継ぎ目の弱さ

セキュリティの職に就く前は、産業製造向けの垂直統合自動化システム、倉庫規模のコンベヤーネットワーク、ロボット材料処理、ますます接続されるネットワーク上のソフトウェアによって制御される物理インフラなどを実装するソフトウェアエンジニアでした。緊密に統合されたシステムは緊密に統合された障害を引き起こすことを早期に学びました。単一のソフトウェア障害が流通センター全体を停止させる可能性があるとき、グレースフルな劣化のために設計しました。コンポーネントが破損することを想定し、それを吸収するためにシステムを構築しました。

この直感はサイバーセキュリティへの道を進み、やがて医療、金融サービス、グローバル製造業全体のCISO職へと導きました。これらの業界は異なる規制体制の下で運営され、異なる脅威プロファイルに直面し、リスクを異なる用語で定義しています。しかし、すべての業界で同じ構造的問題に遭遇しました。サイバーリスクは統一された分野として管理されていませんでした。それは既に存在するシステム、製品市場、規制当局、監査人、保険業者、取締役会に断片的に採用され、各々が独自のタイムライン上で、独自の言語で、「安全」の独自の定義に向けてフレームワークを構築していました。このパターンは初期の保険数理科学と韻を踏んでいます。保険の個別分野が相関損失が本当の脅威であることを発見する前に、各々がリスクを隔離してモデル化していました。

個々のサイロ内では、ロジックは健全でした。しかし、それらの継ぎ目は決して調整されませんでした。あるシステムの盲点が別のシステムの未評価のエクスポージャーになる場所では、それに名前を付ける共通言語がありませんでした。デジタル変革が業界、サプライチェーン、重要インフラ間の相互接続を加速させるにつれて、これらの継ぎ目は実際の現代的リスク表面へと広がっています。

支出が増加し、さらに後れを取っている

私が主導したすべてのセキュリティプログラムでは、予算は毎年膨らむ可能性がありました。私のアプローチはいつも逆でした。ツールの増殖と機能の重複を積極的に削減し、アーキテクチャを簡素化し、すべてのドルを測定可能なビジネス成果に結び付けました。タイミングと意図です。しかし、その規律があっても、技術変化が私たちのツールと仮定を交換できるより速く時代遅れにしていたため、支出と曝露の間の距離は広がっていました。業界レベルの数字がこれが逸話的ではないことを確認しています。Gartnerは、2025年のグローバルセキュリティ支出が2120億ドルを超えると予測しました。サイバー犯罪の経済的影響は、ほとんどの見積もりで年間10兆ドルを超えています。これらの曲線は収束しではなく発散しています。

これを最も強く感じたのはヘルスケアです。何百万人ものメンバーの機密健康データを処理するグローバルベネフィット管理者のCISOとして、私はHIPAA、州レベルのプライバシー命令、およびプラン後援者からの契約上の義務の下で運営していました。私たちはすべての監査を満たすことができたし、本当のリスクは引き渡し、異なる標準によって管理されるシステム間のインターフェース、異なるシステム間を流れるデータにあることを知っていました。監査人は彼らのボックスをチェックしました。継ぎ目は測定されませんでした。

後に、大手資産管理会社でグローバルセキュリティエンジニアリングを主導した私は、金融サービスで同じギャップを見ました。異なるコントロール、異なる規制当局、同一の盲点。断片化は国際的にはさらに明らかでした。地域の規制機関、管轄区域によって異なるデータ主権要件、地域によって異なるベンダーエコシステム。すべての規制当局は「適切なセキュリティ」の独自の定義を持っていました。その誰もが私たちが防衛していた相互接続された現実を説明しませんでした。連邦準備制度の研究者は金融システムが相関サイバーイベントへのエクスポージャーがどのように増加しているかを文書化しており、従来のリスクモデルはそれをキャプチャするために構築されていません。私はそのギャップを毎日経験しました。

これらの経験を結びつけたのは、単一の脅威よりも私を悩ませていた保険市場のパターンでした。侵害の頻度と重大度が増加していても、保険料が軟化するのを見ました。保険業者は個別の、無相関のインシデントを引き受けていたのに対し、実際のリスクは体系的になっていました。デジタル変革はこれらの業界を一緒に縫い付けました。ヘルスケアプラットフォームは金融清算機関に接続され、製造サプライチェーンに接続され、すべてがハイパースケーラーに接続されていますが、保険数理モデルはまだ各被保険者を島として扱っていました。単一のベンダー障害が同時に何千もの組織全体にカスケードする可能性があるとき、その価格設定モデルは意味がなくなります。ブラックスワンが私たちのデジタルポンドに潜んでいます。

通常の選択肢は危険な選択肢である

2024年に典型的な大規模企業が運営していたスタックを考えてください。ERPとサプライチェーン向けの1つのベンダー、境界強制向けの別のベンダー、ネットワーク向けの別のベンダー、エンドポイント保護向けの別のベンダー。標準的な選択肢で、責任を持って行われました。12か月の間に、これらのカテゴリーのそれぞれが、ゼロデイエクスプロイトから世界運営を混乱させた更新障害まで大きな混乱を経験しました。単一のイベントは耐えられました。蓄積は他の何かでした。

私はこれをグローバルCISOとして経験しました。私のチームは回復時間があるシーケンシャルな危機のために計画を立てました。私たちが得たのは相互依存したシステム全体での重複する混乱でした。1週間は、周辺の緊急パッチをトリアージしながら、別のプラットフォームの別のアドバイザリーがエスカレートしていました。これらのイベントは一度に到着し、呼吸の間があると思うことが計画の虚構であることが判明しました。操作自体を維持しているとき、危機は現実の時間に継ぎ目を明らかにします。

ファイアウォールの脆弱性は、その後ろのERPがすべての金融トランザクションを処理しているときの単なるネットワーク問題ではありません。エンドポイントエージェント障害は、あなたのロジスティクスを実行しているオペレーティングシステムをダウンさせるときの単なるセキュリティツールの停止ではありません。これらのプラットフォームは独立して失敗しません。なぜなら、それらは独立して運用されないからです。ますます、それらに依存する業界も同じです。クラウドプロバイダーの混乱は、同じプラットフォーム上で請求を処理するヘルスケアシステム、取引を決済する金融機関、サプライチェーンを調整する製造業者に波紋を広げます。

2024年7月のCrowdStrikeインシデントがこれを却下不可能にしました。日常的なコンテンツ更新、攻撃なし、エクスプロイトなし、世界中の何百万ものWindowsシステムをレンガのようにしました。航空会社は飛行を中止しました。病院は患者を転院させました。金融サービスは暗くなりました。保護ツール自体が障害ベクトルになりました。それはサイバーセキュリティが組織の境界内に含まれる技術的問題であるかどうか、またはそれらにまたがるシステミックリスクであるかどうかについての議論を終わらせるべきでした。

産業オートメーションの私の背景がこれを暗く馴染みのあるものにしました。材料処理では、統合層が最高リスクの表面であることを知っていました。私たちはあらゆるコンポーネントが失敗することができ、操作が停止しないようにグレード化パスを構築することを想定してシステムを設計しました。エンタープライズサイバーセキュリティは、最高のツールを組み立てることが回復力のあるシステムを構築することと同じであると自分自身を確信させていました。それはありません。デジタル変革がエネルギーグリッドから水システム、輸送ネットワーク、医療機器まで、より多くの重要インフラを同じ相互接続プラットフォーム上に押し出すとき、その混乱の結果は乗算されます。

回復力は設計の問題であり、コンプライアンスの問題ではない

医療、金融サービス、製造業全体で、同じパターンを見ました。コンプライアンス装置は、コントロールが存在するかどうかを測定しました。それが組織、またはそれが依存していた広いインフラが失敗を生き残ることができるかどうかを測定することはめったにありませんでした。ヘルスケアでは、供給チェーン攻撃への回復力は主にテストされていないことを知りながらコンプライアンスを示しています。金融サービスでは、私たちのリスクを引き受けている保険業者が検査官が受け入れるのと同じコンプライアンスシグナルから値を設定することを知りながら試験に合格します。どちらも私たちのプラットフォームと相手方の間のシステミック相互依存性をキャプチャしません。製造では、操作技術がますます同じデジタル変革を通じてさらされる物理プロセスを制御しながら、ITネットワークを保護しています。私たちは継ぎ目で弱いです。

ロール間で私を追った質問は単純でした。重要なプラットフォームが明日失敗した場合、侵害されず、ただ失敗した場合、ビジネスは運営を続けることができますか？それが提供する重要なサービスは機能し続けることができますか？ペーパープロセスと理論的な演習は常に存在しましたが、カスケードする影響を予測することができる方法ではありませんでした。

インターネット自体はより良いモデルを提供します。個別のノードの損失を生き残るために設計されました。ルートが壊れ、トラフィックが別の経路を見つけます。組織は同じアーキテクチャ品質が必要であり、それらの上に位置する相互接続されたインフラストラクチャも同じです。目標は、すべての妥協を防ぐことはできません。それは単一の障害が業界全体にわたって重要なサービスを取得するシステミックな混乱にカスケードしないようにする必要があります。これは優先順位を設定します。あなたはそれに監査することはできません。あなたはそれを構築する必要があります。

外部の圧力はこの結論に収束しています。保険は意味のあるカバレッジレベルで購入するのが難しくなっており、キャリアはまだ価格設定できないように関連リスクに取り組んでいます。規制当局はC-suiteへの説明責任を推し進めています。取締役会は成熟度スコアではなく、生存可能性の証拠を望んでいます。そして「サイバーセキュリティ」が保護することが期待される範囲は、AIとエンタープライズデータから運用技術から重要インフラコミュニティが依存する設定範囲を続けています。

業界は組織が安全であることを示す経済を構築しました。それは監査、認定、およびフレームワークアラインメント用に最適化されています。それが解決したことがないのは、組織、およびその周辺のインフラストラクチャが深刻な混乱を吸収し、実行し続けることができることを証明することです。それが最も重要な継ぎ目です。

デジタル変革は、各組織の攻撃表面を増加させるだけではありませんでした。セクターと国境にまたがる相互依存のスケーラント化ネットワークにそれらの表面を織り込みました。すべてのセキュリティとリスク指導者が自分自身に尋ねるべき質問は、もはや彼らのコントロールが十分であるかどうかではありません。それは、それらが、彼らのプログラムまたはオファリングと一緒に、持続可能な未来に合わせられているか、またはますますヘビーな過去を一緒に保持しているかです。

この記事は、Foundry Expert Contributor Networkの一部として公開されています。
参加を希望しますか？