出典: Brownstock via Alamy Stock Photo
ヘルスケアサービスプロバイダーの役員会に座っているとき、ベテランCISOのジョン・ルーファスは無視できない断絶に打たれました。セキュリティアップデートはおなじみのものでした:トレーニングの指標は高く、パッチ適用は予定通りで、ベンダーとの関係も整っていました。役員会のメンバーはプロバイダーのセキュリティプログラムについて安心して立ち去りました。
彼らはそうすべきではありませんでした。
役員会はセキュリティ意識プログラムの完了率が72%であることを聞きましたが、従業員がフィッシングシミュレーションに失敗していることは聞いていませんでした。成功率は過去2年間52%に停滞していました。パッチ報告は徹底しているように聞こえましたが、実際には内部の摩擦やベンダーの誤解のために重要なLinuxサーバーがパッチ適用されていませんでした。
「役員会に偽の安心感を与えるために使用されているセキュリティシアターのレベルを見てショックを受けました」とルーファスは後にLinkedInに書きました。
セキュリティ意識プログラムの完了率が72%であるという事実は「良い数字のように聞こえますが、何も意味しません」とルーファスは指摘しました。「役員会に報告されたのは、すべてが順調であるという偽のメッセージでした。セキュリティシアターは単なるITの問題ではありません… それはガバナンスの失敗です。」
ポジティブな物語 vs 現実的
セキュリティシアターの結果はよく知られています:不適合なKPI、過度に最適化されたコンプライアンスフレームワーク、意味のあるリスク削減よりも見た目を優先する組織文化。
関連記事:セキュリティを損なう前にレイオフの準備を
別の中規模ヘルスケア診断会社との関与中、ルーファスは役員会がフィッシングテスト、パッチサイクル、意識トレーニングの週次報告を受け取るのを見ました。しかし、彼はまた多くの問題を見ました:スタッフの3分の1がトレーニングを無視し、医師がフィッシングプラットフォームを迂回し、レガシーの脆弱性が何年もパッチ適用されていませんでした。CTOは状況を完全に把握しており、ルーファスに報告を「前向き」に保つよう求めましたが、その要求は彼を不快な立場に置きました。
「彼らが私に提示してほしいと言ったことに反対しました」とルーファスはDark Readingとの会話で言います。「それは実際に起こっていることと一致しませんでした。」
これらの事件は孤立したケースではなく、むしろセキュリティリーダーが現実的なものではなくポジティブな物語を維持するよう奨励される業界全体のパターンを反映しています。ルーファスは楽観的な報告、受動的な指標、リスクを隠すダッシュボードを複数の組織で見てきました。
セキュリティシアターが繁栄する場所
チェックリスト重視のセキュリティプログラムは頻繁な原因です。
「組織が実際にコントロールが機能していることを検証する代わりにチェックリストに頼ると、『理想的な』答えを得ることになります」とLumifi CyberのフィールドCISO、マイケル・ハミルトンは言います。「それは精査に耐えられません。」
いくつかの指標は特に誤解を招きやすいです。「公開されたパスワードが1つあるだけで、災害モードに陥る可能性があります」とハミルトンは言い、フィッシングテストの結果、ブロックされたファイアウォール接続、または認証されていないスキャン結果が現実よりも明るい絵を描くことが多いと指摘します。
GuidePoint SecurityのCISO、ゲイリー・ブリックハウスも同意します。彼は戦略的意図の欠如がしばしば最大の警告サインであると言います。
「サイバーセキュリティのリーダーシップが『この行動でどのリスクを軽減しているのか?』と簡単に答えられない場合、あなたはシアターの領域にいるかもしれません」と彼は言います。
ブリックハウスはデータ損失防止ツールが実装されて調整されず、フィッシングプログラムが完了しても吸収されず、KPIが「基本的に文脈のない指標」であるのを見てきました。彼は組織文化を主要な推進力として指摘します。
「コンプライアンスとセキュリティには大きな違いがあります」とブリックハウスは言います。「コンプライアンスが最終目標になるとき、セキュリティシアターが繁栄します。」
ルーファスはコンサルティング業務でよく同じ問題に直面します:不快な真実よりもクリーンで自信に満ちたメッセージを好むリーダーシップチーム。
関連記事:国々がNATOのロックドシールドサイバー防衛演習を開始
「彼らは間違っていると証明されることを望んでいません」と彼は言います。「それは危険な考え方です。」
幻想を打ち破る
ルーファスはセキュリティリーダーが新しい定義を必要としているのではなく、パフォーマンスよりも保護を重視するシステムに参加するのをやめるためのサポートが必要だと考えています。それは役員会から始まります。彼はシニアリーダーを模擬侵害シナリオに引き込むテーブルトップ演習を推奨し、理解のギャップに直面させます。
「セキュリティ意識はフィッシングについてではありません」とルーファスは言います。「あなたとあなたの家族を守るために何を提供できるかです。」
ハミルトンは特に役員会と話すときに、技術的リスクをビジネス用語に翻訳することの重要性を強調します。
「経営者は専門用語ではなく、実行可能な情報を必要としています」とハミルトンは言います。「リスクガバナンス委員会を実施し、年間損失の可能性の観点から報告します。それがセキュリティを現実にする方法です。」
セキュリティシアターの本当の危険は、リスクがチェックされずに増大する間に組織を安心させることです。CISOと役員会の両方にとって、幻想を超えてレジリエンスに向かうことが課題です。
「文化に影響を与えるのは難しいです」とルーファスは言います。「しかし、そうしなければ、セキュリティはパフォーマンスになります。そして最終的に、カーテンが下ります。」