No mês passado, o Uber revelou que uma enorme violação de dados havia comprometido informações pessoais sobre 57 milhões de clientes e drivers. Embora a violação tenha sido claramente um problema para uma empresa com problemas significativos de confiança, o Uber a resposta do Uber foi ainda mais preocupante. A Uber teria tentado ocultar um pagamento de US $ 100.000 aos hackers no programa "Bug Bounty" do serviço de passeio para ocultar ainda mais o incidente. Em outras palavras, era fundamentalmente um problema humano; O acesso a esses dados poderia ter sido limitado e monitorado usando a tecnologia de segurança cibernética prontamente disponível: os chamados corretores de segurança de acesso em nuvem. Embora o problema técnico tenha sido uma vulnerabilidade não corrigida em um aplicativo da Web Struts Apache, a falha da empresa em executar a correção simples de corrigir a vulnerabilidade foi atribuída ao erro humano. "O indivíduo responsável por se comunicar na organização para aplicar o patch não o fez", de acordo com o ex -CEO da Equifax, Richard Smith. Pior ainda, o processo que a Equifax havia desenvolvido para atuar como um controle de compensação-um procedimento de check duas vezes projetado para uso em contextos altamente críticos para evitar a dependência de pontos únicos de falha-abordados vulneráveis à própria falha. Freqüentemente, porém, várias soluções tecnológicas já existem para problemas de segurança cibernética que são manchetes quando ocorre uma grande violação. De fato, algumas grandes empresas implantam mais de 100 soluções de segurança. Mas a segurança é principalmente um problema humano e, por esse motivo, requer correções e compensações humanas - nudes para mudar o comportamento das pessoas que interagem com a tecnologia cada vez mais vulnerável e onipresente. Normalmente, os departamentos de TI implantam patches após um processo de aprovação que consome tempo projetado para evitar o desconforto do usuário final. Como esse acordo envolve uma etapa de opção e um atraso de tempo associado, no entanto, ele carrega um risco de segurança ampliado. Em muitos casos, envolvendo software comercial, pelo menos, os patches podem ser implantados automaticamente-uma possibilidade que o deputado Greg Walden (R-Oregon) observou durante as audiências da Equifax. A adoção dessa abordagem automatizada envolveria aceitar algum desconforto potencial do usuário final, mas reduziria o risco de um lapso de segurança para toda a empresa. Obviamente, em alguns contextos altamente regulamentados (sistemas de controle industrial, instalações nucleares e aviônicos, por exemplo), a implementação automática de patches pode não ser uma opção e pode até ser proibida sob os regulamentos estatutários ou administrativos. Quanto mais altas as apostas, mais crucial a necessidade de eliminar o comportamento frouxo. Independentemente do contexto, os tomadores de decisão têm uma escolha. Eles podem adotar e impulsionar mudanças comportamentais na segurança, ou podem renunciar à inovação tecnológica que aproveita dados confidenciais para empresas e indivíduos.
In Uber’s case, the breach seems to have originated with “two individuals outside the company [who] had inappropriately accessed user data stored on a third-party cloud-based service,” the company said. In other words, it was fundamentally a human problem; access to such data could have been limited and monitored using readily available cybersecurity technology: so-called cloud access security brokers.
Unfortunately, dealing with this type of human problem seems to be harder than one might expect.
Consider October’s congressional testimony on the Equifax data breach, which revealed a number of previously undisclosed facts about that massive security failure. Although the technical problem was an uncorrected vulnerability in an Apache Struts web application, the company’s failure to perform the simple fix of patching the vulnerability was attributable to human error. “The individual who’s responsible for communicating in the organization to apply the patch, did not,” according to former Equifax CEO Richard Smith. Worse yet, the process that Equifax had developed to act as a compensating control—a double-check procedure designed for use in highly critical contexts to avoid reliance on single points of failure—proved vulnerable to failure itself.
Security requires robust technology. Often, though, multiple technological solutions already exist for cybersecurity issues that make headlines when a major breach occurs. Indeed, some large enterprises deploy more than 100 security solutions. But security is principally a human problem, and for that reason it requires human fixes and tradeoffs—nudges to change the behavior of the people who interact with increasingly vulnerable and ubiquitous technology.
The perennial quandary of the security world is how to handle patch deployment. Typically, IT departments deploy patches after a time-consuming approval process designed to avoid end-user discomfort. Because that arrangement entails an opt-in step and an associated time lag, however, it carries a magnified security risk. In many cases involving commercial software, at least, patches could be deployed automatically—a possibility that Rep. Greg Walden (R-Oregon) noted during the Equifax hearings. Adopting this automated approach would involve accepting some potential end-user discomfort, but it would reduce the risk of a security lapse for the entire company. Of course, in some highly regulated contexts (industrial control systems, nuclear facilities, and avionics, for example), automatic implementation of patches may not be an option and may even be prohibited under statutory or administrative regulations.
Occasionally, given the common human propensity to do nothing when that’s an option, nudges must be forceful if they are to change behavior. The higher the stakes, the more crucial the need to eliminate lax behavior.
This is true with regard to everything from utilities, where security breaches can lead to loss of life, to political and cultural institutions, where breaches can erode trust in the bedrock institutions of society. Regardless of context, decision-makers have a choice. They can embrace and drive behavioral change in security, or they can forgo technological innovation that leverages sensitive data for businesses and individuals.
A mudança comportamental começa no topo e requer forte liderança. Um estudo recente de Ventuos de segurança cibernética Estima que o custo global do crime cibernético possa exceder US $ 6 trilhões anualmente até 2021.Para compreender a magnitude dessa figura, observe que o FMI estimou os custos totais associados à crise financeira global de 2007-2008 a US $ 12 trilhões. Em outras palavras, a cada dois anos de segurança cibernética custará à economia global um valor igual ao perdido em uma crise financeira que muitos se comparam à Grande Depressão. No entanto, os comandos de segurança cibernética não estão perto do nível de conscientização e urgência que a crise financeira faz. De acordo com dados de membros do LinkedIn disponíveis publicamente, menos de 3% dos executivos seniores em grandes empresas dos EUA têm formação em segurança cibernética, enquanto 24% têm formação em finanças. Imagine como esses executivos podem ser preparados para um colapso equivalente de segurança cibernética. Mas abordar o comportamento e o elemento humano da segurança cibernética é um bom lugar para começar.
Unlike with physical security, the first line of security in digital spaces is typically the private sector—in particular, businesses with increasingly valuable digital assets. According to publicly available LinkedIn member data, less than 3% of senior executives in large US businesses have cybersecurity backgrounds, whereas 24% have backgrounds in finance.
Despite their knowledge of finance, many business executives were surprised by the financial crisis, and their companies had to struggle to survive. Imagine how ill prepared those executives may be for an equivalent cybersecurity meltdown.
During the Equifax hearing, Representative Walden memorably asked, “How does this happen when so much is at stake? I don’t think we can pass a law that, excuse me for saying this, fixes stupid. I can’t fix stupid.”
Congressman Walden is right: it is difficult to “fix stupid.” But addressing behavior and the human element of cybersecurity is a good place to start.
