Os cibercriminosos são mais habilidosos do que nunca. Eles podem criar uma variedade de ameaças para atacar a qualquer momento, a partir de aparentemente em qualquer lugar. Para proteger as redes de TI, os líderes da empresa devem entender quem são seus possíveis atacantes, o que querem e como operam. Para explorar essas e outras questões, Mikko Hypponen, diretor de pesquisa da F-Secure, sentou-se com Jens Kengelbach, diretor-gerente da BCG e parceiro sênior. A conversa deles ilumina como as organizações podem proteger as redes de TI em um mundo de ameaças cada vez mais complexas. F-Secure desde 1991. Ele escreveu para o
About Mikko Hypponen
About Mikko Hypponen
Chief Research Officer, F-Secure
Mikko is a global security expert who has worked at F-Secure since 1991. He has written for the New York Times, Wired e Scientific American, e ele aparece frequentemente na TV internacional. Mikko também lecionou na Universidade de Stanford, na Universidade de Oxford e na Universidade de Cambridge. Ele esteve no PCWorld da lista das 50 pessoas mais importantes da web e foi incluído na lista dos 100 principais pensadores do FP. Mikko está nos conselhos consultivos da conferência T2 Infosec e salvaguarda cibernética e no painel consultivo da Autoridade Monetária de Cingapura. Você pode nos contar um pouco sobre o que está fazendo? Indo e, o mais importante, quem estamos lutando; Quem são os atores por trás dos ataques. Diferentes organizações são direcionadas por diferentes hackers e invasores porque têm motivações variadas e usam diversas técnicas em seus ataques. Isso significa que você precisa combatê -los de maneiras diferentes. Mas outras organizações precisam se preocupar com os estados nacionais estrangeiros. Por exemplo, se você é um empreiteiro de defesa, provavelmente está sendo alvo de agências de inteligência estrangeiras. Outras organizações precisam pensar em hacktivistas - ativistas que atacam para não ganhar dinheiro, mas para expressar suas opiniões; Eles têm uma agenda política ou uma agenda de protesto.
You’ve been the chief research officer at F-Secure for a while now, and you were one of the first employees. Can you tell us a little about what F-Secure is doing?
We build security software, including endpoint security for computers and mobile phones, and we do a lot of enterprise work, including consulting, penetration testing, red teaming, and audits.
Today, as the chief research officer, I do a lot of work in trying to understand the big landscape—what’s happening right now, why is it happening, where are we going, and, most important, who are we fighting; who are the actors behind the attacks.
What are the current developments in cybercrime, and what are the most urgent threats for corporations?
We don’t have a general archetype of a hacker or cybercriminal. Different organizations get targeted by different hackers and attackers because they have varied motivations and use diverse techniques in their attacks. That means you have to fight them in different ways.
Some companies only have to worry about criminals who want to steal something that is worth money or who want to use banker Trojans, ransom Trojans, or [stolen] credit cards to make money. But other organizations have to worry about foreign nation-states. For example, if you are a defense contractor, you most likely are being targeted by foreign intelligence agencies. Other organizations have to think about hacktivists—hacker activists who attack not to make money but to express their opinions; they have a political agenda or a protest agenda.
Como as empresas podem se preparar? E uma vez que você é atacado, que possibilidades você tem para reagir? Você tem que olhar além das paredes. Você deve continuar assumindo que as paredes que você construirão falhará - porque quanto maior a sua rede, maior a probabilidade de haver uma violação. Em vez de confiar que suas paredes se manterão, agora você está olhando para o que está acontecendo dentro da sua rede. Você precisa ser muito rápido na detecção de violações para poder responder a elas. Onde a responsabilidade está na segurança cibernética? No momento, a segurança cibernética se torna uma prioridade para a alta gerência e os quadros somente depois que algo aconteceu - uma violação ou algum hack.
For years, we’ve been telling companies that they are defending their network by building strong walls around it and hoping that nobody ever gets in. But today, when we look at what’s really happening in the marketplace, we see that those walls are not strong enough. You have to look beyond the walls. You have to keep assuming that the walls you build will fail—because the larger your network is, the more likely there will be a breach. Instead of trusting that your walls will hold, you are now looking at what’s happening inside your network. You have to be very quick in detecting breaches so you can respond to them.
Not every corporation has a chief security officer on the board. Where does responsibility sit for cybersecurity?
Cybersecurity should be a permanent board-level topic for every company—and I can tell you, it isn’t that today. Right now, cybersecurity becomes a priority for top management and boards only after something has happened—a breach or some hack.
, mas isso não é bom o suficiente. Deveríamos estar pensando em segurança a longo prazo. Segurança é um processo. Ele deve ser incorporado em todas as etapas da fabricação, em todas as etapas do desenvolvimento.
É possível estar completamente seguro? Você não pode construir um computador "inalificável". Bem, um computador inalentável é um computador desligado, o que não é muito útil. No entanto, a maioria das empresas está sendo alvo de criminosos, e os criminosos realmente não querem invadir sua empresa. Os criminosos querem dinheiro. E se for muito difícil, muito lento ou muito caro para invadir sua rede, eles esquecem de você e vão atrás de um alvo mais fácil.
In today’s world, nothing is 100% safe. You cannot build an “unhackable” computer. Well, an unhackable computer is a computer that is turned off, which is not very useful. However, most companies are being targeted by criminals, and criminals don’t really want to break into your company. Criminals want money. And if it’s too hard, too slow, or too expensive to break into your network, they will forget about you and go after an easier target.
para que você não precise ter segurança perfeita. Você só precisa ter uma segurança um pouco melhor do que os outros alvos.
Qual é o papel do CFO na segurança cibernética? Às vezes, estou em reuniões com equipes de liderança, e elas - geralmente os CFOs - visam quanto dinheiro gastamos em segurança cibernética no ano passado. Os CFOs podem dizer: "Como é que estamos gastando todo esse dinheiro em segurança cibernética? Não temos problemas de segurança". E então eu normalmente respondo com: "Está muito limpo por aqui na sua sala de reuniões. Você pode disparar todos os zeladores e limpadores, porque obviamente não precisa deles."
Security, when it works, is invisible. Sometimes I’m in meetings with leadership teams, and they—usually CFOs—look at how much money we’ve spent on cybersecurity last year. CFOs might say, “How come we’re spending all this money on cybersecurity? We have no security problems.” And then I typically respond with, “It’s awfully clean around here in your boardroom. You can fire all the janitors and cleaners, because you obviously don’t need them.”
, mas é um pouco mais profundo do que isso. A segurança é um facilitador. A segurança é a camada da sua organização que permite fazer o que deseja e permite que seus funcionários sejam produtivos e criativos. TVs inteligentes, carros inteligentes, grades inteligentes, fábricas inteligentes - coisas que estão conectadas à Internet. O que estou preocupado não é quando os dispositivos inteligentes vão na Internet. Estou preocupado com quando dispositivos estúpidos vão na internet. E isso vai acontecer. Você não precisa da sua torradeira para ter conectividade da Internet. Não é um benefício para você como consumidor. No entanto, seria um benefício para os fabricantes se eles soubessem onde estavam todas as torradeiras. Eles saberiam onde estão seus clientes. Eles saberiam como os clientes usam o dispositivo.
If you look five or ten years ahead, what’s going to keep corporate leaders awake at night?
What we’re seeing right now is smart devices. Smart TVs, smart cars, smart grids, smart factories—things that are connected to the internet. What I’m worried about is not when smart devices go on the internet. I’m worried about when stupid devices go on the internet. And this is going to happen.
What I mean by stupid devices going on the internet is household devices like toasters. You don’t need your toaster to have internet connectivity. It’s not a benefit for you as a consumer. However, it would be a benefit for manufacturers if they knew where every one of their toasters was. They would know where their customers are. They would know how the customers use the device.
Isso é uma informação valiosa. Os fabricantes gostariam de coletar essas informações hoje, mas não podem, porque ainda é muito caro colocar uma torradeira na Internet. Vai dobrar o preço da torradeira. Mas em dez anos, um chip de conectividade da IoT custará cinco centavos. E é isso que me preocupa com o futuro dos dispositivos conectados. Parceiro sênior; Líder global de fusões & amp; Aquisições
When stupid devices go on the internet, everything will become a computer, whether we like it or not. And that’s what worries me about the future of connected devices.
