Kibernetska varnost ni več nišna skrb – je preizkus globalnega sodelovanja, nujna naloga upravnih odborov in vprašanje preživetja za mala podjetja, ki so vse bolj tarča kibernetskih napadov.

Kiersten Todt je bila priča tej preobrazbi iz prvih bojnih vrst, njen življenjepis pa je zajemal delo v Beli hiši, Agenciji za kibernetsko varnost in varnost infrastrukture ter vodstvene vloge v zasebnem in neprofitnem sektorju, vključno z Inštitutom za kibernetsko pripravljenost, osredotočenim na mala podjetja.

Ta teden se je pridružila podjetju Mastercard kot višja podpredsednica za partnerstva in sodelovanje na področju kibernetske varnosti, s čimer bo poglobila sodelovanje podjetja z vladami in globalnimi partnerji v vse bolj kompleksnem okolju groženj ter zagotovila, da varne inovacije postanejo gonilo – in ne ovira – napredka. S seboj prinaša mešanico strateške vizije in operativne realnosti, saj podjetje širi svoj portfelj storitev na področju kibernetske varnosti, identitete pri goljufijah in storitev, ki jih omogoča umetna inteligenca. 

»Veliko tega, kar pogosto počnemo na področju kibernetske varnosti, je upravljanje trenutka,« pravi. »Vendar je Mastercard v edinstvenem položaju, da je osredotočen na prihodnost.« Mastercard ima vire, zmogljivosti, kapacitete in stične točke po vsem svetu, da prevzame vodilno vlogo na tem področju in se vpraša: "Kakšna je vizija?" Kako lahko zgradimo varnejšo in odpornejšo infrastrukturo, varnejši in odpornejši ekosistem?

Novinarska soba Mastercard se je prejšnji teden sestala s Todtovo, da bi razpravljala o njenem pristopu k gradnji okvirov, ki opolnomočajo industrijo, spodbujajo izmenjavo informacij in vključujejo varnost v strukturo inovacij.

Intervju je bil urejen in skrajšan.  

Todt: To je bila vedno predmet razprave. Kot pri večini vprašanj s politiko, to ni znanost, ampak umetnost. Vlada ima neverjetno sposobnost zbiranja sestankov in njena vloga je na koncu koncev vzpostaviti okvir, ki usmerja industrijo in temelji na obvladovanju tveganj. Vlada lahko opolnomoči industrijo z zagotavljanjem smernic za obvladovanje tveganj in s pomočjo industriji pri določanju prednostnih nalog. Skladnost ne deluje, ker se na koncu spremeni v kontrolni seznam, ki ne zadostuje.

Eden ključnih elementov obvladovanja tveganj je, da se nikoli ne sme izvajati ločeno. Vlada tega ne bi smela početi ločeno od industrije in obratno. Sodelovati morajo, da bo končni rezultat najboljši možen pristop k odpornosti. Sodelovanje med industrijo in vlado je ključnega pomena za učinkovito in vplivno upravljanje kibernetskih tveganj. 

Todt: Ker se je okolje spremenilo, se veliko tega dejansko dogaja organsko, skozi dejanja. Ko sem bil nazadnje v zvezni vladi, smo si prizadevali za sodelovanje z industrijo pri proaktivnem odpravljanju kibernetskih ranljivosti. Toda skoraj takoj se je sodelovanje začelo kot odgovor na napade in vlada ter industrija nista imeli druge izbire, kot da sodelujeta. Okvir je bil že vzpostavljen, vendar so ti dogodki in kršitve aktivirali tovrstno sodelovanje. Obe strani imata ključne informacije za izmenjavo in vse bolj se zavedamo, da lahko s sodelovanjem bolje razumemo, kje je grožnja.

Pogosto govorimo o kazalnikih kompromisa. Ko sem bil v vladi, pa smo iskali kazalnike, ki bi nas zanimali. Kaj vidimo, kar nam govori, da se lahko nekaj zgodi? Vlada ne more odgovoriti na to vprašanje brez industrije. Industrija ne more odgovoriti na to vprašanje brez vlade. Zgodi se, da sestavljaš sestavljanko brez vseh koščkov, boljšo sliko pa dobiš s skupnim delom. Industrija lahko deli, kar vidi v svojem omrežju, vlada pa lahko sodeluje z različnimi sektorji, da bi pomagala prepoznati vzorce, kampanje in taktike. Skupaj se ustvari boljša in celovitejša slika groženj. S svojimi tehnološkimi zmogljivostmi, podatkovnimi sredstvi in obveščevalnimi podatki o grožnjah je Mastercard močan partner vladam po vsem svetu.  

Todt: Umetna inteligenca bo kibernetski varnosti dala ogromno prednost. To že vidimo skozi avtomatizacijo, upravljanje ranljivosti, sanacijo, možnost oblikovanja varne kode, vse te stvari, s katerimi smo se borili skozi leta. Nasprotniki pa hitro ugotavljajo, kako ga lahko uporabijo za svoje namene. To resnično vidimo, zlasti pri izsiljevalski programski opremi, ki jo poganja umetna inteligenca, kjer lahko izkoristijo ranljivosti v 15 minutah namesto v tednih ter avtomatizirajo skeniranje ranljivosti in pogajanja, ki jih je bilo prej treba izvajati ročno.

Dobra novica pa je, da se za razliko od drugih tehnoloških revolucij vsega tega zavedamo že na začetku. Čeprav umetna inteligenca in strojno učenje obstajata že nekaj časa, sta bila v ospredje vključena šele v zadnjih nekaj letih. Kot globalna družba se zavedamo, kako pomembna je pravilna uporaba teh tehnologij. Razumemo, da mora obstajati okvir za to tehnološko inovacijo, ki dejansko pomaga tehnologiji, da deluje bolje. Varne inovacije ne bi smele biti oksimoron. To pomaga inovacijam, ko varnost vgrajujemo že od samega začetka. Zaradi uvajanja umetne inteligence tako s strani industrije kot vlad vemo, da je potreben širok globalni napor, in mislim, da se podjetja in države združujejo, da bi razumele, kaj je treba storiti, in ugotovile, kako zgraditi okvir za ukrepanje. 

Todt: Na Inštitutu za kibernetsko pripravljenost smo se osredotočili na človeško vedenje. Kako lahko pomagamo izboljšati mala podjetja tako, da jih izobrazimo o nekaterih osnovnih ravneh kibernetske varnosti, ki so potrebne, da malim podjetjem pomagajo, da ne propadejo? Med pandemijo COVID-a smo na CRI opazili odvisnost globalnih dobavnih verig od malih podjetij z enim od naših članskih podjetij. Imeli so majhno podjetje, ki je postalo žrtev izsiljevalske programske opreme, propadlo in motilo globalno dobavno verigo podjetja. Moramo se bolje odrezati. To je naraščajoča plima, ki dvigne vse ladje. Vlagati moramo v kibernetsko varnost malih podjetij.

Ko gre za vključevanje kibernetske varnosti in praks kibernetske higiene v infrastrukturo malih podjetij, avtomatizacija zagotovo pomaga. Vlada ima tudi priložnost, da spodbudi podjetja, ki ponujajo varnostne izdelke, da te varnostne zmogljivosti postanejo privzete v tehnologiji. Nedavni tehnološki napredek nam omogoča, da varnost preusmerimo stran od končnega uporabnika, od malega podjetja, in jo vgradimo v tehnološko infrastrukturo.  Ne smemo podcenjevati ključnega pomena vlaganja v kibernetsko varnost malih podjetij in dajanja prednosti tej varnosti. 

Todt: Kibernetska varnost je bila dolgo časa obravnavana kot konkurenčna prednost, ki je bila predmet izbire, nekaj, v kar se je lahko vsaka organizacija odločila vlagati – ali ne – in nekaj, kar se je izvajalo ločeno. Nekoč, ne tako dolgo nazaj, so podjetja govorila, da ne bodo vlagala v kibernetsko varnost, ampak le v odziv, če se jim kaj zgodi.

Vendar pa smo videli in cenili ta premik k partnerstvu, sodelovanju, ta premik k skupni obrambi, dejstvo, da celovite kibernetske varnosti in odpornosti ne more doseči ena sama organizacija. Vlade po vsem svetu, zasebni sektor in tehnološki inovatorji se zavedajo, da je varnost digitalnega ekosistema kolektivna odgovornost. Prav tako me spodbuja vključevanje kibernetske varnosti v poslovno strategijo in inovacije. Ne gre samo za IT. Kibernetska odpornost je zdaj vprašanje upravnih odborov. To je neposredno povezano z zaupanjem, blagovno znamko in rastjo. To zavedanje spreminja način, kako organizacije dejansko vlagajo v varne tehnologije, obveščanje o grožnjah in medsektorsko sodelovanje ter jim dajejo prednost. Vgrajena varnost je nujna za trajnostno rast v prihodnosti.

Mastercard je v edinstvenem položaju, da prevzame vodilno vlogo v različnih sektorjih, vladah in industriji, da dvigne standarde in postane cenjen strateški partner. Mastercard vsak dan vidi, kako močno je lahko sodelovanje, kako partnerstva med vladami, panogami, sektorji in regulatorji na novo opredeljujejo odpornost in vključujejo kibernetsko varnost v sam inovacijski proces. Ker se Mastercard nahaja na stičišču tehnologije, zaupanja in trgovine, lahko predvidi grožnje, še preden se pojavijo, in zagotovi varno in odporno rast digitalnega gospodarstva.