Richard Clarke đang gióng lên hồi chuông cảnh báo về một loại khác của ngày 11/9
Sa hoàng chống khủng bố đầu tiên của Hoa Kỳ nói rằng nước này rất cần một cách tiếp cận mới để tự bảo vệ mình khỏi các cuộc tấn công mạng và tiến hành tấn công mạng.
Richard Clarke đang gióng lên hồi chuông cảnh báo về một loại khác của ngày 11/9
[Ảnh: Kim Kulish / Corbis qua Getty Images]
BỞI ALEX PASTERNACKĐỌC LÂU
Richard Clarke biết một vài điều về những nguy hiểm rõ ràng và hiện tại. Ông đã phục vụ dưới sáu tổng thống và được bổ nhiệm là Sa hoàng chống khủng bố đầu tiên của Hoa Kỳ khi ông gia nhập Nhà Trắng George W. Bush, nhưng khi ông cố gắng cảnh báo những người ra quyết định quan trọng trước ngày 11 tháng 9 về mối đe dọa tấn công khủng bố trên đất Mỹ, những cảnh báo đó phần lớn bị bỏ qua. (Sau đó, anh ấy đã xin lỗi một cách công khai về những thất bại của chính phủ.) Những ngày này, Clarke vẫn đang cố gắng khiến người Mỹ suy nghĩ kỹ về các cuộc tấn công lớn tiếp theo, và những điều đang diễn ra lặng lẽ khi bạn đọc câu này.
Cuốn sách mới của Clarke, The Fifth Domain , được viết bởi chuyên gia mạng và cựu chiến binh Nhà Trắng Robert Knake, theo nhiều cách là một cuốn sách tiếp theo của cuốn sách họ viết năm 2012 có tên là Cuộc chiến tranh điện tử.Vào thời điểm đó, cuốn sách bị một số người chế giễu là khoa học viễn tưởng, Clarke than thở; bây giờ họ có lợi ích của một loạt các phát triển giống như khoa học viễn tưởng để chứng minh trường hợp của họ.
Tuy nhiên, trong khi chúng ta bị che mắt bởi hàng loạt các vụ đột nhập, trộm cắp và tấn công khổng lồ, thì viễn cảnh của Cyber 9/11 hay Cyber Pearl Harbor vẫn khó có thể nắm bắt. Có lẽ đó là những ẩn dụ sai. Như Eric Rosenbach, một cựu chiến binh Lầu Năm Góc, nói với các tác giả, Cuộc tấn công mạng lớn sẽ là điều làm suy yếu nền dân chủ của chúng ta theo cách khiến người Mỹ nghi ngờ về khả năng tồn tại của hệ thống của chúng ta.
Clarke nói đó chính xác là những gì đã xảy ra vào năm 2016 , khi các đặc vụ Nga hack email, tuyên truyền và tiến hành các cuộc tấn công vào các hệ thống bỏ phiếu để can thiệp vào cuộc bầu cử ở Mỹ và chúng ta có thể mong đợi nhiều hơn về điều đó trong tương lai . Ông cũng lo ngại chiến tranh mạng cũng có thể dẫn đến một cuộc chiến bắn súng, đặc biệt là bây giờ chính quyền Trump đã có lập trường quyết liệt hơn đối với các cuộc đối đầu trong lĩnh vực chiến tranh mới, thứ năm này. Mỗi khi tôi thấy Mỹ và Iran tiến gần hơn đến một thứ gì đó, tôi lo lắng rằng nó có thể vượt khỏi tầm kiểm soát bởi vì tôi không nghĩ rằng chúng tôi đã sẵn sàng, ông Clar Clarke nói. (Trong một phần, anh ấy và Knake mô tả cuộc xung đột trên mạng giữa Iran và Israel sẽ như thế nào; đọc một đoạn trích ở đây .)
Dù bằng cách nào, sẽ không có những kẻ tấn công mạng cyberweapons và đặc biệt là những con sâu quân sự mạnh như Stuxnet, được sử dụng để tấn công máy ly tâm hạt nhân của Iran vào năm 2012 . Điều đó không có nghĩa là trở thành nạn nhân là không thể tránh khỏi, Clarke, người có công ty tư vấn an ninh mạng của công ty cho biết. Các công ty và chính phủ cần kiên cường hơn, và Clarke và đồng tác giả của ông đưa ra 80 khuyến nghị về những gì Hoa Kỳ nên làm, bao gồm tăng cường các tiêu chuẩn cho lưới điện và gia công một số an ninh mạng của chính phủ cho một ngành công nghiệp tư nhân đang phát triển. Gần đây tôi đã nói chuyện với anh ấy về những gợi ý đó và những ý tưởng và mối quan tâm khác được nêu ra trong cuốn sách; cuộc trò chuyện của chúng tôi, xảy ra qua điện thoại và email, đã được chỉnh sửa một chút cho rõ ràng.
Công ty nhanh: Bạn và những người khác cảnh báo về một mạng 9/11. Bạn có thấy tương đồng với thời gian ở Nhà Trắng, khi bạn đang lo ngại về mối đe dọa khủng bố lên đến đỉnh điểm trong những gì xảy ra vào ngày 11 tháng 9?
Richard Clarke: Mối đe dọa khủng bố mà chúng ta đã thấy đang phát triển trong những năm 90, và chúng ta đã đóng đinh nó rất nhiều, về mặt nói theo cách nó sẽ phát triển. Trong thời gian của chính quyền Clinton, chúng tôi đã có thể thu hút sự chú ý của mọi người và chúng tôi đã tăng gấp bốn lần số tiền mà chính phủ liên bang đã chi cho việc chống khủng bố. Chúng tôi thành lập các tổ chức mới. Chúng tôi đã chi rất nhiều tiền cho các khả năng trong nước để đối phó với các cuộc tấn công hóa học và sinh học. Và chúng tôi đã lo lắng về an ninh trong không khí. Mọi người sẽ không bao giờ coi nó đủ nghiêm túc để làm những điều chúng tôi đề xuất về phía không quân, mà chính phủ liên bang đã liên bang hóa việc sàng lọc người tại các sân bay. Không phải là một cơ hội. Hãy nghĩ về việc có thể có phòng không ở Washington. Không phải là một cơ hội.
I did a book two years ago called Warnings where we did 14 case studies where experts, data-driven experts, predicted things would happen, and no one paid attention, no one acted on the basis of their warnings. And we asked the question across those 14 case studies. And we asked the question, why is that happening? And the most powerful reason they came up with was that the thing that we were talking about had never happened before.
We came up with a fancy term for this—I think it was Initial Occurrence Syndrome. And after the 2016 election, when she was drinking a lot of Chardonnay, Hillary Clinton read the book. And so when she goes to write her book, What Happened?, she refers to Warnings and says that even though there’s evidence that something’s about to happen—if you’re warned by experts—and it’s never happened before, you don’t take it seriously. And that’s what happened in the case of the Russian interference in the election. That’s what she says.
Tôi nghĩ với chiến tranh mạng, chúng ta có cùng một loại hiện tượng. Chúng tôi đã có rất nhiều chuyên gia, rất nhiều dữ liệu, dự đoán khả năng điều khiển mạng đáng kể và chúng tôi đang trả tiền cho dịch vụ môi để đối phó với nó. Mọi người đang bỏ qua nó. Như chúng tôi đã chỉ ra trong cuốn sách, có một số công ty đang chi tiêu một số tiền rất lớn và họ thực sự đã đạt được sự bảo mật của những con chó không sủa. Nhưng nói chung, mọi người không chú ý đến nó, bởi vì chưa bao giờ có sự kiện lớn đó. Hoặc nó chưa bao giờ là một sự kiện lớn đối với họ.
FC: Nó có vẻ như là một hệ quả tất yếu cho sự thất bại của trí tưởng tượng, đó là điều được đề cập trong báo cáo ngày 11/9 .
RC: Và tôi hơi bực bội vì tôi nghĩ chúng tôi đã tưởng tượng khá tốt. Nó chắc chắn đã được tưởng tượng trong trường hợp tấn công mạng. Trong cuốn sách chúng ta cũng có một phân đoạn hư cấu nhỏ được đặt trong tương lai gần về cách một cuộc đối đầu giữa Israel và Iran xuất hiện. Vì vậy, tôi nghĩ rằng nhiều người có nhiều trí tưởng tượng về cách nó có thể xảy ra, nhưng nó chưa bao giờ xảy ra theo cách lớn. Nhưng nó đang xảy ra ngày càng nhiều.
[ Đọc kịch bản của Clarke và Knake tại đây .]
FC: Bạn đã viết tiểu thuyết, và tôi đã nghe mối quan tâm trước ngày 11/9 của bạn về máy bay như tên lửa đến từ một cuốn sách Tom Clancy. Tiểu thuyết có vẻ quan trọng ở đây.
RC: Clinton cũng có một số ý tưởng của mình về các mối đe dọa từ tiểu thuyết. Là một tác giả tiểu thuyết không thường xuyên, tôi nghĩ rằng tiểu thuyết đôi khi là cách tốt nhất để tiết lộ sự thật.
FC: Về việc thu hút sự chú ý của mọi người. . .
RC: Khi chúng tôi viết Cuộc chiến tranh mạng cách đây 10 năm, người Nga đã sử dụng không gian mạng chống lại Estonia, họ đã sử dụng nó để chống lại Georgia, nhưng điều đó không thực sự thu hút sự chú ý của thế giới. Bây giờ, chỉ trong vài tháng qua, Hoa Kỳ thừa nhận, chúng tôi đã tiến hành một cuộc tấn công mạng nhằm vào Cơ quan Nghiên cứu Internet của Nga. Hoa Kỳ thừa nhận rằng chúng tôi đã xâm nhập vào sự kiểm soát của lưới điện Nga. Hoa Kỳ thừa nhận rằng chúng tôi đã phản ứng với sự sụp đổ của máy bay không người lái Global Hawk của chúng tôi bằng một cuộc tấn công mạng vào Iran. Vì vậy, các bức ảnh đang được bắn, và chúng đang bị bắn rất nhiều. Tuy nhiên, mọi người không thể tưởng tượng những người lớn.
FC: Tôi đoán một số người có trí tưởng tượng, nhưng mọi người, có thể những người cần đưa ra quyết định không đủ trí tưởng tượng, hoặc không lắng nghe những mối quan tâm một cách hợp lý?
RC: Có một số nhược điểm với diễn xuất trước khi có khủng hoảng. Chúng tôi đã nói về nó trong cuốn sách Cảnh báo . Nếu bạn hành động quá sớm và bạn thành công trong việc ngăn chặn khủng hoảng, mọi người sẽ nghĩ bạn bị điên và lãng phí tiền bạc. Tôi không biết bạn nghĩ gì về Y2K, tôi tình cờ nghĩ rằng đó sẽ là một vấn đề nếu chúng ta không tiêu hết tiền và làm tất cả những gì chúng ta đã làm. Nhưng bởi vì chúng tôi đã ngăn chặn vấn đề đó, tôi nghĩ rất nhiều người, khi bạn nói Y2K, hãy nói, ồ, đó là một trò đùa.
FC: Và tất cả các cuộc tấn công đã được ngăn chặn quá, không ai biết về những cuộc tấn công. Đối với cách đối phó với khủng hoảng, như bạn đã đề cập, phản ứng dường như đang thay đổi theo tháng theo chính quyền này. Bạn thảo luận trong cuốn sách bao lâu chúng ta quá tập trung vào phòng thủ và không đủ sức tấn công.
RC: Vâng, theo một nghĩa hẹp, và đó là Bộ Tư lệnh Không gian Hoa Kỳ. Bộ Tư lệnh Không gian Hoa Kỳ đã bị trói buộc trong các nút thắt, về mặt pháp lý và chính sách. Chính quyền Obama, sau khi Stuxnet xảy ra sự cố và họ cảm thấy bị đốt cháy bởi Stuxnet, họ đặt ra rất nhiều hạn chế đối với Cyber Command. Và chúng tôi nghĩ rằng có lẽ đó là quá nhiều. Nhưng bây giờ con lắc đã vung ra theo hướng ngược lại, đó là Nhà Trắng không còn phải chấp thuận mọi thứ. Để phá hủy tất cả những quyết định đó đối với Cyber Command cho đến Lầu năm góc, điều đó có lẽ quá cực đoan.
FC: Hoa Kỳ đã thừa nhận rằng Moscow đã có khả năng đóng cửa các bộ phận của lưới điện Hoa Kỳ. Về phản ứng chính xác, tôi nghĩ đến một sự trở lại song song khác, trở lại ngày 9/11, đó là vấn đề ai chịu trách nhiệm ngăn chặn kẻ xấu. Tôi nghĩ về việc vào ngày 9/11, CIA đã theo dõi những kẻ không tặc ở Hoa Kỳ rõ ràng vì lợi ích thu thập thông tin tình báo và giữ thông tin đó từ FBI một cách hiệu quả. Tôi tự hỏi nếu bạn thấy một sự song hành ở đó về cách chúng ta phản ứng với tội phạm mạng ngày nay.
RC: Có một cơ chế giải mã. Và nhân tiện, đã có khủng bố trước ngày 9/11. CIA chỉ không sử dụng nó trong một dịp quan trọng. Nhưng bây giờ có một cơ chế giải mã cho các cuộc tấn công mạng. Vì vậy, nếu CIA muốn làm điều gì đó, họ phải nói chuyện với NSA và Cyber Command, và ngược lại, để họ không tiết lộ cho nhau có hiệu lực. Tôi không có lý do để tin rằng nó không hoạt động.
FC: Điều gì là quan trọng ngay bây giờ về mặt bảo vệ cơ sở hạ tầng quan trọng, từ quan điểm của Hoa Kỳ, mà chúng ta không làm?
RC: Điều quan trọng nhất rõ ràng là lưới điện, và cùng với đó là các đường ống khí đốt tự nhiên phụ thuộc vào lưới điện. Và nếu bạn nhìn vào cấu trúc quy định của chúng tôi, chính phủ liên bang chỉ quy định một phần của lưới điện cho an ninh. Tôi nghĩ rằng nó nên điều chỉnh toàn bộ, bao gồm các đường ống dẫn khí. Nó nên có kiểm toán của bên thứ ba một cách thường xuyên. Và nó sẽ làm tăng mức độ của các quy định bảo mật và phân khúc các thiết bị trên mạng. Bởi vì khi Giám đốc Tình báo Quốc gia làm chứng, như ông đã làm trong năm nay, rằng người Nga đang ở trong mạng lưới điện của chúng tôi, điều đó đã phát ra tiếng chuông báo động đáng lẽ phải khiến chúng tôi phải nói, Được rồi, hãy đưa họ ra! Chương trình quốc gia lớn ở đâu để đưa họ ra ngoài và đảm bảo họ không thể vào lại?
Nếu chúng ta đã nói một sư đoàn quân đội Nga ở Kansas, có lẽ mọi người sẽ phản ứng? Chà, trang phục GRU trên mạng của Nga có nằm trong lưới điện của chúng ta không? Giống như, thưa Oh yeah, tôi đã nghe điều đó trước đây, vậy thì.
FC: Bạn đã từng làm việc trong chính quyền của bốn tổng thống, từ Reagan đến George W. Khi bạn nghĩ về trải nghiệm của mình ở đó và bạn nhìn vào Nhà Trắng ngày hôm nay, bạn lo lắng về điều gì? Bạn nghĩ về điều gì?
RC: Khi chính quyền Trump bắt đầu, họ đã có một anh chàng thực sự giỏi làm công việc điều phối không gian mạng, cái gọi là công việc cyberczar. Họ đã không cho anh ta tất cả sức mạnh mà, thật lòng mà nói, tôi có, nhưng anh ta là một người tốt, và anh ta có danh hiệu đúng. Và sau đó John Bolton đến và sa thải anh ta, và không thay thế anh ta. Anh chàng được đặt tên là Rob Joyce.
FC: Cựu chiến binh NSA.
RC: Và anh ấy đã trở lại NSA và bây giờ anh ấy đã trở lại đó. Tôi chắc rằng anh ấy đang làm những điều tốt ở đó. Nhà Trắng đã viết một chính sách quốc gia hay chiến lược quốc gia về an ninh mạng, nhưng họ sẽ thực hiện nó như thế nào khi họ không có ai trong Nhà Trắng làm điều đó? Họ đã làm điều tương tự trong Bộ Ngoại giao. Có những người làm việc theo các tiêu chuẩn quốc tế và có thể một ngày nào đó kiểm soát vũ khí. Và họ đã thoát khỏi điều đó và giáng chức.
Vì vậy, tôi không thấy nhiều chuyện xảy ra. Họ đã đồng ý lấy một ít của DHS và làm việc trên mạng và đặt chúng lại với nhau dưới một nhãn hiệu là Cơ quan An ninh mạng. Nhưng họ chỉ đồng ý làm điều đó nếu không có nguồn lực mới chi tiêu. Vì vậy, chúng tôi đã có một cơ quan an ninh mạng nhỏ ở DHS, và người chịu trách nhiệm về nó, [Christopher] Krebs, khá giỏi, nhưng anh ta không có bất cứ nơi nào gần tài nguyên mà anh ta cần.
Những gì chúng tôi đề xuất trong cuốn sách là, thay vì để mọi cơ quan liên bang cố gắng tự bảo vệ mình, chúng tôi lấy cơ quan an ninh mạng đó tại DHS và giao cho họ công việc, cung cấp cho họ các nguồn lực họ cần để làm, nhưng cho tất cả các cơ quan liên bang nhỏ và các phòng ban không phải là Bộ Quốc phòng. Đối với tất cả những dịch vụ không phù hợp với nó, như OPM [Văn phòng quản lý nhân sự] thì đó là một dịch vụ bảo mật được quản lý. Có nó được thuê ngoài.
Nếu bạn tìm ví dụ về cách các tiểu bang làm CNTT, nhiều tiểu bang có một bộ phận CNTT. Và nếu bạn đang làm việc trong bất kỳ cơ quan hoặc bộ phận nhà nước nào, bạn phải lo lắng về CNTT. Đó là một dịch vụ. Chúng tôi phải làm điều đó cho nhiều liên bang và tạo ra một dịch vụ mạng cao cấp. Chúng tôi đã có một dịch vụ điều hành cao cấp và dịch vụ tình báo cao cấp, dịch vụ cao cấp nước ngoài. Đã đến lúc cho một dịch vụ mạng cao cấp. Và tất cả họ nên làm việc ra khỏi cơ quan an ninh mạng. Và họ phải là CISO [giám đốc an ninh thông tin] tại tất cả các cơ quan và phòng ban.
FC: Về mặt riêng tư, trong khi đó, tôi tự hỏi làm thế nào bạn thấy sự thay đổi cách các công ty nghĩ về an ninh mạng và bảo vệ dữ liệu người dùng? Làm thế nào để tiền phát huy tác dụng khuyến khích hành vi tốt?
RC: Đó là tất cả về tiền bạc. Các công ty đã đạt được an ninh mạng đã chi tiêu khoảng 8 đến 10% ngân sách CNTT của họ mỗi năm. Và các công ty đang bị tấn công đang ở đầu kia của quang phổ, chi 3 hoặc 4%. Nếu bạn dành 3 hoặc 4% ngân sách CNTT cho an ninh mạng, bạn sẽ bị hack. Bạn đã có, và bạn không biết điều đó. Vì vậy, đó là về tiền.
Đó cũng là về quản trị. Trường hợp của CISO, nhân viên an ninh thông tin trưởng ở đâu trong hệ thống phân cấp? Cô ấy báo cáo cho ai? Nếu cô ấy báo cáo với CIO, thì bạn có vấn đề vì bạn có lợi ích mâu thuẫn. Và nếu CISO nói, tôi cần mức hỗ trợ này về mặt tài chính, hoặc về mặt chính sách và thủ tục, và họ không được phê duyệt, thực tế là họ đã bị từ chối những tài nguyên đó cần được nói với ban giám đốc. Và cần phải có ai đó trong ban giám đốc là người không gian mạng và cần phải có một cuộc tấn công mạng mỗi quý ít nhất là cho ủy ban rủi ro của hội đồng quản trị. Và các công ty có được phần quản trị ngay lập tức, nơi báo cáo của CISO, vai trò của hội đồng quản trị là gì, có một anh chàng mạng nào trong hội đồng quản trị không? Họ có thể làm điều đó đúng, họ không bị hack.
FC: Về mặt thúc đẩy điều đó, và tưởng tượng điều tồi tệ nhất, tôi tự hỏi liệu có những khuyến khích tài chính nào có thể đi vào hoạt động. Rõ ràng, có một động lực tài chính lớn để không bị hack.
RC: Tôi không ủng hộ việc giảm thuế, vì đó chỉ là một khoản chi. Tôi nghĩ rằng ưu đãi tài chính là bạn sẽ không mất hàng trăm triệu đô la và thiệt hại danh tiếng khi bạn bị tấn công.
Chúng tôi nói trong cuốn sách về bảo hiểm không gian mạng và làm thế nào nó có thể làm được nhiều hơn nó. Và bảo hiểm không gian mạng có thể đặt ra các tiêu chuẩn, nếu họ sẵn sàng cung cấp bảo hiểm lớn hơn so với thực tế. Họ không sẵn sàng tạo ra phạm vi bảo hiểm lớn hơn ngay bây giờ, vì họ sợ họ không hiểu rủi ro. Họ sợ ngày 9/11 trên mạng nơi mọi người bị tấn công và phá sản công ty bảo hiểm. Vì vậy, họ giới hạn các chính sách. Chúng tôi đã có cùng một vấn đề với khủng bố. Và chúng tôi đã tạo ra một điểm dừng chính phủ trong trường hợp có một cuộc tấn công khủng bố lớn. Chúng tôi đã ngăn chặn các công ty bảo hiểm. Chúng tôi kêu gọi Hoa Kỳ làm điều tương tự cho các cuộc tấn công mạng.
FC: Nó cũng khiến tôi nghĩ về vấn đề riêng tư. Thật khó để tưởng tượng chi phí là bao nhiêu cho đến khi cuộc tấn công đã xảy ra. Thật khó để tưởng tượng việc mất hàng triệu bản ghi dữ liệu có nghĩa là gì, ngay cả sau khi bạn mất chúng, nếu bạn biết rằng bạn đã mất chúng và thậm chí làm thế nào để đặt giá cho điều đó để nó quay trở lại vấn đề của trí tưởng tượng.
RC: Được rồi, vì vậy nếu bạn nhìn vào cuộc tấn công NotPetya, nó sẽ xóa phần mềm trên mọi thiết bị trên mạng. Bạn có thể hạ giá thành các công ty có chi phí đã giảm, các công ty hoàn toàn giảm giá, một số trong số họ trong nhiều tuần. Và ước tính thiệt hại được bảo hiểm trong vụ tấn công NotPetya là 10 tỷ USD. Đó chỉ là những thiệt hại được bảo hiểm.
FC: Các cuộc tấn công ransomware có vẻ như là một trường hợp nghiên cứu thú vị về cách đối phó, bởi vì một số người đang trả tiền chuộc và một số thì không, và với chi phí lớn.
RC: Tôi nghĩ điều thú vị đối với tôi về ransomware là nó hái trái cây treo thấp. Bạn biết có một trò đùa cũ mà bạn không cần phải vượt qua con gấu, bạn chỉ cần, nếu có ba hoặc bốn bạn chạy, bạn chỉ cần chạy nhanh hơn anh chàng kia. Vâng, đó là loại trường hợp với ransomware. Ransomware đang chọn ra những người chạy chậm. Ransomware đang chọn ra những người đang dành 3 đến 4% ngân sách CNTT cho bảo mật.
FC: Một số người đã báo cáo rằng cuộc tấn công Baltimore thực sự là kết quả của một công cụ NSA bị đánh cắp. Một công ty ở Abu Dhabi có tên Dark Matter đã thuê một nhóm người cũ của NSA để xây dựng một dịch vụ tình báo tư nhân. Tôi tự hỏi làm thế nào bạn nghĩ về tiềm năng cho những vũ khí này bị lỏng lẻo, và kinh nghiệm và tài năng bị mất?
RC: Chà, một điều nó nói với tôi là an ninh tại NSA đã không khá hơn kể từ Snowden. Sau cuộc tấn công của Snowden, Obama đã yêu cầu tôi và một vài người khác tham gia NSA và tìm ra điều gì đã xảy ra. Và chúng tôi đã cung cấp cho họ một loạt các khuyến nghị về cách cải thiện an ninh của họ và Obama đã phê duyệt tất cả các khuyến nghị đó. Nhưng chúng tôi thấy rằng các nhà thầu đang đi ra khỏi tòa nhà, về nhà với các công cụ tấn công, trong cặp của họ. Điều đó không bao giờ được phép xảy ra. Có công nghệ dễ dàng để đảm bảo điều đó không xảy ra. Nếu bạn chế tạo vũ khí, bạn phải bảo vệ chúng. Nếu bạn định chế tạo vũ khí hạt nhân, bạn phải có tính bảo mật cao. Chà, nếu bạn sắp có cyberweapons, bạn phải có tính bảo mật cao. Và khi chúng tôi để những nhà thầu Booz Allen này bước ra khỏi tòa nhà với vũ khí, đó là tội phạm.
FC: Nhưng nó rất dễ làm. Có vẻ như so với những thứ như vũ khí hạt nhân, ở mức độ thực tế, có vẻ như rất khó kiểm soát những vũ khí này.
RC: Không, không thực sự. Không. Họ đang ở trên các máy chủ của chính phủ và bạn có thể dễ dàng đưa phần mềm lên các máy chủ ngăn chặn vũ khí được tải xuống. Không có lý do tại sao những kẻ này nên có thể tải xuống thứ này. Báo động nên đã tắt. Nó làm phiền tôi rất nhiều.
Kiểm soát vũ khí, chúng tôi nghĩ, sẽ mất nhiều thời gian, nhưng nó là cần thiết. Và nếu bạn không bắt đầu bây giờ, chúng tôi sẽ không bao giờ đến đó. Bạn có thể bắt đầu với các biện pháp giảm thiểu rủi ro đơn giản, với các biện pháp xây dựng lòng tin và một số chuẩn mực quốc tế. Bắt đầu ở đó, nhưng không có cuộc đối thoại ngay bây giờ.
FC: Bạn nghĩ gì về các công ty tư nhân tham gia không chỉ trong lĩnh vực không gian mạng mà còn trong lĩnh vực không gian mạng? Tôi nghĩ về các công ty như Dark Matter và NSO Group mà cả PSY Group và Cambridge Analytica. . .
RC: Chúng ta cần thực hiện một công việc tốt hơn để thực thi Đạo luật kiểm soát xuất khẩu vũ khí khi nói đến các cuộc tấn công mạng. Chúng tôi có thể cần một luật mới để làm rõ những hạn chế, nhưng hành vi phạm tội nên được để lại cho chính phủ. Nếu không, deconfliction trở thành một vấn đề.
FC: Một số email của bạn đã bị rò rỉ vài năm trước. Tôi tự hỏi liệu bạn có bị ảnh hưởng cá nhân không, ý tôi là ngoài chiến tranh, bởi các cuộc tấn công mạng và cách điều đó thay đổi cách bạn nhìn nhận điều này. . .
RC: Điều xảy ra với tôi là máy tính của tôi không bao giờ bị hack. Anh chàng đã gửi email cho tôi và nhận lại của tôi. Và điều chứng tỏ rằng tính bảo mật của thông tin liên lạc của bạn cho dù đó là văn bản hoặc email hoặc thư thoại chỉ an toàn như cả hai đầu của cuộc trò chuyện đó. Và tôi không bận tâm lắm về những gì phát sinh từ email của mình vì tôi nghĩ mình trông khá ổn. Nhưng bạn phải có ý thức mọi lúc mọi nơi rằng bất cứ điều gì bạn đặt trong email hoặc văn bản đều có thể được phơi bày công khai. Và nếu bạn là một nhân vật nhỏ bé nhất, bạn biết đấy, họ có thể sẽ bị lộ.
FC: Điều đó có thay đổi hành vi của bạn về mặt bảo mật không? Hoặc việc viết cuốn sách này đã thay đổi suy nghĩ của bạn về bất kỳ vấn đề nào trong số này?
RC: Tôi nghĩ khi tôi bắt đầu làm việc về an ninh mạng trong Nhà Trắng, điều đó đã thay đổi thái độ của tôi rất nhiều. Và tôi nhận ra từ những vụ bê bối trước đó liên quan đến Ollie North và những người như thế trong Nhà Trắng rằng các email của Nhà Trắng có cơ hội tốt được đưa ra. Và Ủy ban 9/11 đã thực hiện cuộc điều tra của mình, họ đã rút tất cả các email của tôi, và thậm chí còn có Nhà Trắng để giải mật một số trong số họ. Và họ đã được tiết lộ, bao gồm một số điều như tôi nói rằng giám đốc của CIA có vấn đề về lưỡng cực. Vì vậy, nó là một chút xấu hổ. Tôi đã học được rằng bạn phải cẩn thận với những gì bạn đặt trong email, bởi vì ngay cả trong những môi trường an toàn nhất, mọi thứ vẫn có thể thoát ra.
FC: Nếu bạn có thể quay lại thời điểm đó trong Nhà Trắng, bạn có thể tưởng tượng rằng chúng ta sẽ ở trong tình huống chúng ta đang ở trên mạng, với Iran, Trung Quốc, Nga và Trump không?
RC: Điều xảy ra là, sau vụ tấn công khủng bố ở Thành phố Oklahoma [năm 1995], nó xảy ra cùng thời điểm với một cuộc tấn công bằng vũ khí hóa học và sinh học của một nhóm khủng bố ở Tokyo.
FC: Sarin.
RC: Bill Clinton đã nói với chúng tôi, bạn biết đấy, điều gì sẽ xảy ra nếu ai đó kết hợp một cuộc tấn công lớn như Thành phố Oklahoma bằng hóa chất và vũ khí sinh học, và nếu chúng nổ tung, không chỉ là một tòa nhà liên bang ngẫu nhiên, mà giống như một nút chính cho thứ gì đó như điện thoại hay cái gì? Chúng ta có biết các nút chính ở đâu không? Và chúng tôi đã nói, không, về cơ bản chúng tôi chưa sẵn sàng cho việc này.
Và ông nói, được thôi, chúng ta hãy thành lập một ủy ban tổng thống và xem xét nó. Tôi nghĩ rằng hoa hồng sẽ xem xét cơ sở hạ tầng quan trọng, có nghĩa là những thứ như các nút quan trọng của mạng điện thoại hoặc các cây cầu quan trọng trên Mississippi hoặc một cái gì đó. Nhưng hoa hồng đó đã trở lại và nói, Này, một cái gì đó mới đang diễn ra bây giờ. Tất cả mọi thứ đang di chuyển đến internet. Kiểm soát tất cả các loại điều quan trọng đang di chuyển đến internet. Và internet không an toàn, và điều đó có nghĩa là mọi người có thể tấn công qua internet. Tâm trí của tôi đã bị thổi bay bởi điều đó. Đó là năm 1997.
Nhưng hoa hồng đó đã có trước. Và sau đó tôi bắt đầu học và bắt đầu vào năm 1997, về những gì có thể được thực hiện và dành trọn một ngày tại NSA để đọc mọi thứ mà họ có thể làm. Tôi đã trở lại Nhà Trắng và báo cáo về cơ bản, nếu NSA theo đuổi bạn, họ sẽ lấy bạn, không có cách nào họ có thể dừng lại. Và trong khi chúng ta có thể là người duy nhất có thể làm điều đó, tôi nói, những người khác sẽ có thể làm điều đó. Và chúng tôi chưa sẵn sàng. Đó là năm 1997.
Richard Clarke đang gióng lên hồi chuông cảnh báo về một loại khác của ngày 11/9
[Ảnh: Kim Kulish / Corbis qua Getty Images]
BỞI ALEX PASTERNACKĐỌC LÂU
Richard Clarke biết một vài điều về những nguy hiểm rõ ràng và hiện tại. Ông đã phục vụ dưới sáu tổng thống và được bổ nhiệm là Sa hoàng chống khủng bố đầu tiên của Hoa Kỳ khi ông gia nhập Nhà Trắng George W. Bush, nhưng khi ông cố gắng cảnh báo những người ra quyết định quan trọng trước ngày 11 tháng 9 về mối đe dọa tấn công khủng bố trên đất Mỹ, những cảnh báo đó phần lớn bị bỏ qua. (Sau đó, anh ấy đã xin lỗi một cách công khai về những thất bại của chính phủ.) Những ngày này, Clarke vẫn đang cố gắng khiến người Mỹ suy nghĩ kỹ về các cuộc tấn công lớn tiếp theo, và những điều đang diễn ra lặng lẽ khi bạn đọc câu này.
Cuốn sách mới của Clarke, The Fifth Domain , được viết bởi chuyên gia mạng và cựu chiến binh Nhà Trắng Robert Knake, theo nhiều cách là một cuốn sách tiếp theo của cuốn sách họ viết năm 2012 có tên là Cuộc chiến tranh điện tử.Vào thời điểm đó, cuốn sách bị một số người chế giễu là khoa học viễn tưởng, Clarke than thở; bây giờ họ có lợi ích của một loạt các phát triển giống như khoa học viễn tưởng để chứng minh trường hợp của họ.
Tuy nhiên, trong khi chúng ta bị che mắt bởi hàng loạt các vụ đột nhập, trộm cắp và tấn công khổng lồ, thì viễn cảnh của Cyber 9/11 hay Cyber Pearl Harbor vẫn khó có thể nắm bắt. Có lẽ đó là những ẩn dụ sai. Như Eric Rosenbach, một cựu chiến binh Lầu Năm Góc, nói với các tác giả, Cuộc tấn công mạng lớn sẽ là điều làm suy yếu nền dân chủ của chúng ta theo cách khiến người Mỹ nghi ngờ về khả năng tồn tại của hệ thống của chúng ta.
Clarke nói đó chính xác là những gì đã xảy ra vào năm 2016 , khi các đặc vụ Nga hack email, tuyên truyền và tiến hành các cuộc tấn công vào các hệ thống bỏ phiếu để can thiệp vào cuộc bầu cử ở Mỹ và chúng ta có thể mong đợi nhiều hơn về điều đó trong tương lai . Ông cũng lo ngại chiến tranh mạng cũng có thể dẫn đến một cuộc chiến bắn súng, đặc biệt là bây giờ chính quyền Trump đã có lập trường quyết liệt hơn đối với các cuộc đối đầu trong lĩnh vực chiến tranh mới, thứ năm này. Mỗi khi tôi thấy Mỹ và Iran tiến gần hơn đến một thứ gì đó, tôi lo lắng rằng nó có thể vượt khỏi tầm kiểm soát bởi vì tôi không nghĩ rằng chúng tôi đã sẵn sàng, ông Clar Clarke nói. (Trong một phần, anh ấy và Knake mô tả cuộc xung đột trên mạng giữa Iran và Israel sẽ như thế nào; đọc một đoạn trích ở đây .)
Dù bằng cách nào, sẽ không có những kẻ tấn công mạng cyberweapons và đặc biệt là những con sâu quân sự mạnh như Stuxnet, được sử dụng để tấn công máy ly tâm hạt nhân của Iran vào năm 2012 . Điều đó không có nghĩa là trở thành nạn nhân là không thể tránh khỏi, Clarke, người có công ty tư vấn an ninh mạng của công ty cho biết. Các công ty và chính phủ cần kiên cường hơn, và Clarke và đồng tác giả của ông đưa ra 80 khuyến nghị về những gì Hoa Kỳ nên làm, bao gồm tăng cường các tiêu chuẩn cho lưới điện và gia công một số an ninh mạng của chính phủ cho một ngành công nghiệp tư nhân đang phát triển. Gần đây tôi đã nói chuyện với anh ấy về những gợi ý đó và những ý tưởng và mối quan tâm khác được nêu ra trong cuốn sách; cuộc trò chuyện của chúng tôi, xảy ra qua điện thoại và email, đã được chỉnh sửa một chút cho rõ ràng.
Công ty nhanh: Bạn và những người khác cảnh báo về một mạng 9/11. Bạn có thấy tương đồng với thời gian ở Nhà Trắng, khi bạn đang lo ngại về mối đe dọa khủng bố lên đến đỉnh điểm trong những gì xảy ra vào ngày 11 tháng 9?
Richard Clarke: Mối đe dọa khủng bố mà chúng ta đã thấy đang phát triển trong những năm 90, và chúng ta đã đóng đinh nó rất nhiều, về mặt nói theo cách nó sẽ phát triển. Trong thời gian của chính quyền Clinton, chúng tôi đã có thể thu hút sự chú ý của mọi người và chúng tôi đã tăng gấp bốn lần số tiền mà chính phủ liên bang đã chi cho việc chống khủng bố. Chúng tôi thành lập các tổ chức mới. Chúng tôi đã chi rất nhiều tiền cho các khả năng trong nước để đối phó với các cuộc tấn công hóa học và sinh học. Và chúng tôi đã lo lắng về an ninh trong không khí. Mọi người sẽ không bao giờ coi nó đủ nghiêm túc để làm những điều chúng tôi đề xuất về phía không quân, mà chính phủ liên bang đã liên bang hóa việc sàng lọc người tại các sân bay. Không phải là một cơ hội. Hãy nghĩ về việc có thể có phòng không ở Washington. Không phải là một cơ hội.
I did a book two years ago called Warnings where we did 14 case studies where experts, data-driven experts, predicted things would happen, and no one paid attention, no one acted on the basis of their warnings. And we asked the question across those 14 case studies. And we asked the question, why is that happening? And the most powerful reason they came up with was that the thing that we were talking about had never happened before.
We came up with a fancy term for this—I think it was Initial Occurrence Syndrome. And after the 2016 election, when she was drinking a lot of Chardonnay, Hillary Clinton read the book. And so when she goes to write her book, What Happened?, she refers to Warnings and says that even though there’s evidence that something’s about to happen—if you’re warned by experts—and it’s never happened before, you don’t take it seriously. And that’s what happened in the case of the Russian interference in the election. That’s what she says.
Tôi nghĩ với chiến tranh mạng, chúng ta có cùng một loại hiện tượng. Chúng tôi đã có rất nhiều chuyên gia, rất nhiều dữ liệu, dự đoán khả năng điều khiển mạng đáng kể và chúng tôi đang trả tiền cho dịch vụ môi để đối phó với nó. Mọi người đang bỏ qua nó. Như chúng tôi đã chỉ ra trong cuốn sách, có một số công ty đang chi tiêu một số tiền rất lớn và họ thực sự đã đạt được sự bảo mật của những con chó không sủa. Nhưng nói chung, mọi người không chú ý đến nó, bởi vì chưa bao giờ có sự kiện lớn đó. Hoặc nó chưa bao giờ là một sự kiện lớn đối với họ.
FC: Nó có vẻ như là một hệ quả tất yếu cho sự thất bại của trí tưởng tượng, đó là điều được đề cập trong báo cáo ngày 11/9 .
RC: Và tôi hơi bực bội vì tôi nghĩ chúng tôi đã tưởng tượng khá tốt. Nó chắc chắn đã được tưởng tượng trong trường hợp tấn công mạng. Trong cuốn sách chúng ta cũng có một phân đoạn hư cấu nhỏ được đặt trong tương lai gần về cách một cuộc đối đầu giữa Israel và Iran xuất hiện. Vì vậy, tôi nghĩ rằng nhiều người có nhiều trí tưởng tượng về cách nó có thể xảy ra, nhưng nó chưa bao giờ xảy ra theo cách lớn. Nhưng nó đang xảy ra ngày càng nhiều.
[ Đọc kịch bản của Clarke và Knake tại đây .]
FC: Bạn đã viết tiểu thuyết, và tôi đã nghe mối quan tâm trước ngày 11/9 của bạn về máy bay như tên lửa đến từ một cuốn sách Tom Clancy. Tiểu thuyết có vẻ quan trọng ở đây.
RC: Clinton cũng có một số ý tưởng của mình về các mối đe dọa từ tiểu thuyết. Là một tác giả tiểu thuyết không thường xuyên, tôi nghĩ rằng tiểu thuyết đôi khi là cách tốt nhất để tiết lộ sự thật.
FC: Về việc thu hút sự chú ý của mọi người. . .
RC: Khi chúng tôi viết Cuộc chiến tranh mạng cách đây 10 năm, người Nga đã sử dụng không gian mạng chống lại Estonia, họ đã sử dụng nó để chống lại Georgia, nhưng điều đó không thực sự thu hút sự chú ý của thế giới. Bây giờ, chỉ trong vài tháng qua, Hoa Kỳ thừa nhận, chúng tôi đã tiến hành một cuộc tấn công mạng nhằm vào Cơ quan Nghiên cứu Internet của Nga. Hoa Kỳ thừa nhận rằng chúng tôi đã xâm nhập vào sự kiểm soát của lưới điện Nga. Hoa Kỳ thừa nhận rằng chúng tôi đã phản ứng với sự sụp đổ của máy bay không người lái Global Hawk của chúng tôi bằng một cuộc tấn công mạng vào Iran. Vì vậy, các bức ảnh đang được bắn, và chúng đang bị bắn rất nhiều. Tuy nhiên, mọi người không thể tưởng tượng những người lớn.
FC: Tôi đoán một số người có trí tưởng tượng, nhưng mọi người, có thể những người cần đưa ra quyết định không đủ trí tưởng tượng, hoặc không lắng nghe những mối quan tâm một cách hợp lý?
RC: Có một số nhược điểm với diễn xuất trước khi có khủng hoảng. Chúng tôi đã nói về nó trong cuốn sách Cảnh báo . Nếu bạn hành động quá sớm và bạn thành công trong việc ngăn chặn khủng hoảng, mọi người sẽ nghĩ bạn bị điên và lãng phí tiền bạc. Tôi không biết bạn nghĩ gì về Y2K, tôi tình cờ nghĩ rằng đó sẽ là một vấn đề nếu chúng ta không tiêu hết tiền và làm tất cả những gì chúng ta đã làm. Nhưng bởi vì chúng tôi đã ngăn chặn vấn đề đó, tôi nghĩ rất nhiều người, khi bạn nói Y2K, hãy nói, ồ, đó là một trò đùa.
FC: Và tất cả các cuộc tấn công đã được ngăn chặn quá, không ai biết về những cuộc tấn công. Đối với cách đối phó với khủng hoảng, như bạn đã đề cập, phản ứng dường như đang thay đổi theo tháng theo chính quyền này. Bạn thảo luận trong cuốn sách bao lâu chúng ta quá tập trung vào phòng thủ và không đủ sức tấn công.
RC: Vâng, theo một nghĩa hẹp, và đó là Bộ Tư lệnh Không gian Hoa Kỳ. Bộ Tư lệnh Không gian Hoa Kỳ đã bị trói buộc trong các nút thắt, về mặt pháp lý và chính sách. Chính quyền Obama, sau khi Stuxnet xảy ra sự cố và họ cảm thấy bị đốt cháy bởi Stuxnet, họ đặt ra rất nhiều hạn chế đối với Cyber Command. Và chúng tôi nghĩ rằng có lẽ đó là quá nhiều. Nhưng bây giờ con lắc đã vung ra theo hướng ngược lại, đó là Nhà Trắng không còn phải chấp thuận mọi thứ. Để phá hủy tất cả những quyết định đó đối với Cyber Command cho đến Lầu năm góc, điều đó có lẽ quá cực đoan.
FC: Hoa Kỳ đã thừa nhận rằng Moscow đã có khả năng đóng cửa các bộ phận của lưới điện Hoa Kỳ. Về phản ứng chính xác, tôi nghĩ đến một sự trở lại song song khác, trở lại ngày 9/11, đó là vấn đề ai chịu trách nhiệm ngăn chặn kẻ xấu. Tôi nghĩ về việc vào ngày 9/11, CIA đã theo dõi những kẻ không tặc ở Hoa Kỳ rõ ràng vì lợi ích thu thập thông tin tình báo và giữ thông tin đó từ FBI một cách hiệu quả. Tôi tự hỏi nếu bạn thấy một sự song hành ở đó về cách chúng ta phản ứng với tội phạm mạng ngày nay.
RC: Có một cơ chế giải mã. Và nhân tiện, đã có khủng bố trước ngày 9/11. CIA chỉ không sử dụng nó trong một dịp quan trọng. Nhưng bây giờ có một cơ chế giải mã cho các cuộc tấn công mạng. Vì vậy, nếu CIA muốn làm điều gì đó, họ phải nói chuyện với NSA và Cyber Command, và ngược lại, để họ không tiết lộ cho nhau có hiệu lực. Tôi không có lý do để tin rằng nó không hoạt động.
FC: Điều gì là quan trọng ngay bây giờ về mặt bảo vệ cơ sở hạ tầng quan trọng, từ quan điểm của Hoa Kỳ, mà chúng ta không làm?
RC: Điều quan trọng nhất rõ ràng là lưới điện, và cùng với đó là các đường ống khí đốt tự nhiên phụ thuộc vào lưới điện. Và nếu bạn nhìn vào cấu trúc quy định của chúng tôi, chính phủ liên bang chỉ quy định một phần của lưới điện cho an ninh. Tôi nghĩ rằng nó nên điều chỉnh toàn bộ, bao gồm các đường ống dẫn khí. Nó nên có kiểm toán của bên thứ ba một cách thường xuyên. Và nó sẽ làm tăng mức độ của các quy định bảo mật và phân khúc các thiết bị trên mạng. Bởi vì khi Giám đốc Tình báo Quốc gia làm chứng, như ông đã làm trong năm nay, rằng người Nga đang ở trong mạng lưới điện của chúng tôi, điều đó đã phát ra tiếng chuông báo động đáng lẽ phải khiến chúng tôi phải nói, Được rồi, hãy đưa họ ra! Chương trình quốc gia lớn ở đâu để đưa họ ra ngoài và đảm bảo họ không thể vào lại?
Nếu chúng ta đã nói một sư đoàn quân đội Nga ở Kansas, có lẽ mọi người sẽ phản ứng? Chà, trang phục GRU trên mạng của Nga có nằm trong lưới điện của chúng ta không? Giống như, thưa Oh yeah, tôi đã nghe điều đó trước đây, vậy thì.
FC: Bạn đã từng làm việc trong chính quyền của bốn tổng thống, từ Reagan đến George W. Khi bạn nghĩ về trải nghiệm của mình ở đó và bạn nhìn vào Nhà Trắng ngày hôm nay, bạn lo lắng về điều gì? Bạn nghĩ về điều gì?
RC: Khi chính quyền Trump bắt đầu, họ đã có một anh chàng thực sự giỏi làm công việc điều phối không gian mạng, cái gọi là công việc cyberczar. Họ đã không cho anh ta tất cả sức mạnh mà, thật lòng mà nói, tôi có, nhưng anh ta là một người tốt, và anh ta có danh hiệu đúng. Và sau đó John Bolton đến và sa thải anh ta, và không thay thế anh ta. Anh chàng được đặt tên là Rob Joyce.
FC: Cựu chiến binh NSA.
RC: Và anh ấy đã trở lại NSA và bây giờ anh ấy đã trở lại đó. Tôi chắc rằng anh ấy đang làm những điều tốt ở đó. Nhà Trắng đã viết một chính sách quốc gia hay chiến lược quốc gia về an ninh mạng, nhưng họ sẽ thực hiện nó như thế nào khi họ không có ai trong Nhà Trắng làm điều đó? Họ đã làm điều tương tự trong Bộ Ngoại giao. Có những người làm việc theo các tiêu chuẩn quốc tế và có thể một ngày nào đó kiểm soát vũ khí. Và họ đã thoát khỏi điều đó và giáng chức.
Vì vậy, tôi không thấy nhiều chuyện xảy ra. Họ đã đồng ý lấy một ít của DHS và làm việc trên mạng và đặt chúng lại với nhau dưới một nhãn hiệu là Cơ quan An ninh mạng. Nhưng họ chỉ đồng ý làm điều đó nếu không có nguồn lực mới chi tiêu. Vì vậy, chúng tôi đã có một cơ quan an ninh mạng nhỏ ở DHS, và người chịu trách nhiệm về nó, [Christopher] Krebs, khá giỏi, nhưng anh ta không có bất cứ nơi nào gần tài nguyên mà anh ta cần.
Những gì chúng tôi đề xuất trong cuốn sách là, thay vì để mọi cơ quan liên bang cố gắng tự bảo vệ mình, chúng tôi lấy cơ quan an ninh mạng đó tại DHS và giao cho họ công việc, cung cấp cho họ các nguồn lực họ cần để làm, nhưng cho tất cả các cơ quan liên bang nhỏ và các phòng ban không phải là Bộ Quốc phòng. Đối với tất cả những dịch vụ không phù hợp với nó, như OPM [Văn phòng quản lý nhân sự] thì đó là một dịch vụ bảo mật được quản lý. Có nó được thuê ngoài.
Nếu bạn tìm ví dụ về cách các tiểu bang làm CNTT, nhiều tiểu bang có một bộ phận CNTT. Và nếu bạn đang làm việc trong bất kỳ cơ quan hoặc bộ phận nhà nước nào, bạn phải lo lắng về CNTT. Đó là một dịch vụ. Chúng tôi phải làm điều đó cho nhiều liên bang và tạo ra một dịch vụ mạng cao cấp. Chúng tôi đã có một dịch vụ điều hành cao cấp và dịch vụ tình báo cao cấp, dịch vụ cao cấp nước ngoài. Đã đến lúc cho một dịch vụ mạng cao cấp. Và tất cả họ nên làm việc ra khỏi cơ quan an ninh mạng. Và họ phải là CISO [giám đốc an ninh thông tin] tại tất cả các cơ quan và phòng ban.
FC: Về mặt riêng tư, trong khi đó, tôi tự hỏi làm thế nào bạn thấy sự thay đổi cách các công ty nghĩ về an ninh mạng và bảo vệ dữ liệu người dùng? Làm thế nào để tiền phát huy tác dụng khuyến khích hành vi tốt?
RC: Đó là tất cả về tiền bạc. Các công ty đã đạt được an ninh mạng đã chi tiêu khoảng 8 đến 10% ngân sách CNTT của họ mỗi năm. Và các công ty đang bị tấn công đang ở đầu kia của quang phổ, chi 3 hoặc 4%. Nếu bạn dành 3 hoặc 4% ngân sách CNTT cho an ninh mạng, bạn sẽ bị hack. Bạn đã có, và bạn không biết điều đó. Vì vậy, đó là về tiền.
Đó cũng là về quản trị. Trường hợp của CISO, nhân viên an ninh thông tin trưởng ở đâu trong hệ thống phân cấp? Cô ấy báo cáo cho ai? Nếu cô ấy báo cáo với CIO, thì bạn có vấn đề vì bạn có lợi ích mâu thuẫn. Và nếu CISO nói, tôi cần mức hỗ trợ này về mặt tài chính, hoặc về mặt chính sách và thủ tục, và họ không được phê duyệt, thực tế là họ đã bị từ chối những tài nguyên đó cần được nói với ban giám đốc. Và cần phải có ai đó trong ban giám đốc là người không gian mạng và cần phải có một cuộc tấn công mạng mỗi quý ít nhất là cho ủy ban rủi ro của hội đồng quản trị. Và các công ty có được phần quản trị ngay lập tức, nơi báo cáo của CISO, vai trò của hội đồng quản trị là gì, có một anh chàng mạng nào trong hội đồng quản trị không? Họ có thể làm điều đó đúng, họ không bị hack.
FC: Về mặt thúc đẩy điều đó, và tưởng tượng điều tồi tệ nhất, tôi tự hỏi liệu có những khuyến khích tài chính nào có thể đi vào hoạt động. Rõ ràng, có một động lực tài chính lớn để không bị hack.
RC: Tôi không ủng hộ việc giảm thuế, vì đó chỉ là một khoản chi. Tôi nghĩ rằng ưu đãi tài chính là bạn sẽ không mất hàng trăm triệu đô la và thiệt hại danh tiếng khi bạn bị tấn công.
Chúng tôi nói trong cuốn sách về bảo hiểm không gian mạng và làm thế nào nó có thể làm được nhiều hơn nó. Và bảo hiểm không gian mạng có thể đặt ra các tiêu chuẩn, nếu họ sẵn sàng cung cấp bảo hiểm lớn hơn so với thực tế. Họ không sẵn sàng tạo ra phạm vi bảo hiểm lớn hơn ngay bây giờ, vì họ sợ họ không hiểu rủi ro. Họ sợ ngày 9/11 trên mạng nơi mọi người bị tấn công và phá sản công ty bảo hiểm. Vì vậy, họ giới hạn các chính sách. Chúng tôi đã có cùng một vấn đề với khủng bố. Và chúng tôi đã tạo ra một điểm dừng chính phủ trong trường hợp có một cuộc tấn công khủng bố lớn. Chúng tôi đã ngăn chặn các công ty bảo hiểm. Chúng tôi kêu gọi Hoa Kỳ làm điều tương tự cho các cuộc tấn công mạng.
FC: Nó cũng khiến tôi nghĩ về vấn đề riêng tư. Thật khó để tưởng tượng chi phí là bao nhiêu cho đến khi cuộc tấn công đã xảy ra. Thật khó để tưởng tượng việc mất hàng triệu bản ghi dữ liệu có nghĩa là gì, ngay cả sau khi bạn mất chúng, nếu bạn biết rằng bạn đã mất chúng và thậm chí làm thế nào để đặt giá cho điều đó để nó quay trở lại vấn đề của trí tưởng tượng.
RC: Được rồi, vì vậy nếu bạn nhìn vào cuộc tấn công NotPetya, nó sẽ xóa phần mềm trên mọi thiết bị trên mạng. Bạn có thể hạ giá thành các công ty có chi phí đã giảm, các công ty hoàn toàn giảm giá, một số trong số họ trong nhiều tuần. Và ước tính thiệt hại được bảo hiểm trong vụ tấn công NotPetya là 10 tỷ USD. Đó chỉ là những thiệt hại được bảo hiểm.
FC: Các cuộc tấn công ransomware có vẻ như là một trường hợp nghiên cứu thú vị về cách đối phó, bởi vì một số người đang trả tiền chuộc và một số thì không, và với chi phí lớn.
RC: Tôi nghĩ điều thú vị đối với tôi về ransomware là nó hái trái cây treo thấp. Bạn biết có một trò đùa cũ mà bạn không cần phải vượt qua con gấu, bạn chỉ cần, nếu có ba hoặc bốn bạn chạy, bạn chỉ cần chạy nhanh hơn anh chàng kia. Vâng, đó là loại trường hợp với ransomware. Ransomware đang chọn ra những người chạy chậm. Ransomware đang chọn ra những người đang dành 3 đến 4% ngân sách CNTT cho bảo mật.
FC: Một số người đã báo cáo rằng cuộc tấn công Baltimore thực sự là kết quả của một công cụ NSA bị đánh cắp. Một công ty ở Abu Dhabi có tên Dark Matter đã thuê một nhóm người cũ của NSA để xây dựng một dịch vụ tình báo tư nhân. Tôi tự hỏi làm thế nào bạn nghĩ về tiềm năng cho những vũ khí này bị lỏng lẻo, và kinh nghiệm và tài năng bị mất?
RC: Chà, một điều nó nói với tôi là an ninh tại NSA đã không khá hơn kể từ Snowden. Sau cuộc tấn công của Snowden, Obama đã yêu cầu tôi và một vài người khác tham gia NSA và tìm ra điều gì đã xảy ra. Và chúng tôi đã cung cấp cho họ một loạt các khuyến nghị về cách cải thiện an ninh của họ và Obama đã phê duyệt tất cả các khuyến nghị đó. Nhưng chúng tôi thấy rằng các nhà thầu đang đi ra khỏi tòa nhà, về nhà với các công cụ tấn công, trong cặp của họ. Điều đó không bao giờ được phép xảy ra. Có công nghệ dễ dàng để đảm bảo điều đó không xảy ra. Nếu bạn chế tạo vũ khí, bạn phải bảo vệ chúng. Nếu bạn định chế tạo vũ khí hạt nhân, bạn phải có tính bảo mật cao. Chà, nếu bạn sắp có cyberweapons, bạn phải có tính bảo mật cao. Và khi chúng tôi để những nhà thầu Booz Allen này bước ra khỏi tòa nhà với vũ khí, đó là tội phạm.
FC: Nhưng nó rất dễ làm. Có vẻ như so với những thứ như vũ khí hạt nhân, ở mức độ thực tế, có vẻ như rất khó kiểm soát những vũ khí này.
RC: Không, không thực sự. Không. Họ đang ở trên các máy chủ của chính phủ và bạn có thể dễ dàng đưa phần mềm lên các máy chủ ngăn chặn vũ khí được tải xuống. Không có lý do tại sao những kẻ này nên có thể tải xuống thứ này. Báo động nên đã tắt. Nó làm phiền tôi rất nhiều.
Kiểm soát vũ khí, chúng tôi nghĩ, sẽ mất nhiều thời gian, nhưng nó là cần thiết. Và nếu bạn không bắt đầu bây giờ, chúng tôi sẽ không bao giờ đến đó. Bạn có thể bắt đầu với các biện pháp giảm thiểu rủi ro đơn giản, với các biện pháp xây dựng lòng tin và một số chuẩn mực quốc tế. Bắt đầu ở đó, nhưng không có cuộc đối thoại ngay bây giờ.
FC: Bạn nghĩ gì về các công ty tư nhân tham gia không chỉ trong lĩnh vực không gian mạng mà còn trong lĩnh vực không gian mạng? Tôi nghĩ về các công ty như Dark Matter và NSO Group mà cả PSY Group và Cambridge Analytica. . .
RC: Chúng ta cần thực hiện một công việc tốt hơn để thực thi Đạo luật kiểm soát xuất khẩu vũ khí khi nói đến các cuộc tấn công mạng. Chúng tôi có thể cần một luật mới để làm rõ những hạn chế, nhưng hành vi phạm tội nên được để lại cho chính phủ. Nếu không, deconfliction trở thành một vấn đề.
FC: Một số email của bạn đã bị rò rỉ vài năm trước. Tôi tự hỏi liệu bạn có bị ảnh hưởng cá nhân không, ý tôi là ngoài chiến tranh, bởi các cuộc tấn công mạng và cách điều đó thay đổi cách bạn nhìn nhận điều này. . .
RC: Điều xảy ra với tôi là máy tính của tôi không bao giờ bị hack. Anh chàng đã gửi email cho tôi và nhận lại của tôi. Và điều chứng tỏ rằng tính bảo mật của thông tin liên lạc của bạn cho dù đó là văn bản hoặc email hoặc thư thoại chỉ an toàn như cả hai đầu của cuộc trò chuyện đó. Và tôi không bận tâm lắm về những gì phát sinh từ email của mình vì tôi nghĩ mình trông khá ổn. Nhưng bạn phải có ý thức mọi lúc mọi nơi rằng bất cứ điều gì bạn đặt trong email hoặc văn bản đều có thể được phơi bày công khai. Và nếu bạn là một nhân vật nhỏ bé nhất, bạn biết đấy, họ có thể sẽ bị lộ.
FC: Điều đó có thay đổi hành vi của bạn về mặt bảo mật không? Hoặc việc viết cuốn sách này đã thay đổi suy nghĩ của bạn về bất kỳ vấn đề nào trong số này?
RC: Tôi nghĩ khi tôi bắt đầu làm việc về an ninh mạng trong Nhà Trắng, điều đó đã thay đổi thái độ của tôi rất nhiều. Và tôi nhận ra từ những vụ bê bối trước đó liên quan đến Ollie North và những người như thế trong Nhà Trắng rằng các email của Nhà Trắng có cơ hội tốt được đưa ra. Và Ủy ban 9/11 đã thực hiện cuộc điều tra của mình, họ đã rút tất cả các email của tôi, và thậm chí còn có Nhà Trắng để giải mật một số trong số họ. Và họ đã được tiết lộ, bao gồm một số điều như tôi nói rằng giám đốc của CIA có vấn đề về lưỡng cực. Vì vậy, nó là một chút xấu hổ. Tôi đã học được rằng bạn phải cẩn thận với những gì bạn đặt trong email, bởi vì ngay cả trong những môi trường an toàn nhất, mọi thứ vẫn có thể thoát ra.
FC: Nếu bạn có thể quay lại thời điểm đó trong Nhà Trắng, bạn có thể tưởng tượng rằng chúng ta sẽ ở trong tình huống chúng ta đang ở trên mạng, với Iran, Trung Quốc, Nga và Trump không?
RC: Điều xảy ra là, sau vụ tấn công khủng bố ở Thành phố Oklahoma [năm 1995], nó xảy ra cùng thời điểm với một cuộc tấn công bằng vũ khí hóa học và sinh học của một nhóm khủng bố ở Tokyo.
FC: Sarin.
RC: Bill Clinton đã nói với chúng tôi, bạn biết đấy, điều gì sẽ xảy ra nếu ai đó kết hợp một cuộc tấn công lớn như Thành phố Oklahoma bằng hóa chất và vũ khí sinh học, và nếu chúng nổ tung, không chỉ là một tòa nhà liên bang ngẫu nhiên, mà giống như một nút chính cho thứ gì đó như điện thoại hay cái gì? Chúng ta có biết các nút chính ở đâu không? Và chúng tôi đã nói, không, về cơ bản chúng tôi chưa sẵn sàng cho việc này.
Và ông nói, được thôi, chúng ta hãy thành lập một ủy ban tổng thống và xem xét nó. Tôi nghĩ rằng hoa hồng sẽ xem xét cơ sở hạ tầng quan trọng, có nghĩa là những thứ như các nút quan trọng của mạng điện thoại hoặc các cây cầu quan trọng trên Mississippi hoặc một cái gì đó. Nhưng hoa hồng đó đã trở lại và nói, Này, một cái gì đó mới đang diễn ra bây giờ. Tất cả mọi thứ đang di chuyển đến internet. Kiểm soát tất cả các loại điều quan trọng đang di chuyển đến internet. Và internet không an toàn, và điều đó có nghĩa là mọi người có thể tấn công qua internet. Tâm trí của tôi đã bị thổi bay bởi điều đó. Đó là năm 1997.
Nhưng hoa hồng đó đã có trước. Và sau đó tôi bắt đầu học và bắt đầu vào năm 1997, về những gì có thể được thực hiện và dành trọn một ngày tại NSA để đọc mọi thứ mà họ có thể làm. Tôi đã trở lại Nhà Trắng và báo cáo về cơ bản, nếu NSA theo đuổi bạn, họ sẽ lấy bạn, không có cách nào họ có thể dừng lại. Và trong khi chúng ta có thể là người duy nhất có thể làm điều đó, tôi nói, những người khác sẽ có thể làm điều đó. Và chúng tôi chưa sẵn sàng. Đó là năm 1997.
Nhận xét
Đăng nhận xét