出すことはできませんでした。政府関係者として、人々はそれを個別に決定しなければなりませんでしたが、事件を解決するためだけにそれが最善の方法である場合もありました。

ラグー・ナンダクマラ 19:47

さて、この特定の項目について最後に言っておきたいのは、ランサムウェアによる支払い禁止の話ですが、犯罪者を遠ざけることになると感じているため、人々が想定しているほど生産的ではないと思います。しかし実際には、組織が微妙な立場をとり、最善の利益となることを行うことが難しくなると思います。

ブライアン・ボーティング 20:13

意外なことに、それはテーブルから主要なツールを取り去ることになるでしょう。さて、コンサルティングをしていると、ランサムウェアの被害者になったときに法執行機関に働きかけたくない人がたくさんいることがわかりました。だからFBIで見たものだって知ってたしかし、そこには、私が法執行機関が関与していないところで働いていた人がたくさんいるので、会社は自分たちだけで取り組むという戦略的決定を下しました。つまり、その支払いをテーブルから外すと、被害者の被害者であり、ビジネス上の決定を下した人が二重被害者になる可能性があります。そして、突然、その人が再び罰せられることになります。そのため、ビジネスツールが本当に必要なくなります。インセンティブを与えることはできませんよ。そして、サイバー保険は、ご存知の通り、支払い、支払い者、支払い方法、支払い前にあなたが何をしたかを確認するための一種のワイルドウェストのようなものです。つまり、特定の方法で支払いを行うインセンティブをなくすこともできます。でも、それが作れるかどうか分からないけど。繰り返しになりますが、もしあなたの子供が誘拐されて、彼らがISISに拘束されていて、あなたがアメリカ人であるはずがないとしたら、私たちはISISにお金を与えるべきではありません。もし私の子供を取り戻す方法が支払いだったら、そして私がテロ組織に物質的支援を提供していたとしても、私は子供を取り戻すつもりです。ですから、選択肢から外すことが企業にとってより良いものになるかどうかはわかりません。

ラグー・ナンダクマラ 21:43

ええ、いいえ、同意しますよね?そして、組織が最大限かつ最も慎重な意思決定を行えるようにするには、そのような柔軟性が必要だと思います。そうでなければ、彼らには、物事を十分に考えるための武器庫やオプションがないと思いますよね?そして、それはそうです、そして彼らは最適ではないアプローチを取っているかもしれません。サイバー保険について触れたり触れたりしました。保険とか色々話してきて、サイバーセキュリティベンダーとしてはかなりグレーゾーンだよね?コントロールができているのかとか、そういう会話をしているのはいつも面白いです。サイバー保険が下がっているのでしょうか?どれくらい?さまざまなシナリオ、支払いなどにおける保険会社の義務は何ですか?たとえば、サイバー保険全般、今日の市場について、それが組織にとってのメリットであるかどうか、適切な種類の補償を提供しているかどうかについてどう思いますか?これはとても広大なテーマです。あなたの考えは?

ブライアン・ボーティング 22:45

とても退屈だし、私があなたにあげるものすべてに気づいたと思う。ちょっと現実の世界に持って行きます。それで、私の保険には、10代のドライバーが2人と、若い双子のドライバーが1人います。だから私の自動車保険は、もし彼らが運転していて事故に遭ったら。シートベルトを着用していなくてもそうすべきだし、そうだといいんだが。今でも保険でカバーされています。事故で私たちの過失があっても、補償は受けられます。サイバー保険では、多くのプロバイダーやブローカーが、私たちが必要としていたことをまだ実行していないかどうかを確認する初期段階があることがわかりました。今度は戻ってサイバー保険を読まなきゃいけないけど自動車保険みたいなものでシートベルトをしなきゃいけないって書いてあるでしょシートベルトを着用すべきだし、着用すべきだ。しかし、サイバー保険が登場し、そのうちのいくつかでは、彼らが最初にすべきことは、私たちがどうやってこれをやり遂げるのかを理解しようとすることです。サイバーでの支払いにはコストがかかりすぎて、彼らが何をするかも非常に限られているので、何かありませんでしたか?そのため、彼らは誰かを連れてきますが、他に10件の問題が見つかった場合でも、何が問題だったのかを突き止めてその特定の問題を軽減するか、または復旧して稼働させるか、バックアップして稼働させるか、復旧とは異なりませんし、回復力は通常、何ヶ月も何ヶ月もかけて修正されます。そのため、対象範囲が限られているため、役立つ場合があります。しかし、インシデントが発生してから4、5日が経過しても、サイバー保険が何かを支払うのか、それともどのように補償するのかをまだ把握していないことがよくあります。つまり、300万ドルの身代金を支払うため、この分野は進化しつつあり、非常に高価になっています。ご存知のように、私たちの身代金は、ポリシーの対象とならない限り、私たちの身代金ですか?まあ、あなたがこれをしたなら、そうでしょう。ですからポリシーが複雑になり、ますます複雑で限定的になり、会社に要求するようになりました。もし私が、もし私の子供が通りを運転していたら、フェンダーベンダーを雇って、シートベルトを着用していなかったら、ごめんなさい、シートベルトを着用しなければならなかったようなものです。今、あなたは医療費などすべてを持ち出しているので、私たちはこの特定の費用を支払うつもりはありません。または、ええ、あなたはこの特定の交通法に従っていませんでした。まあ、それが私たちが事故に遭った理由です。ですから、ええ、それは非常に複雑な世界だと思います。もしあなたが今サイバー保険に加入していて、その保険を維持できるなら、私はそれを維持します。なぜなら、それがより高くなることを保証することしかできないからです。

ラグー・ナンダクマラ 25:14

つまり、サイバー保険の複雑さについておっしゃったように、実際にカバーされる内容という観点からおっしゃったことですが、誰もが知っているように、サイバーインシデントの数は、文字通り毎日増加しているからです。それを感じると、私たちはますます多くのサイバー保険を購入していますが、あなたのコメントは、サイバー保険への投資の多くが、おそらく私たちが思っているような補償を提供していないことを暗示していると思います。これは心配な点だと思います。というのも、私はおそらくこのレベルで補償を受けることが期待されていると思いますが、実際にはここで補償されています。つまり、支払うのは1人だけで、保険会社ではないという大きなギャップです。

ブライアン・ボーティング 25:59

サイバー保険については多くの誤解があります。そこで、私たちがコンサルタントとして行ったことの1つは、サイバーインシデントとサイバー保険契約について説明することでした。そして興味深いことに、最も難しいことの1つは、会社が時々ポリシーを見つけることでした。そして、その時、すべてのシステムがランサムウェアでロックアップされたわけでもありませんでした。「オッケー、サイバー保険はどこだ?」って思ったんだ。誰が持っているか知らないが、ワシントンDCが持っている。いいえ、誰もそれを見つけることができません。コンサルタント側から見ると、それは素晴らしかったです。なぜなら、彼らがポリシーを見つけようとしている間、4時間分の請求ができるからです。しかし、それを取り出して、何がカバーされ、何がカバーされていないのかをウォークスルーして理解しようとすると、非常に複雑になりました。そして、フォローアップの電話を何度も受けなければならず、ブローカーでさえ、「まあ、これをやったのか、あれをやったのか」と言うこともありました。非常に複雑で、ほとんどの場合、私がコンサルタントとして関わっていた仕事にサイバー保険が使用されていた場合、ほとんどの場合、インシデント対応を行うには、他の誰かを雇うか、保険の対象とならない追加作業のために自己負担で支払う必要がありました。しかし、それは必ずしも数か月後にかかる回復と回復力のすべてをカバーするわけではありません。前に話したその法律事務所はサイバー保険に加入していませんでしたが、ランサムウェアを行っている間、彼らのためにまったく新しいネットワークを構築する必要がありました。クライアントが通信できるようにまったく新しいネットワークを構築していました。古いシステムを廃棄して新しいシステムを構築する方が簡単でしたが、それは保険契約の対象にはなりませんでした。

ラグー・ナンダクマラ 27:32

それはおかしい。つまり、これは文字通り、組織にとって最悪のシナリオのようなものです。なぜなら、そこにあるものは信頼できず、ゼロから構築しなければならないため、文字通り、インフラストラクチャ全体が価値がないということです。つまり、絶対にやりたくないことだし、やりたいことなんです。でも不思議に思うのは、サイバー保険の全体的な概念は明らかにあり、問題は、組織としてそれを持っているかということです。普通保険に含めるべきではないというようなものでしょうか。適切な補償を受ける専門のサイバー保険に加入する必要があります。しかし、この結果、私たちはおそらく落ち込んでいると思いますか、それとも実際に悪い習慣を身につけていると思いますか?つまり、私たちは環境にあるリスクを軽減することを目指していて、それに投資をしているということです。その代わり、本質的に受け入れるか、修正していない本質的に脆弱性のリスクを移転するだけのサイバー保険契約を見つけることにはるかに重点を置いています。私たちが間違った問題を解決しようとしていると思いますか?

ブライアン・ボーティング 28:45

はい、保険は決して実現しないので、それが解決策になることは決してありません。ええ、私たちがリスクについて話すとき、リスクを受け入れるか、排除するか、移転するか、譲渡することができます。私が取引したほとんどの企業、ご存知のように、フォーチュン500企業には当てはまりませんが、それに対処することはできません。そして、ご存知のように、ほとんどの中規模企業は、そのリスクをただ移転したくありません。基本的に、「私は会社をあきらめても構わないと思っている」と言っているからです。一日の終わりに金を払ってくれるといいんだが。日常業務に取り入れる必要のある投資への警鐘となるはずです。これは、組織内で日常的に使用されているインフラストラクチャ、セキュリティ、およびデータプライバシーです。問題は、上手になればなるほど、インシデントに遭う可能性が低くなることです。そして、インシデントがなければ、「ああ、私が何からあなたを救ったのか見てください」と示すことはほとんどありません。つまり、ええと、それは両刃の剣のようなものですが、すべての企業が組織の使命とビジョンに対して何らかの責任を負っているほど相互に関連している世界では、投資することはできません。労働力や労働力開発に投資するのと同じくらい、それに投資する必要があります。ソフトスキルのために、さまざまなトレーニングに人を派遣します。リーダーシップ研修に人を派遣していますか?それとも、ポリシーの書き方やエンジンの修正方法ではなく、技術的なスキルではない他のことを担当させていますか?しかし、こうしたソフトスキルの一部に投資することは、組織という大きな視点から投資することと機能的に同等です。

ラグー・ナンダクマラ 30:23

そして、私はこれらの方針に沿って考えますよね?つまり、あなたはとりわけ、米国の国家サイバーセキュリティ戦略などについて話しました。この部分では、内部、つまり米国の独自性、つまり公共部門と民間部門について取り上げていることを私は知っています。コントロールと防御が強化されますよね?では、そのような戦略はどうなっているのでしょうか?では、どうやって本物の処刑に踏み切るのでしょう?つまり、サイバーリスクの軽減に段階的な変化が見られるということです。

ブライアン・ボーティング 30:57

これはまさに C スイートレベルです。トップダウンでなければなりません。面白いことに、私がFBIにいたとき、2012-13年に、40の米国機関からなる全国サイバー調査合同タスクフォースを運営していました。その後、いくつかの外国機関を招き、主に中国、ロシア、北朝鮮、その他いくつかの場所に焦点を当てて、さまざまな脅威に協力しました。しかし、以前は常にCEOを招いていましたが、サイバー業界が民間セクターの参入を始めたのはまさにこの時期でした。それ以前は、ある会社に出かけて、「ねえ、あなたのネットワークにロシアがいることを知らせたいだけ」と言っていました。すると彼らはこう言うでしょう、「じゃあ、どういう意味?そしてこう言います。「まあ、これ以上は言えません。すべて機密扱いですが、念のためにお伝えしておきます。」あそこで警報が鳴ったようなものです。そして、私たちはギビングを始め、いつかクリアランスを与えることができるようになるプロセスに入りました。私たちは人々を連れてきて機密扱いのブリーフィングを行い、具体的に「これが何が起こっているのか」と具体的に言います。そこで、経営幹部にブリーフィングを始めました。ねえ、世界で何が起こっているのかを知る機会が必要だと気づきました。これらの侵入や問題の多くの被害を受けた民間部門がいると、彼らは私たちを取り戻すことができるでしょう。経営幹部室は持ち込むべきでしょうか?繰り返しになりますが、10年ちょっと前、これらのCEOの中には、IT部門でそれが起こっていることをまったく知らなかった人もいました。その頃は、「ああ、そうだね。うん、わかった。私のIT部門は、それを持っていると言っています。」それは信頼でしたが、信頼と検証ではありませんでした。それはただ「ああ、IT」で、すべての答えであり、「IT担当者、ああ、IT担当者、IT担当者」でした。しかし、彼らはIT担当者が誰なのか教えてくれませんでした。彼はまだ組織の上級メンバーでしたが、クラブに連れてこられませんでした。私は過去十数年にわたってその変化を目の当たりにしてきました。そして、経営幹部がサイバーセキュリティへの関与をはるかに強めているところを目の当たりにしてきました。1つは、そうしなければならないからです。SECや他の人々によって規制されているため、政府の適切な介入や問題に対する規制上の修正の例になると思います。繰り返しになりますが、これらの多くはフォーチュン500企業であり、CSOはまったく知らなかったことを覚えています。だから私たち、たぶん、ある種のサイバー防衛があると思います。ご存知のように、彼らは知らなかったようです。しかし今見てお分かりのように、コンサルタントの市場全体が、外に出て、経営幹部レベルでサイバーに精通していることを人々にスピードアップさせるだけの簡単なCスイートのようなものがあるのです。しかし、経営幹部レベルで信じられなければ、対処されることは決してありません。組織の面倒を見ることは決してありません。それを押し上げるわけにはいきません。なぜなら、それは収益源でもなく、隠れた間接的な収益源だからです。

ラグー・ナンダクマラ 33:45

はい、はい、絶対に、ええ。私も同感だよね?そして、サイバーという言葉が、単なるIT機能の問題というよりは、酷使され、取締役会レベルの懸念事項として使われるようになったという変化は、大きな影響を与えたと思います。しかし、私たちはそうだと思います。しかし、別の言い方をすれば、セキュリティリーダー、CSO、CSO、CSOなど、タイトルが何であれ、彼らが懸念していることの1つは、セキュリティと同じように必ずしも予算不足に悩まされるわけではない機能ですよね?しかし、問題なのは、投資に使用している予算が、脅威や攻撃のリスクを大幅に軽減していることをどうやって知ることができるかということですよね?あらゆる種類のグラフが表示されるからですよね?サイバー環境に関する最新の調査を引き出すと、2本の直線が見えますよね?一つはサイバー投資ですよね?いいか、いい感じの指数関数的成長チャート、そしてサイバー攻撃のコストですね。成長チャートもいいですよね?そう, いつやるの.その変化。サイバー投資がサイバーフラットライニングのコストにつながり始めるのはいつ頃ですか?

ブライアン・ボーティング 35:07

本当に企業リスクに足を踏み入れる必要があると思います。ご存知のとおり、戦略管理では、組織の他のすべてのリスクとともにサイバーも考慮する必要があります。そうすれば、すべてのビジネスマネージャーが、マーケティング、デリバリー、サプライチェーンなど、ビジネスが何をしなければならないかにかかわらず、企業全体のビジネスマネージャーに目を向ける必要があります。そうすれば、リスクをランク付けするときに、ITがすべてに影響していることがわかります。ほら、あなたが人事部のリーダーで、採用から退職まですべてを担当しているのなら、ゆりかごから墓場へ。人事部門は、IT部門であり、ITリスクを抱えている人事部門は数多くありますが、IT担当者がすべてのリスクを負うわけにはいきません。人事部はそのリスクを負わなければなりません。彼らは、「ああ、私たちはここで北朝鮮のリモート従業員を雇っている。彼らは皆インドに拠点を置いていると思っていた」と言わざるを得ない。ほら、それは人事の問題だ。しかし、それにはITリスクがあります。あるいは、最高財務責任者(CFO)は、ご存知の通り、アウトソーシングをしていて、契約の責任者かもしれませんが、私たちがだまされていることに気づいています。ある企業から見て、CISOに「ねえ、私はこのリスクの所有者ではない」と言わせます。私はあなたのアドバイザーとなり、こうしたリスクのすべてについてお手伝いします。」というのは、組織内のITやすべてのことを担当するという、単調な役割とは対照的です。ITは、人的資源であれ財務であれ、企業リスク戦略の観点から見ると、単にリスクと呼んでいるリスクの多くを取る唯一の方法だと思います。なぜなら、それは実際にはITリスクではなく、人事リスクでも財務リスクでもあり、サプライチェーンリスクでもあり、CISOとしての私のものではなく、0と1とワイヤーが付いているからです。それはあなたのリスクです。私はあなたがそのリスクを管理する手助けをするためにここにいますが、すべての負担と責任をCISOに負わせるわけではありません。

ラグー・ナンダクマラ 37:17

それは素晴らしい点だと思います。繰り返しになりますが、ここで説明していることは、組織の視点のような進化に過ぎないと思いますよね?セキュリティが単なるIT問題にとどまらないものとして捉えられてきたのと同じように、サイバーリスクでさえ企業リスクの中核部分として、さらに包括的に捉える必要があります。また、サイバーリスクが他の問題にどのようにつながり、事実上孤立しているものは何もないということです。

ブライアン・ボーティング 37:46

ええ、私がニューヨークのバッファローでFBI事務所を運営していた頃は、毎週月曜日の朝には、すべての指導者がそこにいました。それで、部屋には40人くらいいて、私たちはあちこち回って色々な話題について話し合っていました。サタデー・ナイト・ライブのスキップに出ていたような感じでした。テロ対策の話をしていた男を見回して、その人が犯罪者について話し、それからカウンターインテリジェンスについて話し、広報担当者を獲得して、サタデー・ナイト・ライブのIT担当者に会ったからです。そして、みんなが頭を下げてメモを取り始めるのをほとんど見ることができました。たとえば、いつ彼がそんなに技術的なことについて話すか知っていますか、私は気にしません。私たちのITが機能しなければ、人々は時間を費やすことができなかったために給料をもらえませんでした。ええ、車を修理することはできませんでした。なぜなら、ご存知の通り、アプリを通じて車のスケジュールを設定しなければならず、IT担当者は部屋で最も重要な担当者でしたが、人々は自分の仕事全体、機能全体がキーボードを指で叩いて何かをする能力に基づいていることを認識していなかったからです。当社のアナリストにとって、ダークウェブ上のインテリジェンスを調べる場合でも、ほとんど見ることができたはずです。そうすれば、誰もが時間をかけて自分の席やその他すべてを並べ替えるでしょうが、自分の役割が組織内の他のすべてをサポートする役割であることを認識すると、その人の仕事の重要性が本当に高まります。そして、何かがダウンするリスクは、本当に彼のものなのでしょうか?つまり、コンピューターがダウンしたら、ええ、彼がその人だ。彼は怒られるだろうが、車は修理されないだろうし、事件は解決されないだろうし、人々は給料をもらえないだろう。

ラグー・ナンダクマラ 39:17

ええ、ええ、絶対に。実際、そうです、ある種のリスクとリスク管理について話しているのです。実は面白いものがあるんです。ロンドンにいた頃から、ほんの数日前にLinkedInに投稿したんですね。これはグレンフェル・タワーの悲劇の直後の話で、ここでの人類の大きな悲劇のひとつです。あなたの言葉を引用したり、LinkedInを引用したりすると、「ロンドンのグレンフェルタワーを通り過ぎて外のイベントに向かう途中、悲劇的に多くの命を奪った恐ろしいインフェルノを目撃しました。この壊滅的な出来事は、最悪のシナリオは単なるありそうもないという仮定に根ざし、最悪のシナリオはリスク管理としての単なるありそうもないという仮定に根ざした複数の失敗の結果でした。安全・セキュリティ業界の専門家の皆さん、私たちの責任は、ある程度それを認識することです。災害が発生する可能性が非常に低いように思えても、緩和努力は非常に重要です。」そして、私がこれを引用する理由は、サイバーリスクとサイバー攻撃に適用する場合、これが非常に重要だと思うからです。攻撃が成功する確率は低いがゼロではないと思うからです。そして、私たちが抱えている課題は、防止、防止、防止に懸命に取り組んできたため、その予防が失敗したときの適切な準備が整っていないことです。そして、失敗すると大きな意味で失敗します。だからこそ、影響をどのように抑えるかという点で、緩和策にはるかに多くの投資が必要なのです。正しい?それがあなたの視点ですか?

ブライアン・ボーティング 40:53

です。私の法執行機関でのキャリアの中で、私の良心に本当に衝撃を与えた2つの最も衝撃的な事件に話を戻します。それらは信じられないものでした。1995年のオクラホマシティ爆破事件でした。当時私はアラバマ州の警察官でしたが、ニュースを聞いて建物を見て、それが可能だとは思いもしなかったのを覚えています。そしてその後、ご存知のように、9/11当時、私はワシントンDCにいて、最初の飛行機がタワーに衝突するのを見ました。それは恐ろしい悲劇でした。そこでのひどい事故。その後、もう一方がヒットしました。わかってた、わかった、それはまずいそれから私は国防総省への第一対応者でした。しかし、それは本当に私の良心に衝撃を与えました。それは私が考えていなかったことであり、それが起こる可能性についても考えていませんでした。つまり、それはあなたが話していることであり、ごくわずかな可能性です。今では、保険やヘルスケア業界で皆さんが目にするすべてのことについて、ある程度準備が整いました。CEOが殺されたんだけど処刑なんて考えてもみなかっただろそれが起こる可能性はごくわずかでしたが、実際に起こりました。そして今、行動が変わりました。昔にさかのぼって、CEOにブリーフィングをしながら人々に話していました。ユーモラスに作ろうとしたんです。まるでAAミーティングのようで、「サイバー攻撃の被害者になっても大丈夫」と言わせました。サイバー攻撃の被害者になっても大丈夫です。」それはある種の標準だったので、ああ、私たちはこれまで一度もやったことがありません。これもまた、サイバー犯罪で起こっていたことの進化であり、認識は、私たちが被害者になることは決してできないということでした。なぜなら、私たちはどんな種類の攻撃の被害者にもなれないからです。だから彼らは私たちが被害者にはなれないと言うでしょう。たくさんの企業がそうだったので、奥の部屋に案内して、「ねえ、まあ、それがどこにあるか見せてあげよう」と言いました。ご存知のように、中国はあなたのネットワークにポップポイントを設定しています。ああ、なんてこった。ですから、サイバー攻撃の被害者になっても問題ありません。それを軽減して対応する準備ができていなくても大丈夫ではありません。つまり、すべての企業、つまりあなた、すべての企業がサイバー攻撃の被害に遭っています。知っていようがいまいが、そうではありません。以前は評判を汚すようなものでした。今では、サイバー攻撃の被害に遭ったことは問題ありませんが、10年分のデータを保持していたか、顧客データを失わなかったか、適切に暗号化されていました。もし間に合えば、私は30歳で、32歳で、32歳の銃を持った男だ。通りを歩いていると、今でも犯罪の被害者になりかねません。さて、私がそれにどう反応するかによって、ご存知のように、もし私が地面に倒れて胎児の体位を把握し始めたら、泣き始めれば、それが一端のようなものです。でもね、誰かが私の顔に銃を突きつけてる。それに反応する銃がないから、財布を渡すんだ。私は彼らが欲しいものは何でもあげます。私は去ります。私は生きている。私が勝つ。その後、クレジットカード、運転免許証、その他すべてを回収できます。では、その攻撃にどのように対応しますか?しかし、被害者であることはかつてあなたの評判を傷つけるものでした。少なくとも人々はそう思っていました。だから、自分ができると認めるだけで、その出来事にどう反応するかによって、人々があなたをどう見るかが決まる。

ラグー・ナンダクマラ 43:51

ええ、それは見事に正されていると思います。それはまさにゼロトラストアプローチをとるようなものだと思います。サイバーセキュリティ防御の構築方法を知らせるためのゼロトラスト戦略のようなものです。繰り返しますが、それもその根底にあると思いますよね?これは、攻撃者が組織の環境に侵入する方法を見つけるという事実に根ざしていますよね?ゼロトラスト、つまりゼロトラストの採用とは、どうすれば彼らが自由に動き回ったり物にアクセスしたりできないようにするかが重要ですよね?誰かが侵入者になり、私たちの環境にいて、彼らができることを制限できることに備えていますか?また、サイバー・レジリエンスの推進力の高まりなど、全体として、世界経済フォーラムのように下向きに推進されていると思いますよね?繰り返しになりますが、それと非常に一致しているのは、絶対に大丈夫だということです。実際、あなたはおそらくサイバー攻撃の被害者になるでしょうが、それに対処する準備ができていないとは言えません。そうだね、あなたが言ったブライアンの発言はとても強い。だから、とても感謝しています。そして実際には、私たちの目の前にあるその点です。まとめると、一つだけ聞きたいことがあるんだけど、あなたはエクストラ・テリトリアルって言ったけど、君は舌が滑って、地球外生命体って言ったんだ。では、エリア51には実際には何があるのでしょうか?

ブライアン・ボーティング 45:13

昔はそこで働いていた保安官を知ってたええ、実際には学生の一人、クラスの一人でした。おもしろいのは、覚えていらっしゃるかもしれないこの「Xファイル」という番組があったからです。おそらくそうなるでしょうし、おそらく前後に再生されるでしょう。FBIは持ってなかった、彼らはXファイルを持っていない。X ファイルはありません。送信先となるファイルはありません。これは円形ファイルまたはゴミ箱とも呼ばれます。しかし、入ってきたものはすべて記録され、書き留められます。ある時、私はある事件に遭遇しました。誰かが報告していて、彼らは域外の何かを見たと報告していました。そこで、彼らがそうしたので、私たちはそれを書き留め、ゼロファイルに入れました。そうすると、その人が振り向いて情報公開法の申請書を提出し、情報公開法の申請書を提出して、それに関する情報があるかどうかを確認しました。そして、それをゼロファイルに入れたので、彼自身の懸念が裏付けられました。彼は「ああ、彼らはそれについての情報を持っている」と言ったが、それは彼の情報に過ぎなかった。それから彼はそれを私に返して、「ああ、もっと食べなきゃ」と言いました。しかし、彼が情報提供者を提出したので、要求が寄せられたおかげで、今ではさらに多くの情報が得られました。つまり、この循環報告だけでした。そいつは、「いや、彼らは持っている、ええ、彼らはこれに関する情報を持っている」と言うでしょう。まあ、まさにそうだね、だからそういうふうに広まるのがおもしろい。しかし、現在の無人航空機の世界や、ニュージャージー上空で起きていることや報道されていることを目の当たりにして、アメリカで宇宙軍が創設されたことで、これから起こることを学び、見る機会があります。サイバースペースの物理的な世界についてたくさん話しましたが、Uberや他の企業を見ていると、地上と建物の上にはこれから変わる世界があります。ご存知のように、あちこちに人が飛んでいるのを見始めています。つまり、オクラホマシティと9/11について話した内容の先に、またしてもまったく新しい世界が入り込んできました。私が初めて会ったとき、誰か知っている、ほら、私の娘が空港から降りてきて、こっちの玄関先を飛んでいるドローンで降りてきたとき、意識に衝撃を与えました。つまり、私たちはそうではありません、私たちはそのようなことからそれほど遠くありません。

ラグー・ナンダクマラ 47:16

もちろん、ブライアン、ポッドキャストで一番面白い話をしてくれて、あなたの経験についてお話しできて嬉しかったです。しかし、それ以外にも、サイバー保険、サイバーリスク軽減、レジリエンスの構築、攻撃者に対する私たちの考え方など、非常に洞察に満ちた視点がたくさんあります。お時間をどうもありがとうございました。

ブライアン・ボーティング 47:43

機会を与えてくれたことに感謝します。また、他の人が自分自身と組織のためにできる限り最善の決定を下せるように、できる限り最善の情報を入手できるようにしてくれてありがとうございます。だからありがとう。

ラグー・ナンダクマラ 47:53

どうもありがとう、ブライアン。さらなる情報とゼロトラストのリソースについては、今週のThe Segmentのエピソードをご覧いただきありがとうございます。illumio.comで当社のウェブサイトをチェックしてください。LinkedInやIllumioのTwitterでも私たちとつながることができます。今日の会話が気に入ったら、ポッドキャストを入手できる場所で他のエピソードを見つけることができます。ホストのラグー・ナンダクマラです。すぐ戻ります。