00:00:07 Введение в тему киберрисков в цепях поставок во время эпидемии коронавируса.
00:00:36 Биография Ричарда Уайлдинга как профессора стратегии цепей поставок и его работы в области управления рисками цепей поставок.
00:03:24 Обзор проблем обнаружения и предотвращения киберрисков в разработке программного обеспечения.
00:06:06 Сложность определения, кто несет ответственность за предотвращение кибератак в цепях поставок.
00:07:44 Важность обучения пользователей в решении проблем безопасности и необходимость особого подхода к безопасности в проектировании.
00:08:00 Обсуждение безопасности, основанной на человеческом поведении.
00:09:04 Противоречивая позиция компаний, таких как Google, по вопросам безопасности.
00:09:57 Осознание людьми своей ответственности в области безопасности.
00:13:06 Люди приносят свои собственные устройства, когда безопасность слишком строгая.
00:15:04 GDPR и важность хранения только необходимых данных.
00:16:00 Обсуждение текущей ситуации с людьми, работающими из дома из-за коронавируса, и рисков, которые были введены.
00:17:01 Обсуждение безопасности персональных устройств и необходимости обучения сотрудников компаний безопасной работе из дома.
00:18:58 Советы Йоаннеса по защите компании от принятия сотрудниками плохих решений.
00:19:31 Важность использования “белых шляп” (законных хакеров) для улучшения информационной безопасности.
23:44 Заключительные мысли о борьбе с кибербезопасностью и необходимости того, чтобы хорошие парни опережали.
Резюме
Интервью между Кираном Чандлером, Йоаннесом Верморелем и Ричардом Уайлдингом посвящено теме киберрисков в цепях поставок. Верморел и Уайлдинг подчеркивают растущую уязвимость цепей поставок из-за их увеличенной связности и подчеркивают необходимость более всестороннего подхода к безопасности. Они обсуждают компромиссы между удобством и безопасностью, противоречивую природу некоторых мер безопасности и влияние удаленной работы на кибербезопасность. В беседе подчеркивается важность многогранных подходов к кибербезопасности, включая осведомленность, законных хакеров и улучшенные программные и аппаратные решения. Как Верморел, так и Уайлдинг подчеркивают продолжающуюся борьбу против киберугроз и необходимость для физических лиц и предприятий оставаться бдительными и гибкими.
Расширенное резюме
Киран Чандлер, ведущий интервью, представляет двух гостей: Йоаннеса Верморела, основателя компании Lokad, специализирующейся на оптимизации цепей поставок, и Ричарда Уайлдинга, профессора стратегии цепей поставок в Центре логистики и управления цепями поставок Крэнфилдской школы менеджмента, Великобритания, инноватора в области цепей поставок. Тема обсуждения - киберриски в цепях поставок.
Ричард Уайлдинг дает обзор своего опыта, случайно попав в академию после начала карьеры в промышленности. Имея опыт работы с нарушениями в цепях поставок с начала 1990-х годов, он стал профессором стратегии цепей поставок. Его цель - превратить знания в действие, вызывая и вдохновляя лидеров цепей поставок на инновации и создание экономической, социальной или экологической ценности. Крэнфилдский университет сосредоточен на том, чтобы помочь лидерам цепей поставок инновировать и создавать ценность в своих бизнесах.
Йоаннес Верморел затрагивает тему киберриска и его влияния на цепи поставок. Он описывает его как противоречивый и неуловимый, с традиционными методиками тестирования и разработки, неспособными решить проблемы безопасности. Он также отмечает, что развитие корпоративного программного обеспечения за последние несколько десятилетий увеличило площадь атаки, делая программное обеспечение более уязвимым для кибератак. Переход к облачным средам может повысить безопасность, но также предоставляет больше точек входа для потенциальных злоумышленников.
Ричард Уайлдинг обсуждает сложность обеспечения безопасности цепей поставок из-за желания открытости и связи между поставщиками и клиентами. Эта открытость создает множество точек входа для кибератак, которые могут иметь разрушительные последствия для бизнеса. Примеры потенциальных нарушений включают атаки на отказ в обслуживании веб-сайтов, прерывания систем управления складами и вмешательство в автономные транспортные средства. Уайлдинг подчеркивает, что серьезность кибератак может возрасти, когда они нацелены на цепи поставок, а не на отдельные веб-сайты или приложения.
В интервью подчеркивается растущая важность киберриска в цепях поставок и проблемы, с которыми сталкиваются компании в области обеспечения безопасности. Оба гостя подчеркивают необходимость инноваций в этой области, а также важность переосмысления традиционных методов обеспечения безопасности цепей поставок. Однако обсуждение остается неполным, и разговор ожидается продолжение в будущем.
Разговор подчеркивает увеличенную уязвимость цепей поставок из-за их растущей связности, с акцентом на кибератаки.
Ричард подчеркивает, что кибератаки на цепи поставок стали более распространенными в последние годы, и каждый несет ответственность за обеспечение безопасности. Он утверждает, что образование всех заинтересованных сторон о потенциальных рисках является важным. Однако Йоаннес считает, что полагаться только на образование пользователей недостаточно. Вместо этого он выступает за “правильность по дизайну”, когда меры безопасности встраиваются в системы для снижения возможности человеческой ошибки.
Чтобы проиллюстрировать свою точку зрения, Йоаннес приводит пример “атаки с USB-ключом на парковке”, когда зараженный вредоносным ПО USB-ключ оставляется на общественном месте, исходя из человеческой любопытства, чтобы скомпрометировать системы. Он противопоставляет этому подходы к безопасности компаний, таких как Google, которые предполагают, что люди будут допускать ошибки и соответствующим образом проектируют свои системы.
Ричард соглашается, что правильность по дизайну крайне важна, но он также настаивает на том, что человеческая ошибка по-прежнему является значительным фактором во многих нарушениях кибербезопасности. Он приводит примеры, такие как взлом данных Target, который произошел в результате атаки на поставщика через фишинговые электронные письма. Это нарушение обошлось компании в миллионы и является примером важности как осведомленности, так и дизайна системы для обеспечения безопасности цепей поставок.
И Йоаннес, и Ричард согласны в том, что для повышения безопасности цепей поставок необходимо сочетание образования пользователей, осведомленности и дизайна системы. Балансирование открытости для инноваций и блокировки системы - это вызов, с которым компании должны справляться, чтобы обеспечить безопасность своей информации и активов.
Разговор затрагивает баланс между доступностью и безопасностью, противоречивую природу некоторых мер безопасности и влияние удаленной работы из-за пандемии коронавируса.
Обсуждение подчеркивает, что меры безопасности иногда могут иметь обратный эффект, приводя к непредвиденным последствиям. Например, когда компании внедряют строгие меры безопасности на ноутбуках, сотрудники могут приносить с собой собственные устройства, неосознанно создавая угрозы безопасности. Аналогично, частая смена паролей может привести к тому, что сотрудники записывают пароли, делая их более уязвимыми. Верморель отмечает, что важно учитывать реакции людей на меры безопасности, чтобы избежать контрпродуктивных результатов.
Вайлдинг добавляет, что компании должны хранить только необходимые данные и следовать правилам, таким как GDPR, чтобы избежать ненужных рисков. Он подчеркивает важность обучения сотрудников безопасности паролей и предлагает, что хотя удаленная работа может увеличить безопасность в некоторых аспектах, она также вводит новые риски, такие как личные маршрутизаторы и устройства.
Верморель выражает скептическое отношение к образованию в качестве основного решения для предотвращения нарушений безопасности, указывая на появление угроз, таких как поддельные USB-кабели, передающие вредоносное ПО. В беседе подчеркивается необходимость более всестороннего подхода к безопасности цепей поставок, учитывая человеческое поведение и балансировку доступности и защиты.
Беседа подчеркивает проблемы, с которыми сталкиваются бизнес и частные лица в борьбе с все более сложными киберугрозами.
Верморель приводит пример того, как кажущийся невинный кабель может содержать микрокомпьютер с потенциалом компрометации систем. Он выражает скептическое отношение к эффективности обучения людей предотвращать кибератаки, так как угрозы разнообразны и постоянно развиваются. Вместо этого он предлагает использовать хакеров-этичных хакеров для выявления уязвимостей в системах компании, что может быть более эффективным подходом к улучшению IT-безопасности.
Вайлдинг соглашается с важностью привлечения хакеров-этичных хакеров, упоминая свой собственный опыт найма хакеров для проверки мер безопасности на досках компании. Он также подчеркивает необходимость регулярной оценки из-за постоянно меняющейся природы киберугроз. Вайлдинг признает наличие более сложного программного обеспечения, которое может обнаруживать и предупреждать пользователей о подозрительной активности, но отмечает, что уязвимости аппаратного обеспечения, такие как скомпрометированные USB-накопители, по-прежнему представляют значительные риски.
Собеседники обсуждают компромиссы между удобством и безопасностью, причем Вайлдинг указывает на важность установления руководящих принципов и брандмауэров для ограничения потенциала масштабных атак. Он также выражает оптимизм относительно будущего кибербезопасности, признавая, что это “бегущая битва” с постоянными улучшениями. Вайлдинг приводит в пример встроенную защиту от вирусов в современных ноутбуках Windows как пример таких улучшений, но также подчеркивает необходимость постоянного осознания и бдительности.
И Верморель, и Вайлдинг подчеркивают важность многогранных подходов к кибербезопасности, включая осведомленность, хакеров-этичных хакеров и улучшенные программные и аппаратные решения. Они признают непрерывный характер борьбы с киберугрозами и подчеркивают необходимость бдительности и адаптации как для отдельных лиц, так и для бизнеса.
Полный текст
Кирен Чандлер: Сегодня на LokadTV мы рады приветствовать профессора Ричарда Вайлдинга, который будет обсуждать с нами тему киберриска в цепях поставок. Итак, Ричард, большое спасибо за то, что присоединились к нам прямо сейчас из Великобритании. Возможно, чтобы начать, вы могли бы рассказать нам немного о себе и о работе, которую вы выполняете в Крэнфилде.
Ричард Вайлдинг: Хорошо, моя карьера началась в промышленности, и я случайно попал в академию несколько лет назад. Я так и не смог избавиться от этого. Но, в основном, я занимался исследованием нарушений в цепях поставок, начиная с начала 90-х годов. Конечно, тогда мы сталкивались с совершенно другими вещами. В 2000-х годах у нас были такие события, как 11 сентября, вулканические облака, энергетические кризисы и болезнь ног и рта, которые все повлияли на риск и устойчивость цепей поставок. Я стал, вероятно, одним из первых профессоров управления рисками в цепях поставок в мире, но сейчас этот титул изменился, и я являюсь профессором стратегии цепей поставок в Крэнфилде. Моя цель - превращение знаний в действие, поэтому я люблю применять это знание на практике. Я бывший председатель Королевского института логистики и транспорта в Великобритании, который охватывает все, связанное с перемещением товаров и людей, а также их связанные цепи поставок. Мое внимание сосредоточено на вызове и вдохновении лидеров цепей поставок на инновации. Я надеюсь, что наши слушатели сегодня смогут унести с собой некоторые идеи и задуматься о том, как они могут инновировать, чтобы создавать экономическую, социальную или экологическую ценность. Вот в чем суть Крэнфилда - превращение знаний в инновации и создание ценности в цепях поставок и бизнесе, в которых они работают.
Кирен Чандлер: Это прекрасное введение. Я определенно считаю, что идея инноваций - это то, с чем мы согласны здесь, на LokadTV. Джоаннес, наша тема сегодня - это киберриск и его влияние на наши цепи поставок. Каково ваше первое представление?
Джоаннес Верморель: Киберриск - это одна из тех вещей, которая в практике является супер-противоестественной. Например, очень сложно обнаружить проблемы безопасности в программном обеспечении. Большинство обычных методик тестирования не работают, и большинство типичных практик разработки не решают эти проблемы. Это ускользающая тема. То, что все больше привлекает мое внимание за последнее десятилетие, это то, что большую часть времени занимает предприятийское программное обеспечение в целом.
Кирен Чандлер: За последние десятилетия мы наблюдаем увеличение так называемой площади атаки программного обеспечения. У вас есть программное обеспечение, которое более подвержено атакам, особенно когда вы переходите к облачной среде. Облачные среды более безопасны, но у вас есть гораздо больше точек входа для вашего программного обеспечения. Кроме того, когда у вас есть веб-приложение, у вас есть целые классы рисков, которые очень сложно устранить или предотвратить с точки зрения потенциальных проблем безопасности.
Джоаннес Верморель: Кирен, ты упомянул методики тестирования, которые не работают так хорошо. Ричард, если мы посмотрим на вещи с точки зрения цепи поставок, что делает ее такой сложной для обеспечения безопасности?
Ричард Вайлдинг: С точки зрения цепи поставок, мы хотим, чтобы вещи были относительно открытыми. Мы хотим связываться с нашими поставщиками и клиентами, но это создает множество точек входа. Часто атаки происходят в цепи поставок. Если я хочу закрыть бизнес, то атака отказа в обслуживании на веб-сайте может быть разрушительной, но если вы начнете думать о разрушительных последствиях, которые могут быть вызваны нарушением системы управления складом или автономных транспортных средств, это может быть гораздо более разрушительным для бизнеса в терминах его способности продолжать работать и возрождаться в будущем. Мы обнаруживаем, что некоторые атаки происходят, например, через портал поставщика. Люди получают доступ к данным или могут предоставлять информацию большому клиенту, но это создает точку входа. Если кто-то может сделать что-то такое простое, как фишинговая атака, это может вызвать проблемы.
Есть множество уязвимостей, и я об этом говорю уже, наверное, 18 месяцев, потому что мы видим большой рост кибератак на цепи поставок. Одна вещь, которая действительно интересна, это то, чья работа - предотвратить это. Проблема в том, что если вы обратитесь к команде цепи поставок, они скажут, что это работа команды информационных технологий. Если вы обратитесь к командам информационных технологий, они скажут, что это работа команды цепи поставок. Это работа каждого, поэтому мы должны обеспечить осведомленность у всех, чтобы предотвратить такие вещи. Обучение бизнеса и информирование его о таких вызовах является критическим.
Кирен Чандлер: Ричард упомянул, что цепочки поставок определенно становятся более связанными. Если посмотреть на любую многонациональную компанию, то они сейчас распространяют свои системы по всему миру. Вы бы сказали, что увеличение связности - это настоящая слабость?
Жоанн Верморель: Да, именно это я имел в виду, когда говорил о увеличении площади атаки. Чем больше вещей подвержено воздействию третьих сторон, тем более уязвимыми они становятся. В интернете вы не подключаетесь к человеку, поэтому если у вас есть веб-портал, у вас есть программное обеспечение, которое взаимодействует через порт 80 по протоколу HTTP. Оно может быть на другом конце; это всегда машина. Машину может управлять человек, и это может быть тот самый сотрудник, которым вы считаете этого человека.
Кирен Чандлер: Итак, действительно, спасибо, но где вы бы немного отклонились и где, по вашему мнению, могла бы возникнуть разница в отношении к безопасности, возможно, с толкованием?
Жоанн Верморель: Я считаю, что в целом образование пользователей в общем не достаточно для решения этих проблем безопасности. Вот почему это очень глубоко сосредоточено. Это должна быть своего рода ловушка безопасности, и именно здесь вам действительно нужен специфический подход к корректности по дизайну. Вы не можете ожидать, что люди не будут нажимать на вложения или что-либо еще. Если вы ожидаете, что люди будут придерживаться правил в ситуации, где они всего в одном клике от катастрофы, они это сделают. Так, например, одна из простых атак называется атакой с использованием USB-ключа на парковке. Вы просто бросаете USB-ключ с вредоносным ПО на парковке и пишете “Секретный запас биткоинов” сверху. Вы можете быть уверены, что найдется кто-то, кто попробует этот ключ, подключив его к компьютеру. Если вы полагаетесь на то, что люди должны быть образованными, я имею в виду, они люди. Даже если они довольно умны, у них может быть недостаток сна, и иногда у них происходит сбой в суждении. Это просто случается. Так что, если вы полагаетесь на то, что люди будут умными, бдительными и образованными, это не сработает. И это очень забавно, потому что, когда вы видите, как обеспечивается безопасность в компаниях, например, Google, они занимают противоположную позицию. Позицию, которая была более применена в других областях, например, в ядерной промышленности, где вы предполагаете, наоборот, что люди будут глупыми. Когда вы думаете, что они сделают что-то очень глупое, вы думаете, могут ли они сделать что-то еще хуже? Но есть еще много других идей, которые похожи и которые в значительной степени определяются дизайном.
Кирен Чандлер: Хорошо, Жоанн упомянул эту идею корректности по дизайну, Ричард. Какие методы мы можем внедрить, чтобы обеспечить безопасность наших систем?
Ричард Уайлдинг: Я думаю, это интересная вещь, и я думаю, что нам нужно иметь корректность по дизайну. В этом нет сомнений. Но если вы смотрите на старое правило 80-20 относительно причин многих проблем, к сожалению, это люди. И интересно отметить, что Google Австралия был взломан некоторыми хактивистами, чтобы показать, что они могут это сделать. И они смогли это сделать через систему управления зданием для нового здания Google в Австралии. Они взломали ее. Если посмотреть на некоторые действительно большие нарушения в бизнесе, например, Target в Соединенных Штатах, который до сих пор продолжает иметь дело со всевозможными коллективными исками и всем остальным, это было довольно интересно. Сорок миллионов учетных данных платежных карт и семьдесят миллионов записей клиентов были просто собраны, и это произошло через систему управления отоплением и вентиляцией. Поставщика нацелили с помощью фишинговых писем. Затем им удалось проникнуть в эту часть бизнеса, и они просто ходили и собирали информацию, нашли сеть точек продаж и просто сидели там, собирая информацию.
Кирен Чандлер: Это действительно важно, потому что топливо, как вы могли не поверить, обошлось им в 162 миллиона. Это одно из таких нарушений, которое произошло. Но я думаю, ключевым здесь является то, чтобы сделать людей осведомленными об этих вещах, осведомленными о своих обязанностях. Но здесь у вас также есть сторона дизайна. Проблема в том, что вам нужен некий уровень открытости.
Ричард Уайлдинг: Правильно, давайте я расскажу о своем ноутбуке. Университет может заблокировать его, чтобы я не мог ничего сделать с ним, и это не очень весело. У нас было это несколько лет назад, когда говорили: “Это корпоративно. Никто не может заходить на LinkedIn, никто не может заходить на YouTube, никто не может заходить на это или то”. Но проблема в том, что, возвращаясь к инновациям, инновации заключаются в том, чтобы брать идеи, которые новы для вас, и создавать ценность. Если вдруг вы заблокируете свои системы, потому что они могут позволить людям получить доступ к тому, к чему им не следует, или это ослабит нашу инфраструктуру и все остальное, это может иметь другой эффект. Так что, с введением “социальной медиа блокировки внутри нашей компании”, это также привело к блокировке инноваций, можно сказать. Потому что теперь множество инноваций и хороших идей эффективно обмениваются через эти каналы. Поэтому здесь нужно быть особенно осторожным, и я думаю, что это одна из тех вещей, когда нужно найти баланс между доступностью и безопасностью, но при этом убедиться, что при возникновении проблем вы быстро их обнаружите.
Кирен Чандлер: Хорошо, хотели бы вы вмешаться, Жоаннес?
Жоаннес Верморель: Да, я имею в виду, просто чтобы дать вам пример, когда я говорил о том, что это противоречиво, я думаю, что полное ограничение - это идеальный пример этого. Если у вас есть очень жесткая безопасность для ноутбуков, где компания может устанавливать только одобренное программное обеспечение и вы можете посещать только одобренные веб-сайты, что происходит на практике? Люди привозят свои собственные устройства, покупают свои собственные ноутбуки. Так что, в то время как в теории вы думали, что создаете безопасность, на самом деле это не так, потому что люди будут реагировать и делать что-то другое. То же самое с паролями, например. Были проведены исследования, даже опубликованные Национальным управлением по безопасности США, которые показали, что частая смена паролей вредна. Если вы часто меняете пароли, то люди начинают приклеивать записки с паролем недели на своих столах. Так что в итоге вы получаете офис, где пароль каждого находится на столе каждого на записке.
Вот почему я говорю, что это очень противоречиво, и это не просто баланс. На самом деле, часто вы можете побудить людей делать вещи, которые еще менее безопасны. И снова, я думаю, что в ядерной промышленности есть много хороших примеров этого. Если вы нагружаете людей слишком многим защитным снаряжением, то в какой-то момент летом становится слишком жарко, и они избавляются от всего этого просто потому, что не могут вынести жару от всего, что им приходится нести, и в результате они оказываются без какого-либо защитного снаряжения, что очень глупо. Вот почему безопасность так сложна. Потому что нужно думать о том, как люди будут реагировать, и это как полностью рекурсивный обратный процесс.
Кирен Чандлер: Подумайте об этом, есть данные, которые вы не должны собирать в течение какого-либо времени, может быть, неделю, и избавьтесь от них.
Ричард Уайлдинг: Думаю, интересным фактом о Target, конечно, было то, что они не хранили данные. Они просто проходили через свои системы. Если вы совершаете транзакцию с использованием кредитной карты, она должна пройти через интернет к банку. Если вы можете прослушивать этот поток, что на самом деле и происходило, то вы можете делать такие вещи. Но я думаю, что очень важно, если вы думаете о GDPR и защите данных, сохранять только то, что действительно нужно. В чем смысл хранить все эти данные? Некоторые компании сейчас, с помощью искусственного интеллекта, считают, что им следует хранить все эти данные, потому что в будущем они могут быть полезными. Ну, это похоже на то, что я храню каждое письмо, которое я когда-либо написал в своей жизни. Буду ли я когда-нибудь делать что-то полезное с этим в будущем? Мы должны обдумать это.
Мне нравится этот маленький цитатник, когда я говорю людям о паролях: “Пароли похожи на нижнее белье. Вы не хотите, чтобы их видели, меняйте их часто и не делитесь ими с незнакомцами”. Но в то же время, вам нужно убедиться, что вы сможете запомнить эти вещи, поэтому вам нужны другие подходы.
Kieran Chandler: Ричард, давайте поговорим немного о текущей ситуации, когда все больше людей работает из дома из-за коронавируса. Предположительно, это привнесло гораздо больше риска. Что может сделать компания, может быть, кто-то, кто смотрит это, чтобы защитить себя?
Richard Wilding: Я бы рекомендовал, чтобы, когда вы работаете дома, в некоторой степени это может быть более безопасно, потому что если пароли остаются повсюду на моем столе, которых нет, то меньше людей будет перемещаться. Таким образом, есть некоторые элементы, о которых можно спорить, делают удаленную работу немного безопаснее. Но в то же время, теперь мы используем собственные устройства каждого, что было сказано ранее, и нам нужно уметь справляться с этим. Также важно понимать, что мы используем наши собственные персональные маршрутизаторы, интернет-подключения, Wi-Fi-сети и все остальное. Так насколько это безопасно? Я думаю, компании должны начать обучать своих сотрудников работе из дома и использовать ресурсы, такие как Cyber Essentials, чтобы помочь им в том, что они делают.
Kieran Chandler: Джоаннес, каковы ваши рекомендации для тех, кто смотрит это? Исходя из вашего опыта, как вы защищаете компанию от сотрудников, таких как я, которые могут принимать плохие решения?
Joannes Vermorel: Я действительно не верю в образовательный путь, или, может быть, в очень специфическом смысле. Просто чтобы дать вам представление о возникающих угрозах, которые мы видим в настоящее время, на Amazon есть тонны подделок, и даже для вещей…
Kieran Chandler: Итак, Ричард, давайте начнем с вас. Мы слышим много о переходе к удаленной работе, особенно в контексте пандемии. Какие у вас есть самые большие опасения относительно безопасности информационных технологий в удаленной рабочей среде?
Richard Wilding: Я думаю, что есть целый ряд опасений в отношении безопасности информационных технологий, когда речь идет о удаленной работе. Одна вещь, о которой люди могут не задумываться, это то, насколько базовыми могут быть некоторые из этих опасений. Например, что-то такое базовое, как USB-кабели, которые мы все используем каждый день, на самом деле могут передавать вредоносное ПО на ваш компьютер. С развитием вычислительной техники теперь возможно иметь микрокомпьютер внутри кабеля. И это всего лишь один пример того, что может произойти с адаптерами и другими подобными устройствами. Таким образом, в итоге у вас может быть что-то такое мощное, как компьютер 20 лет назад, внутри кабеля, который выглядит как обычный кабель. И он даже может иметь бренд, которому вы доверяете, но то, что вы покупаете, на самом деле может быть подделкой. И у Amazon были проблемы с этим.
Joannes Vermorel: Если мне позволите добавить к этому, Кирен, я очень скептически отношусь к тому, что обучение в одиночку может что-то изменить в области информационной безопасности. Проблемы настолько распространены и разнообразны, что я не думаю, что можно полагаться на то, что люди всегда будут вести себя определенным образом. Но я думаю, что удаленная работа имеет одно положительное преимущество, о котором люди могут не думать, а именно то, что она делает удаленную работу более приемлемой. И по моему опыту, наиболее положительный способ улучшить информационную безопасность - это использование белых шляп, то есть хакеров, которые предлагают свои услуги удаленно для поиска уязвимостей в безопасности вашей компании. Это странно, но безопасность - это такая странная область, что даже когда вы ожидаете, что люди будут вести себя определенным образом, очень вероятно, что они этого не сделают. Например, кто-то может притвориться технической поддержкой и позвонить вам, чтобы получить доступ к вашему компьютеру.
Richard Wilding: Да, Джоаннес, я полностью согласен с вами. Фактически, в моей роли в советах директоров мы нанимаем таких людей - обычно бывших хакеров, которые отбывали срок в тюрьме и теперь работают с организациями, чтобы находить уязвимости в их безопасности. Важно делать это регулярно, потому что методы атак постоянно меняются. И также важно, чтобы люди понимали, что делать, когда происходит атака. Сейчас есть более сложное программное обеспечение, которое может обнаруживать изменения в файлах или перезапись кода, но мы также должны думать о аппаратном подходе. Например, в некоторых средах не разрешают использовать USB-накопители, такие как военный кампус в Cranfield, где я работаю.
Кирен Чандлер: Это действительно интересно. Ричард, можешь ли ты рассказать нам немного больше о программных подходах, которые сейчас используются для обнаружения кибератак?
Ричард Уайлдинг: Да, сейчас существуют более сложные программные подходы, которые могут обнаруживать изменения в файлах или переписывание кода. Они могут создавать оповещения об этих изменениях и помогать предотвращать атаки до их совершения. Но, как я уже говорил ранее, нам также необходимо думать о аппаратном подходе. Нам нужно иметь руководство по таким базовым вещам, как USB-накопители и кабели, и мы должны регулярно привлекать “белых хакеров”, чтобы находить уязвимости в нашей безопасности.
Кирен Чандлер: Итак, Джоаннес, Ричард, мы много говорили о уязвимостях и рисках, связанных с кибербезопасностью, но какие есть способы защиты себя?
Джоаннес Верморел: Я думаю, первое, что нужно понять, это то, что кибербезопасность не является абсолютной. Это компромисс между безопасностью и удобством. Например, если у вас очень безопасная система, она может быть очень неудобной в использовании, и если она очень удобная, она может быть не очень безопасной. Поэтому нам нужно найти баланс между этими двумя вещами.
Ричард Уайлдинг: Да, и я думаю, что еще один важный момент заключается в том, что нам нужно иметь некий брандмауэр, чтобы ограничить то, что происходит внутри наших систем. Мы не хотим мега-атаки, поэтому нам нужно иметь возможность обнаруживать и останавливать развертывание вредоносного ПО.
Кирен Чандлер: Это хороший момент. Итак, давайте на мгновение сосредоточимся на положительных аспектах. Кибербезопасность продвинулась далеко за последние несколько десятилетий. Вы думаете, что она будет продолжать улучшаться, и мы будем становиться безопаснее, чем когда-либо?
Ричард Уайлдинг: Я думаю, это бесконечная борьба, если быть честным. Кибербезопасность - это постоянная игра, которая всегда продвигается вперед. Однако я думаю, что вещи улучшаются. Например, если вы сегодня покупаете ноутбук с Windows, он поставляется с Windows 10, в которой есть неплохая защита от вирусов, которая делает часть работы бесплатно. Таким образом, мы начинаем видеть, что кибербезопасность становится частью пакета.
Джоаннес Верморел: Да, но нам также необходимо создать осведомленность у всех. Люди должны знать, что даже USB-накопитель или кабель могут нанести вред. В этом заключается суть происходящего. Но если люди об этом знают, они могут подумать дважды, прежде чем сделать что-то из этого.
Кирен Чандлер: Таким образом, это сочетание создания осведомленности и наличия систем, которые могут обнаруживать и останавливать развертывание вредоносного ПО. Что ж, нам придется закончить здесь, но спасибо вам обоим за ваше время. Это все на этой неделе. Большое спасибо за просмотр, и увидимся в следующем эпизоде. Спасибо за просмотр.
