つなぎ目が弱い

セキュリティの職に就く前は、産業用製造、倉庫規模のコンベアネットワーク、ロボット素材取扱い、ソフトウェアで制御される物理インフラストラクチャなど、垂直統合されたオートメーションシステムを実装するソフトウェアエンジニアでした。密結合されたシステムは密結合された障害を引き起こすことを早期に学びました。単一のソフトウェア障害が配送センターを停止させる可能性があるときは、段階的な劣化のために設計されていました。コンポーネントが壊れることを想定し、それを吸収するようにシステムを構築していました。

その本能はサイバーセキュリティに続き、最終的にはヘルスケア、金融サービス、グローバル製造業全体のCISO役に就きました。これらの産業は異なる規制体制下で運営され、異なる脅威プロフィールに直面し、リスクを異なる用語で定義しています。しかし、そのすべてにおいて、私は同じ構造的な問題に遭遇しました。サイバーリスクは統一された規律として管理されていなかったのです。それは既に存在していたシステム、製品市場、規制当局、監査人、保険業者、取締役会によって細切れ状に採用され、それぞれが独自のタイムラインで、独自の言語で、「安全な」という独自の定義に向かってフレームワークを構築していました。このパターンは初期の保険数理科学と似ており、保険の別々の部門が相関損失が本当の脅威であることを発見する前に、それぞれがリスクを孤立して模型化していました。

個々のサイロ内では、ロジックは健全でした。しかし、それらの間のつなぎ目は決して調整されていませんでした。ある システムの盲点が別のシステムの価格設定されていないエクスポージャーになる場所では、それを命名する共通言語がありませんでした。デジタルトランスフォーメーションが業界、サプライチェーン、重要なインフラストラクチャ間の相互接続を加速化するにつれて、これらのつなぎ目は実際の現代的なリスク表面に広がっています。

我々はより多く支出しており、さらに後れを取っている

私が主導したすべてのセキュリティプログラムにおいて、予算は毎年増加する可能性がありました。私のアプローチはいつも正反対でした。ツールの蔓延と機能の重複を積極的に削減し、アーキテクチャを単純化し、すべてのドルを測定可能なビジネス成果に結びつけることです。タイミングと意図です。しかし、その規律があっても、私たちが費やしたものと私たちが晒されていたものとの距離は広がっていました。なぜなら、技術的変化が、私たちが置き換えることができるよりも速く、私たちのツールと仮定を陳腐化させていたからです。業界レベルの数字がこれが逸話的ではないことを確認しています。ガートナーは、2025年のグローバルセキュリティ支出が2,120億ドルを超えると予測しました。サイバー犯罪の経済的影響は、ほとんどの推定によると、年間10兆ドルを超えています。これらの曲線は収束ではなく、発散しています。

私は最初にこれをヘルスケアで強く感じました。数百万人のメンバーの機密健康データを処理するグローバル給付管理者のCISO として、私はHIPAA、州レベルのプライバシー委任、プラン スポンサーからの契約上の義務の下で運営されていました。私たちはあらゆる監査を満たすことができ、それでも実際のリスクは手渡しの中にあることを知っていました。つまり、請求プラットフォームと外部プロバイダーネットワーク間のインターフェース、異なる標準によって管理されるシステム間を流れるデータです。監査人は彼らのボックスをチェックしました。つなぎ目は測定されていませんでした。

その後、大規模資産管理会社でグローバルセキュリティエンジニアリングをリードしていた時、金融サービスで同じギャップを見ました。異なるコントロール、異なる規制当局、同一の盲点です。国際的には断片化がさらに見えていました。地域の規制機関、管轄区域によって異なるデータ主権要件、地域によって異なるベンダーエコシステム。すべての規制当局が「十分なセキュリティ」について独自の定義を持っていました。誰も私たちが防御していた相互接続された現実を説明していませんでした。連邦準備制度理事会の研究者は、金融システムの相関サイバーイベント への曝露が、従来のリスクモデルでは捉えられない方法で増加していることを文書化しています。私はその隔たりを毎日経験していました。

これらの経験を結びつけたのは、あらゆる単一の脅威よりも私をさらに悩ませた保険市場のパターンでした。違約の頻度と重大度が上昇したとしても、保険料が軟化するのを見ました。保険業者は個別の、相関のない事件に引受をしていた一方、実際のリスクは体系的になっていました。デジタルトランスフォーメーションはこれらの産業を縫い合わせていました。ヘルスケアプラットフォームは金融決済所に接続され、製造サプライチェーンに接続され、すべてはハイパースケーラーに接続されていますが、保険数理モデルはそれでも各ポリシー保有者を島として扱っていました。単一のベンダー障害が数千の組織に同時に カスケード することができるとき、その価格設定モデルは意味をなくします。黒い白鳥が私たちのデジタル池に潜んでいます。

通常の選択は危険なものである

2024年に典型的な大規模エンタープライズが実行していたスタックを考えてください。ERP、サプライチェーン用の1つのベンダー。境界強制用のもう1つ。ネットワーク用のもう1つ、エンドポイント保護用のもう1つです。標準的な選択肢、責任を持ってされています。12ヶ月のウィンドウ内で、これらのカテゴリーのそれぞれは重大な中断を経験しました。ゼロデイエクスプロイトから世界的な運用を混乱させた更新障害まで。任意の単一のイベントは生き残ることができました。蓄積は完全に異なるものでした。

私はグローバルCISOとしてこれを経験しました。私のチームは、その間の回復時間を持つ順序のある危機のために計画されていました。私たちが得たのは、相互依存するシステム全体の重複する中断でした。1週間、周辺の緊急パッチを分類していたのに、2番目の提言が別のプラットフォームでエスカレートしていました。これらのイベントが1つずつ到着し、私たちが呼吸の余地を持つと仮定することは、計画フィクションであることが判明しました。操作自体を維持しているとき、危機は実際のタイムスケールでつなぎ目を晒します。

ファイアウォールの脆弱性は、背後にあるERPがすべての金融トランザクションを処理する場合、単なるネットワーク問題ではありません。エンドポイントエージェント の障害は、ロジスティクスを実行するオペレーティングシステムをダウンさせるときに、単なるセキュリティツール停止ではありません。これらのプラットフォームは孤立して障害を発生させません。なぜなら、彼らは孤立して運用していないからです。ますます、それらに依存する産業も同様にです。クラウドプロバイダーへの中断は、請求を処理するヘルスケアシステム、取引を決済する金融機関、および同じプラットフォーム上でサプライチェーンを調整する製造業者全体に波及します。

2024年7月のCrowdStrike事件は、これを却下することを不可能にしました。日常的なコンテンツ更新、攻撃者なし、エクスプロイトなし。世界中の数百万のWindowsシステムをレンガにしました。航空会社は飛行を停止しました。病院は患者を迂回させました。金融サービスは暗くなりました。保護ツール自体が障害ベクトルになりました。これはサイバーセキュリティが組織の境界内に含まれた技術的問題であるか、それとも複数の体系的なリスクであるかについての議論を終わらせるべきでした。

産業オートメーションの背景は、これを暗くおなじみにしました。素材取扱いでは、統合層が最も高いリスク面であることを知っていました。コンポーネントが障害を発生させる可能性があると仮定してシステムを設計し、操作が停止しないように劣化パスを構築しました。エンタープライズサイバーセキュリティは、どういうわけか、ベストオブブリード ツールを組み立てることが回復力のあるシステムを構築することと同じであると確信していました。そうではありません。デジタルトランスフォーメーションがより多くの重要なインフラストラクチャ（エネルギーグリッド、水システム、輸送ネットワーク、医療機器）を同じ相互接続されたプラットフォームに押し付けるにつれて、その混乱の結果は増加します。

レジリエンスは設計上の問題であり、コンプライアンス上の問題ではない

ヘルスケア、金融サービス、製造業全体で、私は同じパターンを見ました。コンプライアンス装置は、コントロールが存在するかどうかを測定しました。それはめったに、組織、またはそれが依存していたより広いインフラストラクチャが、その障害を生き残ることができるかどうかを測定していませんでした。ヘルスケアでは、コンプライアンスを実証しながら、調整されたサプライチェーン攻撃に対する回復力はほぼテストされていません。金融サービスでは、保険業者がリスクを引受けるときに試験に合格し、同じコンプライアンス信号でオフにオフにオフにしています。検査官が受け入れています。どちらも、プラットフォームと対応者間の体系的な相互依存を捉えていません。製造業では、ITネットワークを保護しながら、物理的プロセスを制御する運用技術は、ビジネスが加速しているのと同じデジタルトランスフォーメーションを介してますます晒されています。我々はつなぎ目が弱いです。

役割から役割へと私に続いた質問は簡潔でした。重要なプラットフォームが明日失敗した場合、違反されていないのに、失敗した場合、ビジネスは運営を続けることができるでしょうか。それが提供する重要なサービスは機能し続けることができるでしょうか。紙のプロセスと理論的な演習はいつも存在していたが、カスケード影響を予測することができるような方法では決してありませんでした。

インターネット自体はより良いモデルを提供しています。個々のノードの損失に耐えるように設計されていました。ルートが壊れ、トラフィックが別のパスを見つけます。組織は同じアーキテクチャ品質が必要であり、その上に座っている相互接続されたインフラストラクチャも同様です。目標はすべての妥協を防ぐことができないことです。単一の障害が産業全体の重要なサービスをオフラインに取る体系的な中断にカスケードしないことを保証する必要があります。これは優先順位を設定します。あなたはそれを監査することで到達することはできません。あなたはそれを構築する必要があります。

外部からの圧力はこの結論に収束しています。保険は意味のあるカバレッジレベルで購入するのが難しくなっており、キャリアは、彼らがまだ価格を設定できない相関リスクと格闘しています。規制当局は責任をC-スイートに押し付けています。取締役会は成熟度スコアではなく、生存性の証拠を望んでいます。「サイバーセキュリティ」が保護することが期待されている範囲は、AIエンタープライズデータから運用技術まで、コミュニティが依存する重要なインフラストラクチャ全体を含むように拡大し続けています。

業界は組織が安全であることを実証することの周りに経済を構築しました。それは監査、認証、フレームワークの調整に最適化されています。それが決して解決しなかったのは、組織、およびそれの周りのインフラストラクチャが、深刻な中断を吸収し、実行を継続できることを証明することでした。それは最も重要なつなぎ目です。

デジタルトランスフォーメーションは、各組織の攻撃面を増加させるだけではありませんでした。それは、セクターと境界に及ぶ相互依存の出現ネットワークにそれらの表面を織り込みました。すべてのセキュリティとリスク リーダーが自分自身に尋ねるべき質問は、もはや彼らのコントロールが十分であるかどうかではありません。彼らと彼らのプログラムまたはオファリングが、持続可能な未来に整合しているのか、それとも、ますます重い過去を一緒に保持しているのかということです。

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか？