Seguindo o dinheiro: por que as empresas de segurança cibernética não estão interessadas em se fortalecer

Por que a segurança cibernética não fica mais forte? Aqui está uma pista: siga o dinheiro

Entendendo as manchetes e o que isso significa para o nosso futuro, vamos seguir o dinheiro. Precisamos apenas dar uma olhada na economia do hacking de segurança cibernética, o que é necessário para entrar no negócio de hackers nos ajudará a entender por que os malfeitores são compelidos a hackear. Em 2022, o cibercrime causou $ 6 trilhões em danos com mais de 33 bilhões de contas violadas.

Hackear é fácil. E barato!

Então, o que é preciso para se tornar um hacker? É praticamente um teclado e um processador (cerca de US$ 200) e um pouco de habilidade de programação. Em seguida, criam e-mails ou solicitações de conexão enganosas que martelam o universo da internet em busca de pessoas para fornecer informações de identificação ou financeiras sem querer, ou para clicar ou aceitar a solicitação. Em seguida, o jogo começa com as façanhas para extrair seu dinheiro ou fazer o pedido de resgate.

Por que os hackers persistem? Porque é fácil e financeiramente vantajoso, especialmente quando eles podem mudar de forma rápido o suficiente para entrar por meio de dispositivos IOT na borda da computação que não são protegidos por gerenciamento de dispositivos ou VPN. Se “seguirmos o dinheiro” observando os incentivos financeiros, teremos uma visão clara de onde os bandidos provavelmente irão.

Infelizmente, no entanto, a mesma linha de lógica também se aplica aos provedores de segurança cibernética.

s em situações como o ataque Solar Winds, o dispositivo Target IOT, o trabalho do JP Morgan Chase Bank em casa. Pelo menos na situação do Pipeline,

Onde está o incentivo?

Como um (grande) caso em questão, considere situações como o ataque de resgate na violação do oleoduto colonial. Um grande fornecedor de segurança cibernética recebeu um contrato multimilionário de vários anos para proteger o Pipeline contra violações de segurança. Quando a proteção falhou, a Colonial sofreu 6 dias de inatividade, a um custo potencialmente imensurável, e pagou aos hackers um resgate de 75 Bitcoins no valor de US$ 4,4 a 5 milhões para uma equipe de cibercriminosos ligada à Rússia chamada DarkSide, abrindo caminho para o início da remediação. e para o óleo começar a fluir novamente.

A situação foi grave o suficiente para aumentar o preço do gás dos EUA por um tempo. A Colonial teve que divulgar a violação que serviu para encorajar outros cibercriminosos. Como um pequeno lado positivo, o Departamento de Justiça dos EUA montou uma força-tarefa que conseguiu recuperar aproximadamente metade (US$ 2,3 milhões) do resgate, provavelmente devido a um criminoso descuidado que compartilhou a chave privada do bitcoin em e-mails que o FBI conseguiu apreender.

Mas aqui está outra farsa interessante – o próprio fornecedor pago para proteger operações como o Pipeline de ataques, também é o fornecedor pago para remediar a situação quando a proteção falhou, por um preço substancialmente mais alto.

Vamos fazer as contas.

Sem falar nos custos de seguro e proteção de segurança cibernética, que são repassados aos investidores e consumidores como preços mais altos e retornos de investimento mais baixos … e os custos da força-tarefa do Departamento de Justiça sendo financiados por impostos … as consequências de um desastre desse tamanho atingem nós todos. E pior ainda é a percepção de que uma empresa de segurança cibernética que recebeu cerca de US$ 4 milhões para se proteger contra tal falha pode agora receber US$ 10 milhões para remediar o dano (enquanto a organização, ou pelo menos o seguro da organização, pagou US$ 2,3 milhões adicionais em resgate, agora perdido).

Não é preciso um diploma de matemática ou economia para perceber que as empresas de remediação de segurança cibernética em um caso como este podem estar ganhando mais dinheiro do que os próprios criminosos, para falhar, então eles poderiam cobrar as contas gigantes necessárias para consertar a falha que sua solução não conseguiu impedir.

Embora seja extremamente duvidoso que a organização de tecnologia falhe deliberadamente ou mesmo descuidadamente, parece bastante claro que os incentivos estão indo na direção errada.

Como uma indústria, precisamos seguir o dinheiro - para criar o nível de soluções que dão ao criminoso menos motivação financeira para roubar e criar mais motivação financeira para as empresas de segurança criarem proteção que seja bem-sucedida, em vez de atingir um dia de pagamento ainda maior por meio de cobranças para remediar a situação causada pela falha de seu sistema. As soluções precisam se tornar mais proativas e preventivas por meio de melhor uso da IA e melhor proteção para o “Edge” onde os dispositivos vivem e as soluções de gerenciamento de rede não veem.

Se sua pequena empresa ou contas pessoais podem representar um alvo muito menor do que uma empresa, o veredicto é claro – é importante “pensar como um criminoso” e seguir o dinheiro enquanto determinamos e construímos o nível de solução de resiliência de segurança pronta para o sucesso.