損失のコストはいくらですか?

0:00:00.0 ラグー・ナンダクマラ: 「セグメント」、「ゼロトラスト・リーダーシップ」ポッドキャストへようこそ。私はあなたのホストで、ゼロトラスト・セグメンテーション企業であるイルミオのインダストリー・ソリューション責任者、ラグー・ナンダクマラです。今日は、医療機器とヘルスケアOTセキュリティのパイオニアであるCyleraのチーフセキュリティストラテジスト、Richard Stayningsが加わりました。リチャードは、ヘルスケアおよびライフサイエンス業界全体でサイバーセキュリティ改善の思想的リーダー、作家、パブリックスピーカー、アドバイザー、そして提唱者として世界的に有名です。デンバー大学では、さまざまな医療セキュリティワーキンググループに参加し、大学院でサイバーセキュリティと健康情報学の教鞭をとっています。本日、リチャードは私たちに加わり、過去30年間にCISOの役割がどのように変化したか、現代の医療機関が直面しているITの課題、そして今日のサイバー犯罪の状況について話し合います。

0:0:54 ラグー・ナンダクマラ: こんにちは、リチャード。お話しできて光栄です。このポッドキャストにご参加いただきありがとうございます。つまり、私はあなたの経歴、履歴書、ウェブサイトを見てきましたが、あなたはかなり輝かしく名高いキャリアを歩んできたと言うのは非常に控えめな表現です。それではまず、サイバーセキュリティの旅をスタート地点から現在に至るまでご案内することから始めましょう。

0:01:19.3 リチャード・ステイニングス: それを全部録音するのに十分なテープがここにあるといいんだけど...

0:01:21.4 ラグー・ナンダクマラ: ちなみにそれがポッドキャストです。それがエピソードです。

0:01:25.6 リチャード・ステイニングス: 私がサイバーセキュリティ分野に携わっているのはおそらく30年とだけ言っておきましょう。私たちのいる分野がサイバーセキュリティと呼ばれるずっと前です。それは一種の情報セキュリティとコンプライアンスとリスクであり、これらすべてが組み合わさって、今日私たちがサイバーセキュリティと呼んでいるものになりました。私はこれまで多くの業界に焦点を当てる傾向がありました。これまで金融サービス、医療機関、その他の業界で CISO、最高情報セキュリティ責任者を務めてきました。私はデンバー大学でサイバーセキュリティと健康情報学の非常勤教授として教育に多くの時間を費やしました。Cyleraでの私の役割の一環として、世界中で素晴らしいカンファレンスをたくさん開催しています。これについてはもう少し詳しくお話しします。私はキャリアを通じて、サイバーセキュリティとヘルスケアの接点に重点を置く傾向がありました。その理由の1つは、NHSで働いていた父親のおかげで、医学辞書を口にいれて育ったからです。ここでもイギリス訛りがわかるでしょう。HIPAA 評価が 1996 年に米国で発表されたとき、そうした評価を行うことができたのは私だけだったという理由もあります。それで、実はここでひとまとめになってしまいました。

0:02:33.0 ラグー・ナンダクマラ: 実際に聞こうと思っていたんだけど、どうして医療保安の仕事に就いたの？でもそれについては部分的に答えましたが、それについてはまた戻します。キャリアについて話していたとき、あなたは複数の組織、さまざまな業種でCISOの役割を果たしているようなものについて話していました。もちろん、あなたはこの分野に30年以上携わっています。では、その期間に CISO の役割がどのように変化していくのを目の当たりにしてきましたか?

0:02:54.6 リチャード・ステイニングス: ああ、特に過去5〜10年の間に、絶対に抜本的な革命が起こりました。セキュリティリーダーは、ここで総称して言うなら、本当はITを通じて生まれた人物だったと思います。最初にファイアウォールの構成を担当した人かもしれませんし、コンプライアンス上の理由で年次リスク評価を行い、すべてのチェックボックスにチェックを入れた人かもしれません。サイバーセキュリティの分野に、ある種の横方向の動き、つまり今日では横方向の動きと言えるような動きをしたのは、他の誰かだったのかもしれません。現在の役割は、エグゼクティブリーダーに変わりました。組織のリスク、企業リスクは、CEOと取締役会がサイバーセキュリティのリスク態勢を理解しているかどうかに大きく依存しているため、今では組織のCEOの右腕となり、多くの場合、CEOの直属部下となっています。

0:03:51.9 リチャード・ステイニングス: もはや CIO や CTO を通じて高尚な経営委員会に報告するという技術分野ではなくなっています。今では、直属部下と直接リスク説明の二つになっています。これにより、セキュリティリーダーが提示する必要のあるスキルの種類に大きな変化がもたらされたと思います。ビジネスを理解し、テクノロジーを理解する必要がありますが、最も重要なのは、CEO、CFO、取締役会が適切な意思決定を行えるように、サイバーセキュリティテクノロジーのリスクを企業の財務リスクに変換できることです。結局のところ、彼らはどの組織においても、リスクの究極的な仲裁者です。

0:04:36.4 ラグー・ナンダクマラ: セキュリティリーダーがビジネス上の意思決定とセキュリティ上の意思決定を結び付けることができるようになったため、セキュリティリーダーは基本的に経営陣のトップレベルの経営幹部に座る必要があるという話を先ほどおっしゃったことを言い換えると、あなたの視点から見ると、なぜその進化が起こるのにこれほど長い時間がかかったのでしょう。そして、それは本当にセキュリティリーダーが座るのにふさわしい場所なのでしょうか？

0:05:02.5 リチャード・ステイニングス: 逆の順序で答えますよね。CISOは、直接の部下関係であろうと、最高リスク責任者や他の誰かを介した関係であろうと、CEOと直接の協力関係を築く必要があることは間違いないと思います。それは理にかなっています。そして、各組織はそれぞれ大きく異なります。ですから、私が一般的な声明を思いついて、「すべてのCISOはCEOに報告すべきだ」と言っても、実際には組織構造にあまり適合しないかもしれません。そこには必ず直接的な関係が必要だと思います。また、私の同僚の多くが長年にわたって行ってきた恐怖、不確実性、疑念ではなく、ビジネス的な方法で事実の分析や提言を取締役会に提示できるようにするには、CISOが取締役会に接触する必要があると思います。空が沈みかけています。新しいファイアウォールを買うためにいくらかお金をください。または、別のセキュリティアナリストを雇って、私を襲っているこれらすべてのログを監視してもらうこともできます。これは進化の過程であり、その関係を今日の多くの組織よりも高いレベルにする必要がある段階に達したと思います。

0:06:08.8 リチャード・ステイニングス: 最初の質問に戻りますが、前回はサイバーセキュリティが進化したと思います...確かにこの20年間。おそらくさらに15年は顕著です。セキュリティはビジネスに必要なコストと見なされていました。これは、主に組織がHIPAA、GLBA、PCI DSS、またはその他多数の規制のいずれかの対象となっていたため、企業が罰金を科されたり、支払い処理業者が無効になったりしないために遵守しなければならなかった大量のコンプライアンス要件のせいで、毎年支出する必要がありました。つまり、このコンプライアンス推進要因が、サイバーセキュリティの強化の必要性に火をつけた最初のきっかけだったと思います。それ以来、企業は以前のような単純なビジネス金融リスクモデルではなく、サイバーセキュリティを含むリスクフレームワークを中心にエンタープライズリスク構造を構築するようになったと思います。

0:07:11.9 リチャード・ステイニングス: その結果、サイバーセキュリティはますます重要になっています。そして、もう1つポイントがあります。それは、多かれ少なかれ毎日誰かが攻撃されているという報道のサイバーセキュリティ攻撃の数から逃れることはできないという事実です。Cylera Labs が実際に発見した調査によると、米国では週に2、3の病院がランサムウェア攻撃を受けています。これは米国に限った話です。現在、世界全体でランサムウェアの攻撃を受けているのは月に約1900件です。それは病院部門だけです。他のセクターに目を向けると、それがRoyal Mailや人々が海外に荷物を送ることができないことであろうと、それが昨年または前年に米国でパイプラインや他の事業で見られたような別の重要なインフラ産業であろうと、毎週マスコミに取り上げられています。

0:08:04.5 ラグー・ナンダクマラ: 先ほど説明した内容からすると、最近の攻撃とそれらによってもたらされる混乱という観点からです。そして、これらの攻撃の結果という点では、大規模なディスラプション、たとえば大規模な企業とは対照的に、個人の生活に影響するディスラプションのことが多いため、このような変化が起きていることは間違いありません。これは、データ流出とそのデータが後で利用されるのと比べて、今や混乱が主な動機となっている攻撃者の動機の変化だと思いますか？

0:08:38.0 リチャード・ステイニングス: ですから、サイバー犯罪の本当の加害者は誰なのかを理解する必要があると思います。そして、攻撃の規模という観点から見ると、実際には中国がトップです。現在、中国は国家支援によるサイバー犯罪の加害者となっています。中国は、いわゆる「サイバー戦士」と呼ばれる10万人近くの解放軍を雇用しています。しかし、主にサイバースパイ活動に焦点を当てた人民解放軍の部隊もあります。中国経済を活性化させるために、西側諸国から防衛機密や国家機密を盗もうとしているだけではない。彼らはまた、あらゆる主要セクターのあらゆる企業の企業秘密を盗んでいます。製剤を盗んで製剤を盗み、薬の背後にある研究を行い、中国の国有産業を通じて医薬品を市場に出すための医薬品や、独自のステルス戦闘機ステルス爆撃機を作るためにF35のデザインを盗むことなど。それが中国です。それが最初の本物のグループです。2番目のグループは実際にはロシア人です。そして、彼らは2つの別々のグループに分かれています。とはいえ、ここ数年、この2つのグループの間にはたくさんのコラボレーションがあるということで意見が一致したと思います。実際、両者は共同で結ばれる可能性も十分にあります。明らかに、それには国家的な側面があります。ロシアの GRU (NotPetya) をもたらした軍事情報部隊 (GRU) は、唯一最大の攻撃で、80億ドルから120億ドルの損失をもたらし、多数のグローバル企業を倒しました。

0:10:02.7 リチャード・ステイニングス: 多くのリスナーが知っているように、それは実際にはウクライナ人をターゲットにした間違いであり、裏目に出て、多くのロシアの組織だけでなく世界の他の組織も崩壊させました。そして、ロシア国内のサイバー犯罪シンジケートが、ロシアンマフィアのもとに集まる可能性があります。究極的にはプーチン大統領にとって、それはいわば蛇の頭のように思える。現時点で我々の情報からわかっていることを信じれば、両者は密接につながっていて、金銭的な動機があるということだ。そして、何が起こったかというと、ウクライナとの戦争以来、これらの組織犯罪組織の多くがクレムリンと協力して混乱を図ってきたということだと思います。そして、私たちはそれを、組織が攻撃を受けたホスト国の政治的行動に対する一種の平手打ちと見なしていると思います。その一例として、最近の「ロイヤル・メール（Royal Mail）」の攻撃を見ることができる。というのも、これは、ロシアとの戦争でウクライナにより多くの武器と資金を提供するという英国の宣言と同時に起こったからだ。

0:11:08.6 ラグー・ナンダクマラ: そして、それは面白いです。なぜなら...あなたが雄弁に説明したような変化、そして今、レジリエンスに重点を置く多くの政府機関や規制機関からの関心の高まりを実際に後押ししているように見えるディスラプションへのシフトを目の当たりにしています。サイバー・レジリエンスへの注目を本当に後押ししているのは、サイバー攻撃の混乱による影響だというあなたの見解ですか？

0:11:34.8 リチャード・ステイニングス: ええ、絶対に。多くの上級管理職が、「自分の組織が攻撃される確率はどれくらいか」ということを疑問視していたと思います。今このお金を使う必要があるのか？その間にこの資金を別のペットプロジェクトに使って、サイバーセキュリティへの投資をもう1年延期することはできますか？どうせ来年、私の CEO としての5年間の任期が満了し、利益や生産性など、その組織で評価されていることに対してX数百万ドルのボーナスを手に入れることができるとわかっているのに、今年、高額な役員賞与を受けることはできますか？もう攻撃されるかどうかの問題ではなく、何回攻撃され、その攻撃が実際にどのようなダメージをもたらすかが問題になるところまで来ていると思います。そして、それは単に罰金や懲罰的損害賠償の問題ではなく、保護されたデータの多くがダークネット上で犯罪組織やそれを購入したい人によって売りに出されているからです。信用監視員への賠償費用の問題でもあります。これは、顧客による組織に対する大規模な集団訴訟の問題です。

0:12:50.8 リチャード・ステイニングス: それはその組織に対する評判の低下です。米国では、数年前の攻撃の一環としてターゲットカードが侵害されたことを知って、ターゲットカードにサインアップする人は何人いますか？人々には長い記憶があります。そういうわけで、そこにはたくさんのことが組み込まれています。しかし、私が言いたいのは、最大のコスト要因はダウンタイム要因だということです。組織が数週間または数か月間ダウンした場合はどうしますか?顧客は引き取りに来て別の場所に移動する予定はありますか?携帯電話業界など、特定の業界には非常に気まぐれな顧客基盤があることはわかっています。携帯電話で1週間通話できない場合は、電話をかけてサブスクリプションをキャンセルし、別のプロバイダーに切り替える必要があります。人々はいつもそうしています。請求額が 1 か月あたり 5 ドル少ないとしたら。医療業界では、保険会社のせいで、どこに行くかの選択肢はずっと少なくなります。私が明らかに注力しているヘルスケア分野では、ダウンタイムによる数億ドルの収益損失という損失のコストが増大しています。

0:13:54.7 リチャード・ステイニングス: また、サイバー攻撃により収益が枯渇した病院や、システムを完全に復旧させるのにかかった時間の例をたくさん挙げることができます。そのため、耐障害性は絶対的に重要です。つまり、攻撃を受け続け、攻撃を受けることを認識し、攻撃を受け続け、十分に実践された事業継続対策と実践されたインシデント対応策を講じて、たとえそれがほんの少しのレベルであってもビジネスを継続できるようにすることです。また、クリーンアップと復元を行っている間も、顧客を比較的満足させることができます。そのためには、アーキテクチャ、アプリケーション、インフラストラクチャなどにおける高いレベルの耐障害性が必要です。そして、まだその段階には達していないと思います。

0:14:43.4 ラグー・ナンダクマラ: それよりも優れた、よりわかりやすい答えを求めることはできなかったと思います。そして、たぶん...これはまさにフォローアップです。必要な変化を推進し、適切な改善を推進するために、EUにはNIST 2、サイバーレジリエンシー法、金融サービス専用のDORAがあり、サイバーレジリエンシーの向上を推進する金融サービス専用のDORAがあることがわかりましたか。これらの法律やそれに伴う法律などは、必要な改善をもたらすと思いますか？期待してる？

0:15:17.2 リチャード・ステイニングス: 私はとても希望に満ちています。組織のレジリエンスにどんな変化があっても、キャロットとスティックを組み合わせる必要があると思います。私たちは長い間、GDPRの罰金に悩まされてきましたが、ほとんどの組織は規模が小さすぎて心配する必要がないか、自分には起こらないと言って頭を悩ませてきました。そして、率直に言って、過去数年間、違反に対してかなり多額の罰金が科せられることもありました。そうだろ？

0:15:41.6 ラグー・ナンダクマラ: うん。絶対に。

0:15:46.0 リチャード・ステイニングス: 不十分な回復力、不十分なサイバーセキュリティの結果。

0:15:47.7 ラグー・ナンダクマラ: 絶対に。それでは、ヘルスケアについてお話ししましょう。それは明らかにあなたの専門分野であり、ヘルスケアのセキュリティもあなたの専門分野だからです。医療保障に携わったのは、実質的にNHSの教科書を飲み込んだからだとおっしゃっていましたが、それ以上のことがあるはずです。専門分野を探していたとき、ヘルスケア、ヘルスケアセクター、ヘルスケアセクターにおけるサイバーセキュリティの課題について、特に魅力的だったのは何ですか？

0:16:14.8 リチャード・ステイニングス: まず、父は私に成長して医者になってほしかったのですが、私は医者になれませんでした。学校では生物科学よりも物理科学のほうに興味があって、未来の道はコンピューターだと思っていました。実際、私はリベラルアーツ学部を卒業後、4.7 kHzのPCで論文を実際にタイプした最初の人でした。そのはるか昔、おそらくあなたの時代より前のことですが、率直に言って、私が初めて4.7 kHzのPCで論文をタイプしたのです。しかし、速度は遅く、私の論文が収まるような巨大なフロッピーディスクが入っていました。私は長い間、ITに魅了されてきました。でもモチベーションになったのは、1つは、言語を知っていたこと、業界を内側から知っていたこと。私の家族の多くは、NHSで働いたことがあるか、医療の他の部分、精神医療サービス、またはNHSの社会構造の他の部分で働いたことがあります。

0:17:08.0 リチャード・ステイニングス: 金融サービスの運営で苦労して学んだ多くの経験や教訓を医療に持ち帰ることができたので、その多くを知っていて、それに惹かれました。金融サービスは、長い間サイバー犯罪の標的となってきたため、ほとんどの組織で医療業界よりもおそらく15～20年進んでいます。違いは、金融サービスでは、誰かが何百万ドルもの資金を銀行から差し引いたとしても、台帳が足し合わなくなるため、すぐに明らかになることです。そこには取引記録があり、多額のお金を盗まれたところですぐにわかります。医療分野では、それが明らかになることはあまりありません。そのため、15、20年前に多くの病院が被害を受けていますが、15年または20年前に被害を受けたことが明らかになり始めたばかりです。

0:18:0.2 リチャード・ステイニングス: これは基本的に、最近の攻撃の後、誰かがシステムのフォレンジック調査を行うためにやって来て、見過ごされてきた過去の攻撃をすべて発見したからです。私たちは時間と労力とお金を費やしておらず、考えられる懸念事項を追い求めるための医療スタッフとしての専門知識もありませんでした。そこには、ネットワーク上で何かおかしなことが起こったときに知らせてくれる警告システムがありませんでした。異常なアクティビティがあったとき、私たちはそれが通常の実行アクティビティであると想定していました。私たちには、こうしたことを追いかけるスタッフがいませんでした。そのため、私が働いていた金融サービスやその他の業界、たとえばハイテク業界が成し遂げてきた教訓の多くを翻訳し、それを医療にもたらすことができたと思います。私が影響を与えたといいんですが。

0:18:50.0 ラグー・ナンダクマラ: インターネットはその証拠です。ここで取り上げているコンテンツ、あなたが話している課題は、現時点での説明の仕方からすると、医療セクターのIT課題や、ITインフラストラクチャに関連するサイバーセキュリティの課題に焦点を当てているだけだと感じています。医療 OT インフラストラクチャについてはまだ話していません。そのとおりですか？それについてはすぐに説明するから

0:19:13.8 リチャード・ステイニングス: ええ、私はここ50,000フィート離れたところでヘルスケア分野のテクノロジー全体について話してきました。しかし、ほとんどの人は、医療 IT 組織、たとえば病院内の IT グループが、接続された資産の約 25% しか担当していないことに気づいていません。一般的な病院ネットワークに接続するデバイス。そして、それを診療所、診療所、その他の医療サービス提供者のさまざまな割合に当てはめることができます。現在、これらの機器の大半は医療機器です。これらは不活性またはほとんど不活性なデバイスで、必要なときに基本的な機能を果たします。それらには、診断システム、X線、CT、PETスキャナー、超音波などから、放射線治療や薬物治療システム、化学療法のための非常に複雑な放射線治療システム（一般的にすべてネットワークに接続されています）、患者監視システムや管理システム、緊急治療室にいるときに接続されるシステム、たとえば数分ごとに血圧を測定する自動血圧計など、あらゆるものが含まれます。

0:20:26.3 リチャード・ステイニングス: 心拍数モニター、O2飽和度モニターは、酸素レベルを測定するために指につける小さなクリップ状のものです。さらに、単純なER訪問、緊急治療室の訪問、または救急科への訪問など、さまざまなレベルのモニタリング治療を必要とする患者のために、ベッドあたり最大50台の医療機器を利用できる集中治療室に至るまで、さまざまなデバイスが使用されるようになりました。これらはすべて病院ネットワークに接続されています。多くの場合、セキュリティセグメンテーションではなく、ルーティングセグメンテーションである別の VLAN 上にあります。これにより、マルチキャストトラフィックの一部が、非常に壊れやすい医療機器に届かなくなります。また、それらには医療機器だけでなく、今日のビル管理システムも山ほど含まれています。エスカレーター、エレベーター、またはリフトは、安価で、より優れており、より洗練されているため、数百マイルも離れた第三者によって管理されています。

0:21:27.6 リチャード・ステイニングス: また、建物内のエレベーターを制御して適切な階に上げる小さなPLCがあります。ドアを開けたり、閉めたりします。あなたのやり方次第ですが...どのボタンを押したんだ。そして、そのライフサイクルを通じて何百万回も繰り返されます。また、定期的にケーブルを微調整するだけで、誰かが出てきてケーブルが伸びるときに調整できます。これは、比較的ダメなビル管理システムの例ですが、接続されていて医療機器ネットワークへの足がかりになりかねません。病院の気圧、空気、温度を制御するHVACのようなもの。HVACがなければ、COVIDを生き延びることはできなかったでしょう。病院中の看護スタッフや医療スタッフ全員、そしてその時にたまたま病院の近くにいた他の人に感染しなければ、これらすべてのパンデミック患者のために負圧室を作ることはできなかったでしょう。

0:22:19.4 リチャード・ステイニングス: クリティカル。部屋にいる患者を監視して、発作などを起こしていないことを確認するCCTVカメラ。そして、ナースコールステーションに戻って、廊下や出入口を監視する物理的な防犯カメラに送られます。物理的なセキュリティロックは、医師や看護師が病院の建物の安全な場所に入るために押さえるものです。また、ロボット、薬局用ロボット、Pyxis キャビネットなどを見てみると、宅配ロボット、研究室など、他にもたくさんあります。病院の IoT 接続機器の数は、本当に驚異的です。そして、私たちはこれらのデバイスをセキュリティで保護するという非常にお粗末な仕事をしています。その理由の1つは、これらのデバイスがセキュリティを念頭に置いて設計されたことがないからです。安全である必要があるという規制はありませんでした。

0:23:03.6 リチャード・ステイニングス: That's about to change as of October 1st, 2023 with the new PATCH Act goes into effect. And new FDA regulations are brought online and that will percolate across other countries to the UK, to Europe, right the way down to the TGA in Australia which mirrors a lot of the FDA rules and regulations, if not most of them, to be honest with you. So that's gonna bring around a change in some of those things, but we still have that massive gap on our networks right now. It's the open back door and we spent a lot of money securing the front doors of hospitals with, we have multi-factor authentication and a whole load of user-management tools for single sign-on and what have you across hospitals. But these are the open back doors. This is the open windows on the back... On the ground floor of the building that anyone can climb through right now. And it's concerning.

0:23:55.4 Raghu Nandakumara: You've provided such a great overview of that plethora of different types of connected devices that let's say a healthcare organization can have on the network. And you sort of refer to the front door and I think about the front door of that traditional IT environment that we understand, it's commoditized, commodity hardware, running commodity software. And while we can obviously do a much better job of securing that, we have good practices and understood practices to do that. On the connected device side on the OT side, just from the variety of manufacturers, the types of devices, etc. Just as a starting point, what would be, as someone who's now very much in that sort of the OT security space, what is good enough from a OT security perspective and what is the holy grail that everyone is after on the OT security or securing OT side?  

0:24:48.4 Richard Staynings: I'll start with your last question first. The holy grail where we're trying to get to is medical devices that are secure by design. They are supported by manufacturers. There are vulnerability assessments conducted periodically against those devices and disclosures made to the community about any vulnerabilities that are found in those devices. And patches are made available very quickly depending on criticality, obviously, for any vulnerabilities found in each of those devices. And that includes a lifecycle, an expected lifespan for devices so that we don't have hospitals, amortizing medical device assets over 30 years when they're only supported by the manufacturer for eight for example, which is often the case today because there is no lifecycle, no lifespan guaranteed by the vendors. And in fact, vendors do a lousy job of supporting devices once they've been sold. So that's really where we need to get to.

0:25:45.6 Richard Staynings: Now to get to that point, we need to adopt a risk-based approach to all of those legacy devices, because medical devices are like plutonium. They have a half-life measured in decades or hundreds of years. They're not retired. If you've got a Windows laptop, you may decide to replace that every two years, partly because it's cheaper to buy a new laptop than it is a new Windows license to upgrade to the new version. And partly because the thing's probably useless after two years of work. Macs have a slightly longer lifespan. But I'm a Mac guy, so I'm gonna say that. Right?  

0:26:17.1 Raghu Nandakumara: Likewise. Likewise.

0:26:18.1 Richard Staynings: Yeah. But medical devices tend to kick around for eight to 20 years in many cases. Certainly the big iron-type systems, X-ray systems. You are not gonna throw out a $25 million X-ray machine because of a vulnerability and because the manufacturer of that X-ray machine has gone out of business or is not making a patch available. So you have to put in place compensating security controls. And those are controls that risk assessors and auditors like HIPAA, like OCR for example, the Office of Civil Rights, part of the Health and Human Services group or other regulatory bodies that audit compliance, will accept as being a compensating security control. Now, to get to those compensating security controls, you need to understand the risk posture of every device type that attaches to your network.

0:27:08.6 Richard Staynings: And right now hospitals are... I was gonna say clueless, but let's just say that there is a large gap between what they think they have on their networks, and what they actually have on their networks. And there've been a number of reports. There was one published over the weekend talking about the number of NHS Trusts, for example, that had very limited knowledge of the inventory of the assets that were on their networks. And this is common across the entire developed world. We don't know what attaches to our networks. We have a spreadsheet, an asset spreadsheet that's kept by clinical engineers or biomed technicians and they update that as new devices come in. But what they're not updating is when firmware's updated on those systems, when applications are updated, when systems are returned to the vendor and RNA-ed and replaced with a new system that may have a different OS on it or a different configuration on it.

0:28:04.2 Richard Staynings: And we really need to get to understand what assets connect to our networks, so we can understand the risks. And this is really what I've been working on for the last five years at Cylera in terms of building a true asset inventory with a high degree of fidelity of what connects to the network, mapping out the ports, protocols, destination IP addresses that each device requires so that we can lock those devices down in a Zero Trust framework. Now this is... And most people when I talk about Zero Trust, are probably saying, "Oh, you're talking about identities?" No, we're talking about the other side of it. There's the ID or the user to data object relationship, and then there's the data object to data asset relationship.

0:28:48.8 Richard Staynings: And it's that latter one that I'm talking about here. In this case, this is medical devices. If we can lock those medical devices down so that they can only communicate to the rest of the medical network on the ports and the protocols to the destination IP addresses that we have explicitly authorized, basically because it's part of its profile, then we can basically drop everything else at the network level to ensure that a radiologist can't listen to Spotify on a PAC system while he is looking or she's looking at images which is a common thing right now. Common compliance concern.

0:29:24.8 Raghu Nandakumara: I didn't wanna interrupt anywhere there because there's so many great things that you're covering and then you landed on Zero Trust. When you think about, let's say security architecture at a healthcare organization/at a hospital, for the security leadership, when does Zero Trust enter that conversation? And is this something now that the healthcare sector is looking at seriously as an approach that they need to take to really radically improve their security foundations?  

0:29:52.0 Richard Staynings: I'd like to think that all healthcare organizations are looking at Zero Trust at all aspects of Zero Trust. But Zero Trust is a journey. It's not something that you can throw a switch and become Zero Trust certified on overnight. It's a mindset, it's a journey, it's a framework about adopting various security controls that follow the Zero Trust principles of trust, but verified - of minimal permissions on any object or any user in order to lock down a network and secure it. It's a step towards more mandatory access control that we have in our military for example, where you are only allowed to access certain data and certain systems based upon your assignments and your level within a military organization. We're not obviously gonna do that in a healthcare organization, but it's about adopting some of those principles to the network.

0:30:46.3 Richard Staynings: I think Zero Trust in the last few years has become more mainstay in business magazines. You'll read about Zero Trust on the Wall Street Journal or the Financial Times or The Guardian or wherever. Whereas you wouldn't find anything of that before five years ago, even though Zero Trust was really... I mean, Forrester published their first paper on the subject back in 2009, I believe. So it's taken a little while to get here. Is it something that senior business executives should be working towards? Absolutely.

0:31:18.7 Raghu Nandakumara: So from your perspective, as you are having those conversations with the cyber professionals in the healthcare sector, what are the questions that you are typically being asked as someone who's been doing this for 30 years, when it is at around Zero Trust adoption? And I know you mentioned Zero Trust as a journey and we need to take incremental steps to improve our security posture, but what is the most common question you are asked when it comes to securing healthcare organizations and the adoption of Zero Trust?  

0:31:45.5 Richard Staynings: I think it depends who you talk to. If you talk to the CEO or the CFO, they say, "What is it gonna cost me?" Because every dollar spent on improved cybersecurity is a dollar that isn't being spent on patient care. We could talk for another hour here just on the efficiencies of certainly the US healthcare system, but I think most healthcare systems around the world are not exactly optimal in terms of how they spend their money on all things. But that's a separate... Really separate discussion there. I think really it's about...

0:32:17.3 Richard Staynings: The success of Zero Trust adoption is really about adopting a cybersecurity culture within the organization. And that culture needs to start at the board of directors, at the CEO level. And it needs to permeate down through every level of the organization. And if you find that the CEO is standing up talking about cybersecurity at his annual briefing or at every executive briefing, where are we in terms of our cybersecurity risk posture? What are we doing about this and that? You'll find that everyone else does the same, takes cybersecurity seriously. That's obviously the starting place. Still, when we talk about Zero Trust, we're talking about different components that need to come together towards that goal of Zero Trust, and those are separate conversations under the umbrella of Zero Trust as it were.

0:33:09.4 Raghu Nandakumara: Completely agree. And the other interesting point that you made was there around, you didn't use these words specifically about return on investment, but you said every dollar that is spent or every pound that is spent on cyber is a pound less spent or a dollar that is not spent on patient services. ROI, etc. it's such a top-of-mind thing at the moment. How does a healthcare organization like RNHS here, that is already strapped for cash, how does it justify the need to spend money on cyber investments? How does it make it an essential budget item?  

0:33:48.2 Richard Staynings: So I think regulation is one way of making that message come across is the fact that you need to be cyber secure. And we saw that, in the last couple of years with adoption of the DSPT, the Data Security Protection Toolkit, which was a big step forward around, trusts having to report to digital around NHS National, I guess, at this point, around the security risks that may be present on their networks as a result of new vulnerability disclosures being eannounced. And a lot of trusts have done a very good job by reporting on DSPT with the adoption of tools like Cylera and others, that can help them with that. There are still many more that have not done so yet. There's another dynamic here around ROI particularly, and that is around, what is the potential cost of loss versus the potential cost of putting in place adequate cybersecurity controls to prevent an attack in the first place?  

0:34:46.9 Richard Staynings: Now, you're not gonna prevent every attack, but you can limit an attack, you can limit the damage, you can minimize the impact to patients and minimize the impact to system downtime as a result of putting in place cybersecurity measures. And there's about a 10X measure on that if we look at most of the statistics around this. So you are gonna spend 10 times more money dealing with a cybersecurity incident, the attack against the Irish health system or the Wizard Spider attack, for example, or the North Korean WannaCry attack against the NHS. The NHS spent a large amount of money remediating end of life computer systems that should have been replaced over the course of 10 years, but weren't putting in place cybersecurity controls and systems and processes that should have been put in place a long time ago, and upgrading the infrastructure.

0:35:39.7 Richard Staynings: It would've been a lot cheaper, to have spent all the money that was involved in dealing with WannaCry and all of the money that's still being spent on a backlog of elective surgery across the UK, on cybersecurity controls in the first place to prevent those types of attacks. Bear in mind that when there's an attack, you're still paying for the cleanup. And you still haven't remediated the hole that perpetrators were able to get through. You still gotta do that anyway.

0:36:08.4 Raghu Nandakumara: It's almost like a self-fulfilling prophecy. You're paying out twice to fix it and also to the cleanup. But, I get the justification of if we don't spend X on this today, the potential cost if when we get breached will be 10X. That forward-looking justification is understandable. Once you've invested in a security capability, let's say like Cylera, how does an organization or even as a vendor, how do you go and essentially show the return on that investment to your stakeholders, the budget owner, so that they understand that now having made that investment, they're getting the returns on it?  

0:36:50.5 Richard Staynings: I think it's difficult for any technology vendor because there's a saying there that you can lead a horse to water, but you can't make it drink. So as technology vendors, we provide the tools, the data, the intelligence to our customers for them to make the appropriate decisions around fixing vulnerabilities around microsegmenting at-risk devices. If a customer doesn't do that, then it's hard for them to realize the investment in the software that has been provided to them. I think we're now getting to the point of partnership really where we're working hand in hand with vendors. And I know many of the vendors that we partner with have that similar relationship with our customers to say, "Look, this is what we need to do. This is the policies, the procedures that we need to put in place," so that it's automated so that they don't have to sit down and make a decision when they're gonna remediate a problem. It's automatically remediated. And this is where we're trying to get to at Cylera in terms of complete orchestration and automation of security remediation.

0:37:56.4 Raghu Nandakumara: What you touched on there is really important because it's essentially, you have almost two parts to this. The first phase is convincing a prospect, convincing an incoming buyer that it is important to spend money on this and buying this capability because it's important to secure the organization. And the second part of it is, once that commitment has been made, is then driving the adoption to put in place the right policies, the right sort of services, etc., the consumption of that capability so that it's actually used. And what we have seen and what we see across a multitude of security capabilities is, I think, going to refute what you said is that you can lead the horse to water but you can't force it to drink. When you look at the future of healthcare and medical device security, what do you see as in the medium and long-term? And I know you've spoken about threats of AI as well, so there's probably some aspect of that. What do you see as upcoming and what is gonna be needed to protect the healthcare organization of the future?  

0:38:57.9 Richard Staynings: You hit a good point there with AI, so I'm glad you brought that up. AI is obviously gonna make a dramatic change to the entire healthcare ecosystem. We have a large amount of IT, a large amount of AI within the IT and IoT networks of hospitals today. We have... Our clinical decision support is based upon machine learning. Our radiological imaging system that now allows us to use low dosage radiation with AI enhancement of those low dose images, rather than bombard patients with radiation that otherwise would have a 2% probability of inducing cancer rather than actually identifying it by an image, which has always been one of the trade-offs of whether you go for a CT scan or not, or some other type, like a PET scan for some other type of imaging.

0:39:43.4 Richard Staynings: So we have those technologies already. We are using extensive amounts of AI and the next generation of tools around precision medicine. That's personalized medicine that is based upon your genome, upon your own lifestyle, your particular conditions, so that instead of a drug having a 2% efficacy, it has a 90% efficacy and can remediate problems for you or things like gene grafting, so that you can graft genomes to prevent the onset of certain types of cancer, for example, which are hereditary in nature. Now all of those technologies are gonna require access to vast amounts of data for their training models.

0:40:29.3 Richard Staynings: So we're not talking terabytes of data here, we're talking millions of terabytes or zettabytes, as they're known. A zettabyte is a billion terabytes, just for your audience. We have approximately 100 zettabytes of medical data that is being used by AI today in order to train models for the next generation of healthcare. Now that is great, but AI models can be corrupted, they can be poisoned. So we need to put in place security around those AI models, those training models, those learning mechanisms. On one side, we also need to put in place privacy mechanisms because I'm sure you don't want your medical data, your genome being up there on the Russian dark net and up for sale. And well... Whereas your genome and my genome might not fetch an awful lot, there are certain people whose genomes would fetch a significant amount of money.

0:41:19.5 Raghu Nandakumara: Mine definitely will be available on the cheap. Yours I'm sure is far more.

0:41:23.2 Richard Staynings: Oh, I don't know about that. So that's one example of AI in the healthcare space. I think the other area is more generic across industry, and that is really around the onset of AI-laden malware, offensive AI, for example. We've seen this in the last... Probably since about 2018, 2019 with certain malwares being AI-enabled so that they can get past our traditional endpoint and perimeter antivirus, perimeter security defenses, advanced malware protection tools, XDRs and all the rest of it because they learn as they go. They're able to pass themselves off as legitimate network traffic and get by our defenses. And we see this same sort of principles played out with fake images and fake videos on the internet. We've all seen deep fakes of famous people saying things that they would never have said or didn't say during their lifetime. We've now got new songs coming out from the Beatles which are AI-enabled which are gonna be hitting the stores very soon. The Beatles latest album with the entire original cast, and it's all AI-enabled.

0:42:35.1 Raghu Nandakumara: What I say to that is that, it's not the Beatles, it's statistically equivalent to a Beatles track, is what I say in response.

0:42:47.7 S2: Right. Exactly. But most people would just say, I went to the Beatles.

0:42:50.9 Richard Staynings: Or this new John Wayne movie that came out in 2023, it's John Wayne. He's in color in this one. Even though it's entirely computer-generated. And certain families of deceased actors have tried to protect the use of AI for their imagery moving forward. But those same types of tools are being used now to attack our organizations. And the only way really around protecting against those offensive AI tools, is using defensive AI tools. So we need to rethink the tools that we have at our disposal so that we can AI-enable those defensive tools to recognize an AI attack and block it immediately.

0:43:30.2 Raghu Nandakumara: I was reading your recent blog post, 'The Rising Thread of Offensive AI.” That's fascinating, the number of different areas that you cover and where AI poses a threat, I assume just by your last answer that in your opinion, the only way to defend against defensive AI is AI-powered defenses and that conventional defenses will not be enough on their own.

0:43:50.3 Richard Staynings: That's correct. We're already finding that AI-enabled attacks are getting past our traditional heuristic-based endpoint detections. For example, even some of the early AI XDR tools that are out there right now, they're able to get past them because they understand how they work. If you are a Russian crime syndicate, you can go out and you can buy every conceivable piece of software under a fake company name, and set it up in your labs, and figure out how to defeat it. And this is what perpetrators are doing, unfortunately. We need smarter tools, newer tools. And unfortunately, that's gonna mean that a lot of vendors are gonna have to rethink their approach, be highly innovative and come up with new AI-based tools. And it also means that end users are gonna have to get rid of and retire a lot of those tools that they've used for the last 5-10 years, and look elsewhere. And maybe the approach, the mix of systems and tools that they have at their disposal, in their toolbox, needs to be adjusted for the reality of 2025 and onwards.

0:44:53.0 Raghu Nandakumara: Yep. Absolutely. So Richard, I know we've had quite a wide ranging conversation and honestly, you've made my job super-easy today. Just by being so open and so generous with your insights that I've barely had to ask a question other than just to sort of say a nod and appreciate it. So, before we sort of wrap up, any final thoughts for our listeners around just any nuggets of advice for security practitioners in the healthcare industry or in other verticals?  

0:45:22.3 Richard Staynings: Yeah, I would say look to the future. Don't look to the past, don't look to the market leaders from five years ago, because obviously that is gonna change and the acceleration of change is going to increase and continue to increase. I would say look for vendors that are gonna partner with you, that are gonna get down in the trenches with you, and help you troubleshoot and figure out how you use those tools to their optimum level of value. And I would also look for tools and vendors that have automation built into them, because we cannot continue to add more tools to our toolbox because the toolbox is already full. I've had many conversations with senior executives over the course of my career who've basically said, "That's great. I hear where you're coming from. I understand why we need this. What two tools can you get rid of before we buy this tool? Which tools does this replace?”

0:46:13.4 ラグー・ナンダクマラ: つまり、ROIに関する会話のすべてを、別の視点から考えてみることです。

0:46:16.6 リチャード・ステイニングス: また、人数が足りず、セキュリティチームにも十分な人員がいないため、オーバーヘッドの会話にもなります。加害者に対しては、少なくとも5対1で圧倒されています。そして、これらのシステムが自力で稼働するためには、事前に全員が合意した実行帳やプロセス、ポリシーに基づいて、サイバーセキュリティ防御を自動化する作業をもっとうまく行う必要があります。

0:46:41.6 ラグー・ナンダクマラ: 素晴らしい。リチャード、どうもありがとう。リスナーの皆さん、サイバーセキュリティに関するリチャードの専門知識や考えをもっと知りたい場合は、彼のウェブサイトcyberthoughts.orgをチェックしてください。イルミオとサイレラがどのように提携して医療機関にゼロトラストをもたらすかについてもっと知りたい場合は、illumio.comで私たちの共同ソリューションをチェックしてください。ありがとう、リチャード。ザ・セグメントに参加していただきありがとうございます。

0:47:13.6 リチャード・ステイニングス: 呼んでくれてありがとう

0:47:16.8 ラグー・ナンダクマラ: 今週のThe Segmentのエピソードを視聴していただきありがとうございます。ゼロトラストに関するその他のリソースについては、illumio.com をご覧ください。その際には、ガートナーが新たにリリースした「2023年のマイクロセグメンテーション市場ガイド」もご覧ください。イルミオが代表ベンダーとして誇らしげにリストされています。本日は以上です。ホストのラグー・ナンダクマラです。すぐ戻ります。

‍