サイバー犯罪のビジネス:元FBI次官補がすべてのCISOに知ってもらいたいこと

サイバー犯罪は単なる技術的な脅威ではなく、繁栄するグローバルビジネスです。そして、ブライアン・ボエティグほどそのビジネスの進化を理解している人はほとんどいません。

国家安全保障と公共安全に35年以上携わった彼は、FBI次官補、米国外交官、CIA連絡員、国際アドバイザリー会社のパートナーを務めてきました。彼は現在、Global Trace のプリンシパル アドバイザーを務め、組織がサイバー レジリエンスを構築するのを支援しています。

The Segmentのこのエピソードでは、ブライアンが私に加わり、法執行機関と諜報機関における彼の経験が今日のサイバーセキュリティへのアプローチをどのように形作っているか、そしてなぜ脅威アクターが企業が遅れをとっているところで勝利しているのかを共有しました。

店舗強盗からサービスとしてのランサムウェアまで

ブライアンは、海外での誘拐から国内での デジタル恐喝 まで、あらゆることを調査してきました。  

何が彼らをつなぐのでしょうか?レバレッジの追求。

「私たちは、今日の ランサムウェア へのアプローチと同じ方法で身代金を狙う誘拐を扱いました」とブライアン氏は述べています。「誰がやったのか、彼らがどのように運営されているか、交渉の仕方を知っています。これはビジネスモデルであり、彼らは一部の合法的な企業よりもうまく運営しています。」

同氏は、サイバー犯罪の経済性は攻撃者に有利に傾いていると述べています。

「50ドルで直接店強盗をすると、警察対応チーム全体が現れます」と彼は語った。「しかし、オンラインで50万ドルを盗む?ほとんどの法域では、法執行機関はそれをどうしたらよいかわかりません。」

サイバー犯罪はスケーラブルで、ボーダレスで、多くの場合目に見えません。ブライアンの意見では、防御側が同様のビジネス志向のアプローチを採用するまで、彼らは追い越されたままになるだろう。

50ドルで直接店を強盗すると、警察対応チーム全体が現れる。しかし、オンラインで50万ドルを盗むのでしょうか?ほとんどの法域では、法執行機関はそれをどうしたらよいかわかりません。

身代金の支払いを禁止することが答えではない理由

組織が身代金の支払いを許可すべきかどうかほど議論を巻き起こすトピックはほとんどありません。ブライアンは、FBIに在籍していた頃から、侵害を乗り越えるCEOとの相談まで、双方を見てきました。

「包括的な答えはありません」と彼は言いました。「支払わなければ存在しなくなる企業もあります。」

彼は、クライアントの歴史全体がロックダウンされたある法律事務所を思い出した。支払いがなければ、彼らのビジネスと評判は破壊されていたでしょう。

身代金の支払いを完全に禁止することは抑止力のように思えるかもしれませんが、ブライアン氏は、組織を二重に犠牲にするリスクがあると考えています。

代わりに、彼はより微妙な戦略を提案しています。

• 準備による支払いのインセンティブをなくす
• バックアップを含む一般的なサイバーセキュリティ衛生を構築する
• スマート保険モデルの実装
• 複雑なビジネスの現実を過度に単純化する法律を削減

組織に必要なのは、全面的な禁止ではなく、レジリエンス、リスク、攻撃の余波でリーダーが直面する現実のバランスをとる、よりスマートなアプローチです。

サイバー保険はセーフティネットではありません  

安心のために サイバー保険 に目を向ける企業が増える中、ブライアンは現実のチェックを提供します。

「それは修正ではありません。多くの場合、交渉のようなものです」と彼は言いました。「そして、保険会社が最初に行うことは、支払い をしない 理由を探すことです。」

彼はそれを自動車保険に例えた。はい、カバーされています...細字部分の細部を 1 つ見逃さない限り。その結果、危機時の混乱、不明確な補償条件、回復の遅れが生じます。

「ほとんどのポリシーは、オンラインに戻るのに役立つだけです」とブライアン氏は警告した。「信頼の再構築、風評被害、将来の回復力はカバーされません。」

CISOへの彼のアドバイスは、保険が何をカバーし、補償範囲のギャップがどこにあるかを正確に知ることです。保険を強力な防御の代わりとして扱ったり、攻撃後に保険会社があなたの最善の利益のために働くことを信頼したりしないでください。

サイバーリスクはビジネスリスクです

サイバーリスクは依然としてITの問題として扱われることがあまりにも多い。ブライアンはそれを危険な間違いと見なしています。

「経営幹部がサイバーセキュリティを信じていなければ、資金提供も、優先順位付けも、実践もされないでしょう」と同氏は述べた。

彼は、CEOがITリーダーが誰であるかを知らなかった時代を思い出しました。「今、サイバーセキュリティはファイアウォールではなく、ビジネスを存続させるためのものであることを、役員室がようやく理解し始めています。」

この変化は規制圧力によるものもあるが、レジリエンスが競争上の優位性であるという認識の高まりも反映していると同氏は言う。

ブライアンはまた、侵害されたからといって失敗したわけではないとすぐに指摘しました。実際、最高のセキュリティリーダーは、それが起こると想定しています。

「私はCEOに『サイバー攻撃の被害者になっても大丈夫です。準備ができていないのはよくありません』と彼は言いました。

この考え方は、妥協を前提とし、侵害の影響を軽減することに重点を置いた ゼロトラスト の中心です。

「準備とは、バックアップやポリシーだけを意味するものではありません」とブライアン氏は強調した。「それは文化的なものです。組織内の全員が、物事がうまくいかなかったときに自分の役割を知る必要があります。」

私はCEOに「サイバー攻撃の被害に遭っても大丈夫です。準備ができていないのはよくありません。」

リスクと現実のギャップを埋める

ブライアンの物語は、中心的な真実を浮き彫りにしています。サイバーセキュリティはリスクを回避することではありません。それはそれを管理することです。

最も回復力のある組織は、セキュリティをビジネス機能として扱い、プロアクティブな計画を採用し、予防だけでなく封じ込めに投資しています。

あるいは、ブライアンが言ったように、「消火器を買うのに火事が起こるまで待つ必要はありません。計画を立て、訓練し、それがどこにあるかを全員が確実に知らせるようにします。」

もっと聞きたいですか?今週のThe Segment: A Zero Trust Leadership Podcast の全エピソードを Apple Podcast (アップルポッドキャスト), スポティファイ、またはポッドキャストを入手できる場所ならどこでも。また、 トランスクリプト全文.