Qual é o custo da perda?

0:00:00.0 Raghu Nandakumara: Bem-vindo ao Segment, um podcast de liderança de confiança zero. Sou seu anfitrião, Raghu Nandakumara, chefe de soluções industriais da Illumio, a empresa de segmentação Zero Trust. Hoje, estou acompanhado por Richard Staynings, estrategista-chefe de segurança da Cylera, pioneira em segurança de OT de dispositivos médicos e serviços de saúde. Richard é um líder de pensamento, autor, palestrante público, consultor e defensor da melhoria da segurança cibernética nos setores de saúde e ciências biológicas. Ele atuou em vários grupos de trabalho de segurança da saúde e leciona pós-graduação em cibersegurança e informática em saúde na Universidade de Denver. Hoje, Richard se junta a nós para discutir como o papel do CISO mudou nos últimos 30 anos, os desafios de TI enfrentados pelas organizações de saúde modernas e o cenário atual do cibercrime.

0:0:54 Raghu Nandakumara: Oi, Richard. É fantástico poder falar com você e obrigado por se juntar a nós neste podcast. Quero dizer, estive examinando seu histórico, seu currículo, seu site, e é um eufemismo severo dizer que você teve uma carreira bastante ilustre e histórica. Então, vamos começar nos levando em sua jornada pela segurança cibernética, de onde você começou até onde está hoje.

0:01:19.3 Richard Staynings: Espero que tenhamos fita suficiente aqui para gravar tudo isso, mas...

0:01:21.4 Raghu Nandakumara: A propósito, esse é o podcast. Esse é o episódio.

0:01:25.6 Richard Staynings: Então, digamos que estou na área de cibersegurança há provavelmente 30 anos, muito antes de alguém chamar o espaço em que estamos de cibersegurança. Foi o tipo de segurança da informação, conformidade e risco que se uniram no que hoje chamamos de cibersegurança. Eu costumo me concentrar em vários setores. Fui CISO, diretor de segurança da informação, para serviços financeiros, para entidades de saúde e para outros setores do setor. Passei muito tempo estudando como professor adjunto de segurança cibernética e informática em saúde na Universidade de Denver. Eu faço muitas conferências excelentes em todo o mundo como parte de minha função na Cylera, sobre as quais provavelmente falaremos com um pouco mais de detalhes. Eu tendi a me concentrar, ao longo da minha carreira, realmente na interseção entre segurança cibernética e saúde, em parte porque cresci com um dicionário médico na boca, graças a um pai que trabalhou para o NHS. Você provavelmente pode perceber o sotaque britânico aqui, e em parte porque eu era o único que podia fazer essas avaliações da HIPAA quando elas foram lançadas em 1996 nos EUA. Então, eu meio que fui preso aqui, na verdade.

0:02:33.0 Raghu Nandakumara: Na verdade, eu ia te perguntar, como você acabou na segurança da saúde, mas você respondeu parcialmente, mas vamos voltar a isso. Quando você estava falando sobre sua carreira, você falou sobre como desempenhar essa função de CISO em várias organizações, vários setores e, claro, você está nesse campo há mais de 30 anos. Então, como você viu o papel do CISO evoluir nesse período?

0:02:54.6 Richard Staynings: Oh, revolução absolutamente drástica, particularmente nos últimos 5 a 10 anos. Então, acho que o líder de segurança, se usarmos esse termo genérico aqui, foi na verdade alguém que surgiu por meio da TI. Pode estar na pessoa responsável pela configuração inicial dos firewalls ou talvez na pessoa que fez a avaliação anual de risco por motivos de conformidade e marcou todas as caixas. Pode ter sido outra pessoa que entrou em uma espécie de movimento lateral, o que descreveríamos como um movimento lateral hoje, para o espaço da cibersegurança. A função agora mudou para ser líder executivo. Agora está sentado à direita do CEO de uma organização, geralmente subordinado diretamente ao CEO, porque o risco, o risco corporativo da organização, na verdade, depende de o CEO e o conselho de administração entenderem sua postura de risco de cibersegurança.

0:03:51.9 Richard Staynings: Não é mais uma disciplina tecnológica se reportar por meio do CIO ou do CTO até o alto comitê executivo. Agora é uma explicação direta de relatórios e riscos diretos. Acho que isso trouxe uma mudança significativa nos tipos de habilidades que os líderes de segurança precisam apresentar. Eles precisam entender o negócio, também precisam ser capazes de entender a tecnologia, mas, o mais importante, traduzir os riscos da tecnologia de segurança cibernética em riscos financeiros corporativos, para que o CEO, o CFO e o conselho de administração possam tomar as decisões apropriadas. Afinal, eles são os árbitros definitivos do risco em qualquer organização.

0:04:36.4 Raghu Nandakumara: E acho que, parafraseando o que você acabou de dizer sobre esse líder de segurança agora ser capaz de conectar as decisões de negócios às decisões de segurança e, portanto, a necessidade de o líder de segurança estar essencialmente sentado na diretoria executiva, do seu ponto de vista, por que demorou tanto para que essa evolução acontecesse? E esse é realmente o lugar certo para o líder de segurança se sentar?

0:05:02.5 Richard Staynings: Vou responder na ordem inversa, certo. Definitivamente, acho que o CISO precisa ter uma relação de trabalho direta com o CEO, seja uma relação de subordinação direta ou por meio do diretor de risco ou de outra pessoa, para que faça sentido. E cada organização é muito diferente da outra. Então, se eu fizer uma declaração genérica e dizer que todos os CISOs devem se reportar aos CEOs, talvez não se encaixe muito bem na estrutura organizacional. Acho que definitivamente precisa haver uma relação direta, e acho que o CISO também precisa se expor ao conselho para poder apresentar sua análise dos fatos e suas recomendações ao conselho de forma comercial, em vez de uma forma comercial, ao invés de uma forma de medo, incerteza e dúvida, como muitos dos meus colegas fizeram ao longo dos anos. O céu está caindo, me dê algum dinheiro para que eu possa comprar um novo firewall, ou eu posso contratar outro analista de segurança para observar todos esses registros que estão me bombardeando. É uma evolução, e acho que chegamos ao ponto em que esse relacionamento precisa estar em um nível mais alto do que o que é em muitas organizações atualmente.

0:06:08.8 Richard Staynings: Voltando à sua primeira pergunta, acho que houve uma evolução na segurança cibernética nos últimos... Certamente nos últimos 20 anos. Provavelmente 15 mais marcadamente. A segurança era vista como um custo necessário dos negócios. Era um custo necessário que tinha que ser pago todos os anos, principalmente por causa de requisitos estúpidos de conformidade, porque uma organização estava sujeita à HIPAA, GLBA ou PCI DSS ou a uma das inúmeras outras regulamentações existentes, que as empresas precisavam cumprir para não serem multadas ou não serem desativadas, digamos, em termos de seu processador de pagamentos. Acho que esse fator de conformidade foi a faísca inicial que realmente acendeu a necessidade de melhorar a segurança cibernética. E acho que, desde então, as empresas agora desenvolveram suas estruturas de risco corporativo mais em torno de uma estrutura de risco que inclui segurança cibernética em vez de uma simples modelagem de risco financeiro comercial, como foi o caso anterior.

0:07:11.9 Richard Staynings: E, como resultado, a segurança cibernética se tornou muito mais importante. E eu acho que há um outro ponto, que é o fato de que você não pode escapar do número de ataques de segurança cibernética que estão na imprensa, mais ou menos todos os dias alguém é atingido. De acordo com a pesquisa que nós da Cylera Labs descobrimos, dois a três hospitais nos Estados Unidos por semana estão sendo atingidos por ataques de ransomware. Isso é só nos Estados Unidos. Globalmente, são cerca de 1900 por mês que estão sendo atacados por ransomware atualmente. Isso é apenas o setor hospitalar. Se analisarmos outros setores, isso aparece na imprensa toda semana, seja no Royal Mail e nas pessoas que não conseguem enviar seus pacotes para o exterior, seja em outro setor de infraestrutura crítica, como vimos com oleodutos nos EUA no ano passado ou no ano anterior, ou em outros negócios.

0:08:04.5 Raghu Nandakumara: Pelo que você acabou de descrever, isso apenas em termos dos ataques mais recentes e da interrupção que eles estão oferecendo. E definitivamente vimos essa mudança em termos de o resultado desses ataques girar principalmente em torno de interrupções em grande escala, geralmente interrupções que afetam a vida de pessoas individuais, em vez de, digamos, um grande tipo de empresa. Você vê isso como uma mudança em termos da motivação do atacante, de que a interrupção agora é o principal motivador versus, digamos, o exílio de dados e o uso desses dados posteriormente?

0:08:38.0 Richard Staynings: Então, acho que temos que entender quem realmente são os autores do crime cibernético. E se analisarmos isso em termos da magnitude dos ataques, a China realmente está no topo da lista. Agora, a China é uma perpetradora de crimes cibernéticos patrocinada pelo estado. Eles empregam cerca de um exército de libertação de 100.000 pessoas, “guerreiros cibernéticos”, como são conhecidos. Mas existem unidades de PLA que se concentram principalmente na espionagem cibernética. Eles querem roubar não apenas segredos de defesa, mas segredos nacionais do Ocidente para alimentar a economia chinesa. Eles também estão roubando segredos comerciais de todas as empresas em todos os principais setores, sejam eles produtos farmacêuticos para que possam roubar as formulações ou a pesquisa por trás dos medicamentos e levar um medicamento ao mercado por meio de suas indústrias estatais na China, ou seja o roubo de designs de F35 para que possam construir seu próprio bombardeiro furtivo de caça furtivo. Então, essa é a China. Esse é o primeiro grupo real. O segundo grupo são, na verdade, os russos. E eles estão em dois grupos separados. Porém, acho que nos últimos dois anos concordamos que há muita colaboração entre os dois grupos e, na verdade, eles podem muito bem se unir. Obviamente, há um aspecto estatal nisso. O GRU russo, a Unidade de Inteligência Militar que nos trouxe o NotPetya, o maior ataque individual, que custou algo entre $8 e $12 bilhões em perdas e derrubou um grande número de empresas globais.

0:10:02.7 Richard Staynings: Na verdade, esse foi um erro dirigido contra os ucranianos, como muitos de seus ouvintes saberão, que saiu pela culatra e derrubou muitas organizações russas, bem como o resto do mundo. E depois há os sindicatos do cibercrime na Rússia, que podem se unir à máfia russa. Em última análise, para Putin, essa parece ser a cabeça da cobra, por assim dizer, se acreditarmos no que nossa inteligência nos diz no momento, que elas estão inextricavelmente conectadas e motivadas monetariamente. E acho que o que aconteceu é que, desde a guerra com a Ucrânia, muitos desses sindicatos do crime organizado têm trabalhado lado a lado com o Kremlin para interromper. E acho que estamos vendo isso como uma espécie de tapa no pulso pelas ações políticas dos países anfitriões nos quais as organizações são atingidas. E podemos ver o recente ataque ao Royal Mail como um exemplo disso, porque coincidiu com a declaração da Grã-Bretanha de que forneceria mais armas e mais financiamento à Ucrânia em sua guerra contra a Rússia.

0:11:08.6 Raghu Nandakumara: E é interessante porque... Estou absolutamente vendo aquela mudança que você descreveu de forma tão eloquente e aquela mudança em direção à disrupção que parece estar realmente impulsionando agora o maior foco de vários órgãos governamentais e reguladores, que se concentram na resiliência. É sua observação de que o impacto disruptivo dos ataques cibernéticos está realmente impulsionando o foco na resiliência cibernética?

0:11:34.8 Richard Staynings: Sim, com certeza. Acho que muitos executivos seniores costumavam questionar o fato: Qual é a probabilidade de minha organização ser atacada? Preciso gastar esse dinheiro agora? Enquanto isso, posso gastar esse dinheiro em outro projeto favorito e adiar os investimentos em segurança cibernética por mais um ano? Posso receber um grande bônus executivo este ano sabendo que meu mandato de 5 anos como CEO termina no próximo ano e que posso sair com um número X de milhões de dólares em bônus por lucros, produtividade ou qualquer outra coisa que esteja sendo avaliada nessa organização? Acho que agora chegamos ao ponto em que não é mais uma questão de se eu vou ser atacado, é uma questão de: quantas vezes eu vou ser atacado e quais danos esse ataque realmente causará? E não é apenas uma questão de multas e danos punitivos porque você foi violado e muitos dos seus dados protegidos estão agora na darknet para venda pelos sindicatos do crime, e qualquer pessoa que queira comprá-los, é uma questão do custo da restituição a essas pessoas no monitoramento de crédito. É uma questão de ações judiciais coletivas massivas de seus clientes contra sua organização.

0:12:50.8 Richard Staynings: É um dano à reputação dessa organização. Nos EUA, quantas pessoas se inscreveriam em um cartão Target, sabendo que a violação do cartão Target foi parte do ataque de vários anos atrás? As pessoas têm memórias longas. Então, há muitas coisas que estão embutidas nisso. Mas também há, eu diria, que o maior fator de custo é o fator de tempo de inatividade. O que você faz se sua organização ficar inativa por semanas ou meses? Seus clientes vão pegar e se mudar para outro lugar? Sabemos que certos setores têm bases de clientes muito, muito instáveis, por exemplo, o setor de telefonia celular. Se você não puder fazer uma ligação por uma semana no seu celular, você ligará, cancelará sua assinatura e mudará para outro provedor. As pessoas fazem isso o tempo todo. Se houver $5 por mês a menos na conta deles. Na área da saúde, as pessoas têm muito menos opções de aonde ir por causa de suas seguradoras. Estamos vendo os custos de perda aumentarem na área de saúde, que é onde eu obviamente me concentro, para centenas de milhões de dólares em receita perdida devido ao tempo de inatividade.

0:13:54.7 Richard Staynings: E eu poderia citar aqui muitos exemplos de hospitais que viram sua receita diminuir como resultado de um ataque cibernético e do tempo necessário para restaurar totalmente seus sistemas. Portanto, a resiliência é absolutamente fundamental. Trata-se de sustentar um ataque, saber que você vai ter um, sustentar o ataque, ter medidas de continuidade de negócios que sejam bem praticadas e medidas de resposta a incidentes que sejam bem praticadas para que você possa continuar o negócio, mesmo que seja apenas em um nível limitado. E você pode manter seus clientes relativamente satisfeitos enquanto limpa e restaura. E isso exige altos níveis de resiliência em sua arquitetura, seu aplicativo, sua infraestrutura e muito mais. E acho que ainda não estamos nesse ponto.

0:14:43.4 Raghu Nandakumara: Acho que não poderia ter pedido uma resposta melhor e mais acessível do que essa. E eu acho que... Isso é exatamente o que realmente acontece. Agora você vê que, para impulsionar a mudança necessária e impulsionar a melhoria correta, vemos, digamos que, na UE, temos o NIST 2, temos a Lei de Resiliência Cibernética, temos o DORA especificamente para serviços financeiros para promover uma melhor resiliência cibernética lá. Você vê que esses atos e o tipo de legislação, etc., que os acompanham, terão as melhorias necessárias? Você está esperançoso disso?

0:15:17.2 Richard Staynings: Tenho muita esperança e acho que, com qualquer mudança na resiliência organizacional, ela precisa ser uma combinação de cenoura e palito. Há muito tempo que enfrentamos as multas do GDPR, mas a maioria das organizações é pequena demais para realmente precisar se preocupar com isso ou anda de cabeça na areia dizendo que isso não acontecerá comigo. E, francamente, vimos algumas multas bastante altas nos últimos anos por violações. Certo?

0:15:41.6 Raghu Nandakumara: Sim. Absolutamente.

0:15:46.0 Richard Staynings: Os resultados da resiliência inadequada, da cibersegurança inadequada.

00:15:47.7 Raghu Nandakumara: Absolutamente Então, vamos à área da saúde, porque essa é obviamente sua... e a segurança da saúde, sua área de especialização, entre muitas outras. Você disse que meio que entrou na área de segurança da saúde porque basicamente engoliu o livro didático do NHS, mas deve haver um pouco mais do que isso. Quando você estava procurando onde se especializar, o que era tão atraente especificamente sobre saúde, o setor de saúde e os desafios de segurança cibernética no setor de saúde?

0:16:14.8 Richard Staynings: Bem, primeiro, meu pai gostaria que eu crescesse para ser médica, mas eu não queria nada disso. Eu estava mais interessado nas ciências físicas do que nas ciências biológicas na escola e decidi que os computadores eram o caminho do futuro. Na verdade, fui a primeira pessoa em meu curso de graduação em Artes Liberais a realmente digitar sua própria dissertação em um PC de 4,7 kHz, se você se lembra disso há muito tempo, provavelmente antes de sua época, francamente. Mas era lento e tinha esses disquetes enormes nos quais minha dissertação se encaixava. Eu tenho esse fascínio por TI há muito tempo. Mas acho que os fatores motivadores foram, por um lado, que eu conhecia o idioma, conhecia o setor por dentro. Grande parte da minha família trabalhou no NHS ou trabalhou em outras partes da saúde, em serviços psicológicos ou em outras partes do tecido social do NHS.

0:17:08.0 Richard Staynings: Então, eu sabia muito disso e também me senti atraída por isso porque pude relatar muitas das experiências e lições que aprendi da maneira mais difícil administrando serviços financeiros e levando-os de volta à área da saúde. Os serviços financeiros provavelmente estão 15 ou 20 anos à frente do setor de saúde na maioria das organizações porque precisam, porque são alvo de crimes cibernéticos há muito tempo. A diferença é que, nos serviços financeiros, fica imediatamente claro que alguém o retirou do seu banco com milhões de dólares porque os livros não somam mais. Há um registro de transação e você teve uma grande quantia em dinheiro roubada, o que é imediatamente aparente. Na área da saúde, é menos aparente. Então, muitos hospitais foram atingidos há 15, 20 anos e estão apenas começando a descobrir que foram atingidos há 15 ou 20 anos.

0:18:00.2 Richard Staynings: E é basicamente porque alguém entrou para fazer uma investigação forense de seus sistemas, após um ataque recente, e encontrou todos esses ataques anteriores que passaram despercebidos. Não gastamos tempo, esforço e dinheiro e não tínhamos a experiência de nossas equipes na área da saúde para investigar possíveis preocupações. Não tínhamos os sistemas de alerta disponíveis para nos informar quando algo estranho estava acontecendo na rede. Quando havia atividade anômala, presumimos que era uma atividade normal de funcionamento da fábrica. Não tínhamos a equipe para perseguir essas coisas. Então, acho que consegui traduzir muitas das lições que os serviços financeiros e outros setores, de alta tecnologia, por exemplo, em que trabalhei conseguiram realizar e trazê-las para a área da saúde. Espero ter causado um impacto.

0:18:50.0 Raghu Nandakumara: A internet é prova disso. E acho que seu conteúdo, o desafio do qual você está falando, do jeito que você os narra neste momento, você está apenas se concentrando nos desafios de TI do setor de saúde ou nos desafios de segurança cibernética relacionados à infraestrutura de TI. Ainda nem falamos sobre a infraestrutura médica de OT. Isso está correto? Porque vamos abordar isso em um segundo.

0:19:13.8 Richard Staynings: Sim, e eu estive falando a 50.000 pés aqui sobre toda a tecnologia dentro da área de saúde. Mas a maioria das pessoas não percebe que as organizações de TI da área de saúde, o grupo de TI de um hospital, por exemplo, são responsáveis apenas por cerca de 25% dos ativos conectados. Os dispositivos que se conectam a uma rede hospitalar típica. E você pode extrapolar isso para várias porcentagens entre clínicas, consultórios médicos e outros prestadores de serviços de saúde. A grande maioria desses dispositivos agora são dispositivos médicos. Eles são dispositivos inertes ou em grande parte inertes que cumprem funções básicas quando acionados. Eles incluem tudo, desde sistemas de diagnóstico, raios-X, tomografia computadorizada, scanners PET, ultrassons, esse tipo de coisa, até sistemas de tratamento radiológico altamente complexos para radioterapia, sistemas de tratamento medicamentoso e quimioterapia, todos conectados às redes em geral, até sistemas de monitoramento e gerenciamento de pacientes e sistemas conectados a você quando você está na sala de emergência, talvez um manguito automático de pressão arterial que mede sua pressão arterial a cada poucos minutos.

0:20:26.3 Richard Staynings: Um monitor de frequência cardíaca, um monitor de saturação de O2, que é a coisinha que eles colocam em seus dedos para medir seus níveis de oxigenação. E há uma infinidade de outros dispositivos que agora são usados em uma simples visita ao pronto-socorro, visita ao pronto-socorro ou visita ao departamento de emergência, até unidades de terapia intensiva que têm até 50 dispositivos médicos por leito disponíveis para pacientes que precisam de todos os tipos de diferentes níveis de tratamento de monitoramento. Eles estão todos conectados à rede hospitalar. Eles geralmente estão em uma VLAN separada, que é uma segmentação de roteamento, não uma segmentação de segurança. Isso impede que parte do tráfego multicast chegue aos dispositivos médicos que são incrivelmente frágeis. E eles também incluem não apenas dispositivos médicos, mas também uma grande quantidade de sistemas de gerenciamento de edifícios atuais. Suas escadas rolantes, elevadores ou elevadores são gerenciados por terceiros a centenas de quilômetros de distância porque são mais baratos, melhores e mais sofisticados.

0:21:27.6 Richard Staynings: E há um pequeno PLC que controla os elevadores em um prédio que o eleva ao andar certo. Ela abre as portas, fecha as portas, dependendo de como você... Qual botão você apertou. E faz isso milhões de vezes ao longo de seu ciclo de vida. E são necessários apenas pequenos ajustes periódicos nos cabos para que alguém saia e ajuste os cabos à medida que eles se esticam. Este é um exemplo de um sistema de gerenciamento de edifícios que é relativamente estúpido, mas está conectado e pode ser usado como ponto de apoio na rede de dispositivos médicos. Coisas como HVAC que controlam a pressão do ar, o ar e a temperatura em nossos hospitais. Não poderíamos ter sobrevivido ao COVID sem o HVAC. Não poderíamos ter salas de pressão atmosférica negativa para todos esses pacientes pandêmicos sem infectar toda a nossa equipe médica e de enfermagem em todo o hospital e qualquer outra pessoa que por acaso se aproximasse de um hospital na época.

0:22:19.4 Richard Staynings: Crítico. Câmeras de CFTV que monitoram os pacientes em seus quartos para garantir que eles não tenham uma convulsão ou algo parecido. E remonta à estação de atendimento de uma enfermeira e às câmeras de segurança física que talvez monitorem corredores e portas. Fechaduras de segurança física, nas quais médicos e enfermeiras crachavam para entrar em partes seguras dos prédios do hospital. E há muito mais, se você observar robôs, robôs de farmácia, gabinetes Pyxis, por exemplo, robôs de entrega, laboratórios, a quantidade de equipamentos conectados à IoT nos hospitais é absolutamente impressionante. E fazemos um trabalho muito, muito ruim ao proteger esses dispositivos, em parte porque eles nunca foram projetados com a segurança em mente. Não havia regulamentação que dissesse que eles deveriam estar seguros.

0:23:03.6 Richard Staynings: Isso está prestes a mudar a partir de 1º de outubro de 2023, com a entrada em vigor da nova Lei PATCH. E novas regulamentações da FDA são disponibilizadas on-line e se espalharão por outros países, até o Reino Unido, a Europa, até a TGA na Austrália, que reflete muitas das regras e regulamentos do FDA, se não a maioria deles, para ser honesto com você. Então, isso trará uma mudança em algumas dessas coisas, mas ainda temos essa enorme lacuna em nossas redes no momento. É a porta traseira aberta e gastamos muito dinheiro protegendo as portas de entrada dos hospitais. Temos autenticação multifatorial e uma grande quantidade de ferramentas de gerenciamento de usuários para login único e o que você tem em todos os hospitais. Mas essas são as portas traseiras abertas. Estas são as janelas abertas na parte de trás... No térreo do prédio que qualquer pessoa pode escalar agora. E isso é preocupante.

0:23:55.4 Raghu Nandakumara: Você forneceu uma excelente visão geral dessa infinidade de diferentes tipos de dispositivos conectados que, digamos, uma organização de saúde pode ter na rede. E você meio que se refere à porta da frente e eu penso na porta de entrada desse ambiente de TI tradicional que entendemos, é um hardware mercantil, que executa software comum. E embora possamos obviamente fazer um trabalho muito melhor para garantir isso, temos boas práticas e práticas compreendidas para fazer isso. Do lado do dispositivo conectado, do lado da OT, apenas da variedade de fabricantes, dos tipos de dispositivos etc. Apenas como ponto de partida, o que seria, como alguém que agora está muito envolvido nesse tipo de espaço de segurança de OT, o que é bom o suficiente do ponto de vista da segurança de OT e qual é o santo graal que todos buscam no lado da segurança de OT ou na proteção de OT?

0:24:48.4 Richard Staynings: Vou começar com sua última pergunta primeiro. O Santo Graal que estamos tentando acessar são os dispositivos médicos que são seguros por design. Eles são suportados pelos fabricantes. Há avaliações de vulnerabilidade realizadas periodicamente contra esses dispositivos e divulgações feitas à comunidade sobre quaisquer vulnerabilidades encontradas nesses dispositivos. E os patches são disponibilizados muito rapidamente, dependendo da criticidade, obviamente, de qualquer vulnerabilidade encontrada em cada um desses dispositivos. E isso inclui um ciclo de vida, uma expectativa de vida útil para dispositivos, para que não tenhamos hospitais, amortizando ativos de dispositivos médicos em 30 anos quando eles são suportados pelo fabricante apenas por oito, por exemplo, o que geralmente acontece hoje porque não há ciclo de vida nem vida útil garantida pelos fornecedores. E, na verdade, os fornecedores fazem um péssimo trabalho ao oferecer suporte a dispositivos depois de vendidos. Então é aí que realmente precisamos chegar.

0:25:45.6 Richard Staynings: Agora, para chegar a esse ponto, precisamos adotar uma abordagem baseada em riscos para todos esses dispositivos antigos, porque os dispositivos médicos são como o plutônio. Eles têm meia-vida medida em décadas ou centenas de anos. Eles não estão aposentados. Se você tem um laptop Windows, pode decidir substituí-lo a cada dois anos, em parte porque é mais barato comprar um laptop novo do que uma nova licença do Windows para atualizar para a nova versão. E em parte porque a coisa provavelmente é inútil depois de dois anos de trabalho. Os Macs têm uma vida útil um pouco maior. Mas eu gosto de Mac, então vou dizer isso. Certo?

0:26:17.1 Raghu Nandakumara: Da mesma forma. Da mesma forma.

0:26:18.1 Richard Staynings: Sim. Mas os dispositivos médicos tendem a funcionar por oito a 20 anos em muitos casos. Certamente, os grandes sistemas do tipo ferro, os sistemas de raios-X. Você não vai jogar fora uma máquina de raio-X de 25 milhões de dólares por causa de uma vulnerabilidade e porque o fabricante dessa máquina de raio-X fechou as portas ou não está disponibilizando um patch. Portanto, você precisa implementar controles de segurança compensatórios. E esses são controles que avaliadores de risco e auditores como a HIPAA, como o OCR, por exemplo, o Escritório de Direitos Civis, parte do grupo de Saúde e Serviços Humanos ou outros órgãos reguladores que auditam a conformidade, aceitarão como um controle de segurança compensatório. Agora, para acessar esses controles de segurança compensatórios, você precisa entender a postura de risco de cada tipo de dispositivo conectado à sua rede.

0:27:08.6 Richard Staynings: E agora os hospitais estão... Eu ia dizer sem noção, mas digamos que há uma grande lacuna entre o que eles acham que têm em suas redes e o que realmente têm em suas redes. E houve vários relatórios. Houve um publicado no fim de semana falando sobre o número de NHS Trusts, por exemplo, que tinham um conhecimento muito limitado do inventário dos ativos que estavam em suas redes. E isso é comum em todo o mundo desenvolvido. Não sabemos o que se conecta às nossas redes. Temos uma planilha, uma planilha de ativos que é mantida por engenheiros clínicos ou técnicos de biomédica e eles a atualizam à medida que novos dispositivos chegam. Mas o que eles não estão atualizando é quando o firmware é atualizado nesses sistemas, quando os aplicativos são atualizados, quando os sistemas são devolvidos ao fornecedor, eliminados por RNA e substituídos por um novo sistema que pode ter um sistema operacional diferente ou uma configuração diferente.

0:28:04.2 Richard Staynings: E realmente precisamos entender quais ativos se conectam às nossas redes, para que possamos entender os riscos. E é realmente nisso que venho trabalhando nos últimos cinco anos na Cylera em termos de criar um verdadeiro inventário de ativos com um alto grau de fidelidade do que se conecta à rede, mapeando as portas, protocolos e endereços IP de destino que cada dispositivo exige para que possamos bloqueá-los em uma estrutura Zero Trust. Agora isso é... E a maioria das pessoas, quando falo sobre Zero Trust, provavelmente está dizendo: “Ah, você está falando sobre identidades?” Não, estamos falando sobre o outro lado disso. Há o ID ou o relacionamento do usuário com o objeto de dados e, em seguida, há o relacionamento do objeto de dados com o ativo de dados.

0:28:48.8 Richard Staynings: E é sobre esse último que estou falando aqui. Nesse caso, são dispositivos médicos. Se pudermos bloquear esses dispositivos médicos para que eles possam se comunicar apenas com o resto da rede médica nas portas e os protocolos nos endereços IP de destino que autorizamos explicitamente, basicamente porque fazem parte de seu perfil, podemos basicamente descartar todo o resto no nível da rede para garantir que um radiologista não possa ouvir o Spotify em um sistema PAC enquanto está olhando ou ela está vendo imagens, o que é comum no momento. Preocupação comum de conformidade.

0:29:24.8 Raghu Nandakumara: Eu não queria interromper em nenhum lugar porque há tantas coisas boas que você está cobrindo e então você chegou ao Zero Trust. Quando você pensa em, digamos, arquitetura de segurança em uma organização de saúde/em um hospital, para a liderança de segurança, quando o Zero Trust entra nessa conversa? E isso é algo que agora o setor de saúde está encarando seriamente como uma abordagem que eles precisam adotar para realmente melhorar radicalmente suas bases de segurança?

0:29:52.0 Richard Staynings: Eu gostaria de pensar que todas as organizações de saúde estão considerando o Zero Trust em todos os aspectos do Zero Trust. Mas o Zero Trust é uma jornada. Não é algo em que você possa acionar um botão e obter a certificação Zero Trust da noite para o dia. É uma mentalidade, é uma jornada, é uma estrutura sobre a adoção de vários controles de segurança que seguem os princípios de confiança Zero Trust, mas verificados: de permissões mínimas em qualquer objeto ou usuário para bloquear uma rede e protegê-la. É um passo em direção a um controle de acesso mais obrigatório que temos em nossas forças armadas, por exemplo, em que você só tem permissão para acessar determinados dados e determinados sistemas com base em suas atribuições e em seu nível dentro de uma organização militar. Obviamente, não faremos isso em uma organização de saúde, mas trata-se de adotar alguns desses princípios na rede.

0:30:46.3 Richard Staynings: Acho que o Zero Trust nos últimos anos se tornou mais popular nas revistas de negócios. Você lerá sobre Zero Trust no Wall Street Journal ou no Financial Times ou no The Guardian ou em qualquer outro lugar. Já que você não encontraria nada disso antes de cinco anos atrás, embora o Zero Trust fosse realmente... Quer dizer, a Forrester publicou seu primeiro artigo sobre o assunto em 2009, eu acredito. Então, demorou um pouco para chegar aqui. É algo pelo qual os executivos seniores de negócios deveriam trabalhar? Absolutamente

00:31:18.7 Raghu Nandakumara: Então, do seu ponto de vista, ao ter essas conversas com os profissionais cibernéticos do setor de saúde, quais são as perguntas que normalmente lhe fazem quando se trata de alguém que faz isso há 30 anos, quando se trata da adoção do Zero Trust? E eu sei que você mencionou o Zero Trust como uma jornada e que precisamos tomar medidas incrementais para melhorar nossa postura de segurança, mas qual é a pergunta mais comum quando se trata de proteger organizações de saúde e da adoção do Zero Trust?

0:31:45.5 Richard Staynings: Acho que depende com quem você fala. Se você falar com o CEO ou o CFO, eles dizem: “Quanto isso vai me custar?” Porque cada dólar gasto em segurança cibernética aprimorada é um dólar que não está sendo gasto no atendimento ao paciente. Poderíamos conversar por mais uma hora aqui apenas sobre a eficiência do sistema de saúde dos EUA, mas acho que a maioria dos sistemas de saúde em todo o mundo não é exatamente a ideal em termos de como eles gastam seu dinheiro em todas as coisas. Mas isso é separado... Discussão muito separada lá. Eu acho que realmente é sobre...

0:32:17.3 Richard Staynings: O sucesso da adoção do Zero Trust está, na verdade, na adoção de uma cultura de segurança cibernética dentro da organização. E essa cultura precisa começar no conselho de administração, no nível do CEO. E precisa permear todos os níveis da organização. E se você descobrir que o CEO está falando sobre segurança cibernética em seu briefing anual ou em cada reunião executiva, onde estamos em termos de nossa postura de risco de cibersegurança? O que estamos fazendo sobre isso e aquilo? Você descobrirá que todo mundo faz o mesmo, leva a cibersegurança a sério. Obviamente, esse é o ponto de partida. Ainda assim, quando falamos sobre Zero Trust, estamos falando sobre diferentes componentes que precisam se unir para atingir esse objetivo de Zero Trust, e essas são conversas separadas sob a égide da Zero Trust, por assim dizer.

0:33:09.4 Raghu Nandakumara: Concordo totalmente. E o outro ponto interessante que você disse foi que você não usou essas palavras especificamente sobre retorno sobre o investimento, mas disse que cada dólar gasto ou cada libra gasta em cibersegurança é uma libra a menos ou um dólar que não é gasto em serviços ao paciente. ROI, etc., é uma coisa muito comum no momento. Como uma organização de saúde como a RNHS aqui, que já está sem dinheiro, justifica a necessidade de gastar dinheiro em investimentos cibernéticos? Como isso o torna um item orçamentário essencial?

0:33:48.2 Richard Staynings: Então, acho que a regulamentação é uma forma de fazer com que essa mensagem apareça é o fato de que você precisa ter segurança cibernética. E vimos que, nos últimos dois anos, com a adoção do DSPT, o Data Security Protection Toolkit, que foi um grande avanço, confia na necessidade de se reportar digitalmente ao NHS National, acho que, neste momento, sobre os riscos de segurança que podem estar presentes em suas redes como resultado do anúncio eletrônico de novas divulgações de vulnerabilidades. E muitos trusts fizeram um trabalho muito bom ao reportar sobre o DSPT com a adoção de ferramentas como Cylera e outras, que podem ajudá-los com isso. Ainda há muitos outros que ainda não o fizeram. Há outra dinâmica aqui em torno do ROI, em particular, que é: qual é o custo potencial da perda versus o custo potencial de implementar controles de segurança cibernética adequados para evitar um ataque em primeiro lugar?

0:34:46.9 Richard Staynings: Agora, você não vai evitar todos os ataques, mas pode limitar um ataque, limitar os danos, minimizar o impacto nos pacientes e minimizar o impacto no tempo de inatividade do sistema como resultado da implementação de medidas de segurança cibernética. E há uma medida de cerca de 10 vezes sobre isso se analisarmos a maioria das estatísticas sobre isso. Então, você gastará 10 vezes mais dinheiro lidando com um incidente de segurança cibernética, o ataque contra o sistema de saúde irlandês ou o ataque do Wizard Spider, por exemplo, ou o ataque norte-coreano do WannaCry contra o NHS. O NHS gastou uma grande quantia de dinheiro remediando sistemas de computadores em fim de vida útil que deveriam ter sido substituídos ao longo de 10 anos, mas não estava implementando controles, sistemas e processos de segurança cibernética que deveriam ter sido implementados há muito tempo e atualizando a infraestrutura.

0:35:39.7 Richard Staynings: Teria sido muito mais barato gastar todo o dinheiro envolvido em lidar com o WannaCry e todo o dinheiro que ainda está sendo gasto em um acúmulo de cirurgias eletivas em todo o Reino Unido, em controles de segurança cibernética, em primeiro lugar, para evitar esses tipos de ataques. Lembre-se de que, quando há um ataque, você ainda está pagando pela limpeza. E você ainda não remediou o buraco que os criminosos conseguiram atravessar. Você ainda tem que fazer isso de qualquer maneira.

0:36:08.4 Raghu Nandakumara: É quase como uma profecia autorrealizável. Você está pagando duas vezes para consertá-lo e também para a limpeza. Mas eu entendo a justificativa de que, se não gastarmos X com isso hoje, o custo potencial se, quando formos violados, será 10 vezes. Essa justificativa prospectiva é compreensível. Depois de investir em um recurso de segurança, digamos, como a Cylera, como uma organização ou até mesmo como fornecedor, como você mostra essencialmente o retorno desse investimento às partes interessadas, ao responsável pelo orçamento, para que elas entendam que, depois de fazer esse investimento, estão obtendo o retorno sobre ele?

0:36:50.5 Richard Staynings: Acho que é difícil para qualquer fornecedor de tecnologia porque há um ditado que diz que você pode levar um cavalo até a água, mas não pode fazê-lo beber. Então, como fornecedores de tecnologia, fornecemos as ferramentas, os dados e a inteligência aos nossos clientes para que eles tomem as decisões apropriadas sobre a correção de vulnerabilidades relacionadas à microssegmentação de dispositivos em risco. Se um cliente não fizer isso, será difícil para ele realizar o investimento no software que foi fornecido a ele. Acho que agora estamos chegando a um ponto de parceria em que estamos trabalhando lado a lado com os fornecedores. E sei que muitos dos fornecedores com os quais nos associamos têm uma relação semelhante com nossos clientes, dizendo: “Olha, isso é o que precisamos fazer. Essas são as políticas, os procedimentos que precisamos implementar”, para que sejam automatizados para que eles não precisem se sentar e tomar uma decisão quando resolverão um problema. É corrigido automaticamente. E é aqui que estamos tentando chegar na Cylera em termos de orquestração e automação completas da remediação de segurança.

0:37:56.4 Raghu Nandakumara: O que você mencionou lá é muito importante porque, essencialmente, você tem quase duas partes. A primeira fase é convencer um cliente potencial, convencer um novo comprador de que é importante gastar dinheiro com isso e comprar esse recurso porque é importante proteger a organização. E a segunda parte é que, uma vez assumido esse compromisso, está impulsionando a adoção para implementar as políticas certas, o tipo certo de serviços, etc., o consumo dessa capacidade para que ela seja realmente usada. E o que vimos e o que vemos em uma infinidade de recursos de segurança é, eu acho, refutar o que você disse é que você pode levar o cavalo até a água, mas não pode forçá-lo a beber. Quando você analisa o futuro da saúde e da segurança de dispositivos médicos, o que você vê a médio e longo prazo? E eu sei que você também falou sobre ameaças de IA, então provavelmente há algum aspecto disso. O que você vê como futuro e o que será necessário para proteger a organização de saúde do futuro?

0:38:57.9 Richard Staynings: Você atingiu um bom ponto com a IA, então estou feliz que tenha mencionado isso. Obviamente, a IA fará uma mudança dramática em todo o ecossistema de saúde. Atualmente, temos uma grande quantidade de TI, uma grande quantidade de IA nas redes de TI e IoT dos hospitais. Nós temos... Nosso suporte à decisão clínica é baseado no aprendizado de máquina. Nosso sistema de imagem radiológica, que agora nos permite usar radiação de baixa dosagem com aprimoramento de IA dessas imagens de baixa dose, em vez de bombardear pacientes com radiação que, de outra forma, teria 2% de probabilidade de induzir câncer, em vez de realmente identificá-lo por uma imagem, o que sempre foi uma das desvantagens de você optar por uma tomografia computadorizada ou não, ou algum outro tipo, como uma tomografia computadorizada, por algum outro tipo de imagem.

0:39:43.4 Richard Staynings: Então, já temos essas tecnologias. Estamos usando grandes quantidades de IA e a próxima geração de ferramentas em medicina de precisão. Essa é uma medicina personalizada baseada em seu genoma, em seu próprio estilo de vida, em suas condições particulares, de modo que, em vez de uma droga ter uma eficácia de 2%, ela tenha uma eficácia de 90% e possa remediar problemas para você ou coisas como enxerto de genes, para que você possa enxertar genomas para evitar o aparecimento de certos tipos de câncer, por exemplo, que são de natureza hereditária. Agora, todas essas tecnologias exigirão acesso a grandes quantidades de dados para seus modelos de treinamento.

0:40:29.3 Richard Staynings: Portanto, não estamos falando de terabytes de dados aqui, estamos falando de milhões de terabytes ou zettabytes, como são conhecidos. Um zetabyte é um bilhão de terabytes, apenas para seu público. Temos aproximadamente 100 zettabytes de dados médicos que estão sendo usados pela IA atualmente para treinar modelos para a próxima geração de serviços de saúde. Agora isso é ótimo, mas os modelos de IA podem ser corrompidos, podem ser envenenados. Portanto, precisamos implementar a segurança em torno desses modelos de IA, desses modelos de treinamento, desses mecanismos de aprendizado. Por um lado, também precisamos implementar mecanismos de privacidade porque tenho certeza de que você não quer que seus dados médicos, seu genoma, apareçam na dark net russa e estejam à venda. E bem... Enquanto o seu genoma e o meu genoma podem não render muito, há certas pessoas cujos genomas renderiam uma quantia significativa de dinheiro.

0:41:19.5 Raghu Nandakumara: O meu definitivamente estará disponível de forma barata. O seu, tenho certeza, é muito mais.

0:41:23.2 Richard Staynings: Oh, eu não sei sobre isso. Então, esse é um exemplo de IA na área da saúde. Acho que a outra área é mais genérica em todos os setores e, na verdade, ocorre por volta do início de malwares carregados de IA, IA ofensiva, por exemplo. Vimos isso no último... Provavelmente desde 2018 e 2019, com certos malwares sendo habilitados por IA para que possam superar nossos antivírus tradicionais de terminais e perímetros, defesas de segurança de perímetro, ferramentas avançadas de proteção contra malware, XDRs e tudo mais, porque eles aprendem à medida que avançam. Eles são capazes de se passar por tráfego de rede legítimo e contornar nossas defesas. E vemos esse mesmo tipo de princípio aplicado com imagens e vídeos falsos na internet. Todos nós já vimos falsificações profundas de pessoas famosas dizendo coisas que nunca teriam dito ou não disseram durante sua vida. Agora temos novas músicas lançadas pelos Beatles, com inteligência artificial, que chegarão às lojas em breve. O último álbum dos Beatles com todo o elenco original, e tudo com inteligência artificial.

0:42:35.1 Raghu Nandakumara: O que eu digo sobre isso é que não são os Beatles, é estatisticamente equivalente a uma faixa dos Beatles, é o que eu digo em resposta.

0:42:47,7 S2: Certo. Exatamente. Mas a maioria das pessoas diria que eu fui aos Beatles.

0:42:50.9 Richard Staynings: Ou esse novo filme de John Wayne que saiu em 2023, é John Wayne. Ele é colorido neste. Mesmo que seja totalmente gerado por computador. E certas famílias de atores falecidos tentaram proteger o uso da IA para que suas imagens avançassem. Mas esses mesmos tipos de ferramentas estão sendo usados agora para atacar nossas organizações. E a única maneira de realmente se proteger contra essas ferramentas ofensivas de IA é usando ferramentas defensivas de IA. Portanto, precisamos repensar as ferramentas que temos à nossa disposição para que possamos habilitar essas ferramentas defensivas com IA para reconhecer um ataque de IA e bloqueá-lo imediatamente.

0:43:30.2 Raghu Nandakumara: Eu estava lendo sua recente postagem no blog, “The Rising Thread of Offensive AI”. Isso é fascinante, o número de áreas diferentes que você cobre e onde a IA representa uma ameaça, suponho, apenas com sua última resposta, que, em sua opinião, a única maneira de se defender contra a IA defensiva são as defesas alimentadas por IA e que as defesas convencionais não serão suficientes por si só.

0:43:50.3 Richard Staynings: Isso está correto. Já estamos descobrindo que os ataques habilitados por IA estão superando nossas tradicionais detecções de endpoints baseadas em heurística. Por exemplo, até mesmo algumas das primeiras ferramentas de IA XDR que estão disponíveis no momento, elas conseguem superá-las porque entendem como elas funcionam. Se você é um sindicato do crime russo, pode comprar todos os softwares imagináveis com um nome de empresa falso, instalá-lo em seus laboratórios e descobrir como derrotá-lo. E é isso que os criminosos estão fazendo, infelizmente. Precisamos de ferramentas mais inteligentes, ferramentas mais novas. E, infelizmente, isso significará que muitos fornecedores terão que repensar sua abordagem, ser altamente inovadores e criar novas ferramentas baseadas em IA. E isso também significa que os usuários finais terão que se livrar e aposentar muitas dessas ferramentas que usaram nos últimos 5 a 10 anos e procurar outro lugar. E talvez a abordagem, a combinação de sistemas e ferramentas que eles têm à disposição, em sua caixa de ferramentas, precise ser ajustada para a realidade de 2025 em diante.

0:44:53.0 Raghu Nandakumara: Sim. Absolutamente. Então Richard, eu sei que tivemos uma conversa bastante ampla e, honestamente, você facilitou muito meu trabalho hoje. Só por ser tão aberto e tão generoso com suas ideias que mal precisei fazer outra pergunta além de dizer um aceno de cabeça e agradecer. Então, antes de concluirmos, alguma ideia final para nossos ouvintes sobre qualquer conselho para profissionais de segurança no setor de saúde ou em outros setores?

0:45:22.3 Richard Staynings: Sim, eu diria que olhe para o futuro. Não olhe para o passado, não olhe para os líderes de mercado de cinco anos atrás, porque obviamente isso vai mudar e a aceleração da mudança vai aumentar e continuar aumentando. Eu diria que procure fornecedores que façam parceria com você, que se dediquem a você e o ajudem a solucionar problemas e descobrir como usar essas ferramentas em seu nível ideal de valor. E eu também procuraria ferramentas e fornecedores que tenham automação incorporada, porque não podemos continuar adicionando mais ferramentas à nossa caixa de ferramentas porque a caixa de ferramentas já está cheia. Tive muitas conversas com executivos seniores ao longo da minha carreira, que basicamente disseram: “Isso é ótimo. Eu ouvi de onde você está vindo. Eu entendo por que precisamos disso. De quais duas ferramentas você pode se livrar antes de comprarmos essa ferramenta? Quais ferramentas isso substitui?”

0:46:13.4 Raghu Nandakumara: É toda a conversa sobre o ROI com uma abordagem diferente.

0:46:16.6 Richard Staynings: Também é uma conversa direta, porque você não tem pessoas suficientes, não temos pessoas suficientes em nossas equipes de segurança. Estamos em desvantagem numérica de pelo menos 5 para 1 contra os perpetradores. E precisamos fazer um trabalho muito melhor de automatizar as defesas de segurança cibernética com base em livros de execução, processos e políticas que todos concordamos previamente para que esses sistemas funcionem sozinhos.

0:46:41.6 Raghu Nandakumara: Incrível. Richard, muito obrigado. Para nossos ouvintes, se você quiser conhecer mais sobre a experiência de Richard em segurança cibernética, confira seu site cyberthoughts.org. E se quiser entender mais sobre como a Illumio e a Cylera estão se unindo para levar o Zero Trust às organizações de saúde, confira nossas soluções conjuntas em illumio.com. Obrigado, Richard. Muito obrigado por estar no The Segment.

0:47:13.6 Richard Staynings: Obrigado por me receber.

0:47:16.8 Raghu Nandakumara: Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais recursos do Zero Trust, não deixe de visitar illumio.com. E enquanto você está nisso, confira o recém-lançado Guia de mercado de 2023 da Gartner para microsegmentação, onde a Illumio foi orgulhosamente listada como fornecedora representativa. Isso é tudo por hoje. Sou seu anfitrião, Raghu Nandakumara e voltaremos em breve.

‍