Wenn Informationssicherheitsexperten die anhaltende Aufmerksamkeit der Geschäftsleitung auf sich ziehen möchten, müssen sie möglicherweise eine neue App zu ihrem Sicherheits-Toolkit hinzufügen: Microsoft Excel.
Dieser Vorschlag kam von dem renommierten Sicherheitsforscher Peiter Zatko, der in den letzten Monaten für seine Offenlegung systemischer Sicherheitsprobleme bei Twitter in den Mainstream-Schlagzeilen war. Aber er war jahrzehntelang in den Schlagzeilen der Tech-Nachrichten, bevor er als Sicherheitschef von Twitter an die Reihe kam.
Sprechen auf der Tech-News-Site CyberScoop’s CyberTalks(Öffnet in einem neuen Fenster) Konferenz in Washington, DC, Zatko – auch bekannt unter dem Namen „Mudge“, den er in den 1980er Jahren als Gründungsmitglied des Hackerkollektivs L0pht Heavy Industries annahm – forderte die Teilnehmer auf, Sicherheit nicht mehr als ein Reich von Mythen oder Folklore zu behandeln, das es nicht kann wie jede andere Betriebsausgabe gemessen werden.
Zatko sagte seinem Interviewer auf der Bühne, Cyberscoop-Chefredakteur Mike Farrell, dass Infosec-Profis sich selbst keinen Gefallen tun, indem sie das Management dazu ermutigen, das Feld als „eine nicht quantifizierbare, beängstigende Umgebung“ zu sehen, die reflexartige Entscheidungen erfordert.
Das gilt insbesondere für die C-Suite, wo laut Zatko das Bewusstsein für die Bedeutung der Sicherheit am wenigsten fortgeschritten ist – und wo viele IT-Abteilungen versuchen, die Finanzierung durch Angst zu sichern, ein Verkaufsargument, das er so charakterisierte: „Wir können es nicht quantifizieren, und wir brauchen ein großes Budget.“
Zatkos Meinung zu dieser Aussage: „Das ist Mist.“
Er erzählte vom Comeback eines Regisseurs zu diesem Budgetierungs-Pitch von seiner Zeit bei der DARPA (Defense Advanced Research Projects Agency) der Bundesregierung vor einem Jahrzehnt: „Bis Sie es quantifizieren können, kann ich Ihr Budget nicht quantifizieren. Geh weg.”
Zatko sagte, dass Medizin und Finanzen früher auf dieser Art von Folkloregrundlage liefen, heute aber auf Fakten und Zahlen beruhen, und sagte, dass eine gute Unternehmenssicherheit messbar sein sollte, indem sie zeigt, wie viel Prozent der Transaktionen durch sie ermöglicht werden und wie hoch die Verluste sind verhindert. Und in der Praxis sollte es für den alltäglichen Mitarbeiter entweder unsichtbar sein oder von ihm verstanden und gewünscht werden.
Als weniger vages Beispiel verglich Zatko, wie zwei nicht genannte Finanzinstitute mit Phishing-Schulungen für ihre Mitarbeiter umgegangen sind.
Zum einen könnte das Anklicken der im Rahmen der Schulung versendeten Phishing-E-Mail ein karrierebegrenzender Schachzug sein: „Sie werden gerügt und möglicherweise gekündigt.“
Auf der anderen Seite die Phishing-E-Mail melden, auch wenn du darauf geklickt hastSie war ein Grund für eine Belohnung und ermutigte die Leute, zu erzählen, wie sie getäuscht wurden: “Sie haben es wirklich irgendwie zu etwas gemacht, das dem Unternehmen Spaß gemacht hat.”
Von unseren Redakteuren empfohlen
Ein früheres CyberTalks-Panel erinnerte das Publikum im Waldorf Astoria (wie im ehemaligen Trump International Hotel) daran, dass die Leute wirklich auf Phishing-Nachrichten hereinfallen: „Wir haben immer noch eine bemerkenswerte Anzahl von Leuten, die auf unsere gefälschten E-Mails klicken“, sagte der CIO des Handelsministeriums Andre Mendes von der Ausbildung dieser Agentur.
Zatko zitierte auch die Praxis eines anderen Unternehmens, bei dem Software-Ingenieure und Mitarbeiter des Sicherheitsteams zwei- oder dreimonatige Rotationen in den Abteilungen der jeweils anderen absolvieren, wodurch eine Gruppe von der anderen lernte.
Abschließend sagte er, wenn Sie die Infosec als nummernfreien Bereich belassen, wird Ihr Unternehmen sowohl bei der Regierung als auch bei den Versicherern zunehmend unbeliebt.
Aber es gab eine Organisation, die Zatko nicht anrühren würde – seinen ehemaligen Arbeitgeber Twitter, der hat ihn 2020 eingestellt(Öffnet in einem neuen Fenster) nach einer ernsthaften Kompromittierung seiner Systeme und dann hat ihn im Januar gefeuert(Öffnet in einem neuen Fenster). Farrell sagte halb entschuldigend, dass derzeit zu viele Anwälte involviert seien, und sogar das gedruckte Programm erwähnte dieses Kapitel von Zatkos Leben indirekt: „In letzter Zeit hat Mudge in Fortsetzung seiner Mission, die Welt zu verbessern und seine Bürgerpflichten zu erfüllen, angemessene rechtliche Verfahren durchgeführt und wurde ein rechtmäßiger Whistleblower.”
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.