Search

Det mänskliga elementet i cybersäkerhet

man-tittar-pa-data

Rohit Ghais öppningsanförande på RSA 2020 i februari förra året var mycket bättre än vad jag trodde. Jag hade varit skeptisk till RSA:s val av tagline (“Det mänskliga elementet”) inför årets konferens; Jag tyckte det verkade klyschigt och oärligt. Ändå gjorde Ghai ett berömvärt jobb med att utforma cybersäkerhet som en mänsklig historia – en historia som vi kan och absolut måste återberätta.

Faktum är att Ghais tal ”triggade” så mycket hos mig, att jag ville dela hans, och mina egna, tankar om frågan gällande det “mänskliga elementet” i cyber.

Det är min åsikt att det mänskliga elementet är exakt där vi misslyckas mest som cybersäkerhetsproffs. Den vanliga berättelsen här (som får mitt hår att stå) är datoranvändaren som ett problem att lösa, att vara rädd för, straffad, reglerad, utbildad och inkallad i en cyberkonflikt som de aldrig riktigt kommer att vara utrustade för. Detta är dock inte det mänskliga element som Ghai diskuterade, och det är inte heller vad jag vill diskutera i dag. Det mänskliga elementet   är dock nyckeln till vår pågående cybersäkerhetskamp, och jag vill diskutera fyra sätt på vilka jag anser att detta bör hanteras

Empati

När jag besökte golvet på RSAC, och gjorde mitt bästa för att inte bli bestulen på min e-postadress, lyssnade jag till ett antal passionerade samtal om riskreducering, förluster på grund av brott, ROI, marknadstillväxt och vinstmaximering. Vi pratade om trender, vågor, modeller, finansiering och nystartade företag. Vi talade om efterlevnad och påföljder. Vi pratade om gruppen executives och CISO samt graden av utbrända bland säkerhetspersonal. Vad jag inte hörde någon prata om är offren. Det rapporteras att mellan 60%- 80% av USA: s personnummer redan har äventyrats. Att en viktig personlig identifiering undergrävts så grundligt, är ett förödande bakslag för de berörda personernas självständighet, säkerhet och integritet.

När företag komprometteras och data går förlorade och används för att identifiera stöld, när revisorer i Baltimore inte kan lämna in skattedeklarationer och när tillit går förlorad i valresultat på grund av hackning, e-postdumpningar och desinformationskampanjer, är de verkliga offren de människor som är beroende av dessa system för att leva sina liv. Alla talar om Equifax aktiekurs och hur deras CISO fick sparken, men nästan ingen talar om tant Maj, vars privata information stals och aldrig kommer att returneras till henne.

Flera personer på RSA har börjat prata om förtroende, och detta är ett avgörande koncept.  Förtroende är den infrastruktur som får samhället, demokratin och handeln att fungera. Förtroende handlar om att skapa en positiv miljö där människor kan trivas. Enligt ”DC” är säkerhet ett av fyra nyckelelement i en förtroendehierarki, så när säkerheten misslyckas går förtroendet förlorat… Och riktiga människor är offren.

Om cybersäkerhetsindustrin vill ha någon form av inverkan på hanteringen av den förestående förtroendekrisen, snarare än att bara fylla investerarnas fickor, måste vi sluta tänka på oss själva och börja tänka på offren som påverkas när vi misslyckas. Vi måste utveckla lite empati.

Ledarskap

Kanske är en av anledningarna till att vår bransch saknar empati att vi också saknar ledarskap. Vi medger det när vi själva beskriver oss som “säkerhetsbranschen”. En branschs funktion är att sälja produkter och generera vinster. Som ett resultat av detta är ledarna i vårt vertikal, de människor som skriver tidningarna och håller de presentationer som sätter tonen, fokuserar vår uppmärksamhet och koncentrerar våra ansträngningar, bekymrade över vinster, inte människor. Vad vi är i desperat behov av är en maktförskjutning, bort från säkerhetsföretag, till de verkliga intressenterna i samhället – offren själva, företagen som kämpar för att skydda sina tillgångar och de regeringar och strukturer som har mandat att skapa säkra och välmående samhällen.

Ledarskapets roll är att sätta en vision och definiera ett syfte bakom vilket en grupps insatser kommer att samlas. Beteenden drivs av incitament. Vi gör det vi mäter. Och låt oss vara ärliga, säkerhetsindustrins exempel är inte att i slutändan “lösa” säkerhetsproblemen. Vår bransch vill ha mer affärer, inte mindre, och det skapar en grundläggande intressekonflikt. Naturligtvis är det inget fel med att företag går med vinst. Men en bransch som stimuleras av vinst är inte där maktens centrum ska vara när du tar itu med ett existentiellt hot. Vi behöver ett annat ledarskap.

Förebilder

Vi saknar rätt ledarskap på grund av brist på bra förebilder. Vi använder alla analogier eller metaforer för att förstå en komplex värld. Sådana metaforer är i huvudsak modeller som vi använder för att organisera och förutsäga beteendet hos komplexa domäner. Som George Box lärde oss: Alla sådana modeller har i slutändan fel, men vissa visar sig vara användbara. Vi använder metaforiska modeller i säkerhet också.

En sådan metafor är att säkerhet är som att springa från ett rovdjur. Det kommer från detta citat av Thomas L Friedman:” Varje morgon i Afrika vaknar en gasell. Den vet att den måste springa fortare än det snabbaste lejonet, annars kommer den att dödas. Varje morgon vaknar ett lejon. Den vet att den måste springa ikapp den långsammaste gasellen, annars svälter den ihjäl. Det spelar ingen roll om du är ett lejon eller en gasell. När solen går upp, är det bäst att du börjar springa”.

Liknelsen förvandlas sedan till dess naturliga följd – att vi inte behöver springa ifrån lejonet, vi behöver bara springa ifrån de andra gasellerna, våra konkurrenter. Detta leder i sin tur till ett intensivt fokus på benchmarking och “bästa praxis” som ett mått för god säkerhet.

Branschen har förstått sig själv genom linsen av olika metaforer genom åren. Vi har varit revisorer, riskhanterare, poliser, möjliggörare av affärer, infrastruktur, krigare … till och med ninjor! Dessa metaforer kan tyckas triviala, men som jag argumenterade för innan; att det faktiskt spelar en viktig roll för att forma vår förståelse av vad vårt syfte är, hur vår miljö fungerar, vad våra mätvärden är och därmed vad våra beteenden bör vara. Det finns förmodligen ingen “korrekt” modell för att fånga vad vi är, men jag skulle hävda att vi måste tillämpa oss själva på att undersöka dessa metaforer och noggrant välja vilka förebilder vi vill använda för att bäst beskriva vad det är vi gör.

Hälso- och sjukvård, allmän säkerhet, epidemiologi, sjukdomsbekämpning, hållbarhet, permakultur, lag & ordning och nationell säkerhet ger oss alla modeller som kan ta vår förståelse för vårt syfte och därmed vårt tänkande och våra beteenden i en annan riktning.

Vi är fortfarande en ung industri och vi har inte definierat oss själva än. När vi går in i vuxenlivet är det viktigt att vi väljer rätt förebilder.

Det mänskliga elementet i cybersäkerhet- Mångfald

Bristen på etnisk mångfald och könsmångfald inom cybersäkerheten är tydlig för alla att se. Mitt intresse ligger dock inte i mångfald för sin egen skull, utan mångfald som ett sätt att injicera fundamentalt nytt tänkande och perspektiv i det problem vi försöker lösa. Denna typ av mångfald måste omfatta mer än bara kön och etnicitet. Det måste omfatta olika typer av utbildning och erfarenhet, olika nationaliteter, åldrar och livserfarenheter.

Vår industri måste desperat bryta dominansen hos medelålders vita manliga teknokrater som inte bara fyller alla stolar, utan också fortsätter att framhärda med det enkelspåriga och daterade tänkande som har svikit oss så spektakulärt under de senaste två decennierna.

Att skapa en sådan mångfald är ingen enkel strävan, men det börjar med ett mänskligt element som jag diskuterade tidigare i detta stycke – ett tydligt uttalande om godartat syfte som härstammar från länder utanför “industrin” och syftar till att fånga “varför” och “vad” i vår funktion, snarare än “vem” och “hur”. Så länge arbetsbeskrivningar fortsätter att skrivas av dem som redan har dessa jobb kommer de alltid att beskriva arbetet ur samma perspektiv – ett perspektiv som vi redan har sett är daterat och endimensionellt, och som till sin natur därför utesluter nya och olika synpunkter.

Om vi beskriver vad vi behöver när det gäller vårt godartade syfte; Om vi fångar de grundläggande problem vi försöker lösa och beskriva en värld där människor kan prata, handla, leka, arbeta och rösta säkert och privat på ett fritt och öppet internet, kanske vi kan hitta våra jobbansökningar från de nya och olika områden av färdigheter och expertis som vi så tydligt saknar.

Empati, ledarskap, förebilder och mångfald är fyra viktiga mänskliga element som vår bransch är i desperat behov av nu mer än någonsin. När vi utvecklar dessa är det min förhoppning att vi kan växa som en industri från att vara en självisk och arrogant tonåring, till en klok och väl avrundad vuxen som förstår sig själv som den väsentliga medkonstruktören av en universellt fri och rik värld som, med rätt grund av förtroende, är helt inom räckhåll.

Charl är chef för threat research på Orange Cyberdefense. Efter många år i en “attack och penetrations” -testningsroll har han en djup förståelse för den nuvarande strukturen inom informationssäkerhet, och med ett särskilt intresse och passion för undervisning och utbildning.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.