Ta en ledning från Turnbulls “framåtlutad” infosec hållning: pensionär ASD officer

Det har varit en kulturförändring. Stora organisationer inom den privata sektorn och statliga säkerhetsorgan berättar samma historia. Infosec handlar om att balansera risk med möjlighet och bekvämlighet nu. Vi kan ofta råd att vara lite mer “framåtlutad”, som Joe Franzi uttrycker det.

Precis som Malcolm Turnbull.

“Organisationer bör inte försöka skydda all information i samma utsträckning”, säger Franzi, biträdande sekreterare som leder upp Cyber ​​Security Branch australiska Signaler Directorate (ASD) den.

“Jag älskar det faktum att industrin under de senaste fem till tio åren har verkligen flyttat till denna riskbaserade beslutsmodell. Du kan inte skydda allt. Inte heller bör allt kräver samma industriella skyddsnivå”, säger han berättade den nationella konferensen av den australiska Information Security Association (AISA) i Melbourne på torsdag.

“Vi gör det hemma … De av oss som har fått personliga enheter, några av oss kör program för att säkra vår röst, säkra vår text. Andra inte. Du gör dom. Du har gjort en risk baserade beslut “, sade han.

Även i regeringen, finner vi en varierande grad av riskaptit. Vissa organ är riskaverta, och ibland är de risktagande i områden där de inte borde vara. Och sedan finns det andra som är lite mer framåtlutande. Och jag tror att du kan ta ett initiativ från vår nya premiärminister. Han är mycket framåtlutad i detta utrymme, eftersom du kan se med artiklar i media nyligen med sin push to personlig typ enheter som används inom regeringen.

Franzi hänvisar till rapporter som premiärminister Malcolm Turnbull använder en kommersiell e-posttjänster och meddelandeprogram såsom Wickr, liksom hans officiella statliga e-postkonto.

“Du måste balansera minska riskerna och minska effektivitet och bekvämlighet”, säger Franzi.

Det brukade vara den gamla ASD modellen. Vi brukade säga “nej” så många gånger att vi lamslås organisationer från att faktiskt göra för mycket. Det kommer inte att klippa det i dagens värld, och säkerligen morgondagens värld.

Ja, det har varit en kulturförändring, och ingenting visar det bättre än skillnaden mellan Franzi framträdanden vid Aisa konferenser 2013 och 2015.

För två år sedan var journalister förbjöds från konferensrummet medan Franzi talade – trots förbudet inte fungerade i praktiken, eftersom inte alla journalist var känd för dörrvakterna.

I år var Franzi talade i kölvattnet av hans tidigare chef, generalmajor Stephen Day, har öppet diskuterat hur Australiens cyber försvar var “ganska vanliga” före ASD Top 4 strategier för att mildra Riktade Cyber ​​intrång genomfördes.

Säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera? nu att åtgärda kritiska säkerhetshål

Franzi antydde att Top 4 kan bli Top något annat i en inte alltför avlägsen framtid. Nya ASD data tydligen avslöjar en förändring i riskprofilen.

Franzi gav också en exklusiv intervju till denna författare, och diskuterade arbete av den australiensiska Cyber ​​Security Centre (ACSC), där Cyber ​​Security Branch han leder bildar större bidrag från försvarssektorn. Det var hans första på posten medier intervju i de nästan fem åren har han varit i sin nuvarande roll.

Den ACSC samlar cybersäkerhetsfunktioner från den australiensiska säkerhets- och underrättelsetjänsten (ASIO), den australiska federala polisen (AFP), den australiensiska brott kommissionen (ACC), CERT Australien och försvars underrättelsetjänsten (DIO).

Det öppnades av förre premiärministern Tony Abbott mindre än ett år sedan, i november 2014 och Franzi sade att det har varit en spännande tid.

“Det har gått fort, och jag tror att de viktigaste resultaten har varit att få alla dessa organ i, fysiskt i centrum med alla sina system, deras personal, som arbetar på var de är belägna på golvplattan, och sedan få upp i ett operativt rytm “Franzi berättade webbplatsen.

Vi är nu vid en punkt där, på en daglig basis, dessa organisationer snabbt träffas på operativa frågor – kan snabbt räkna ut vem som har ledningen, vilken särskilt stöd måste tillhandahållas, vad som händer i incidenthantering, är vad som händer i intelligens delning – och jag tror att vi är i ett normalt drifts tempo nu.

Fysiskt är lite som en säkerhets driftcentral hjärtat av ACSC, med operatörsstationer arrangerade i ett rum med stora skärmar på en vägg. Franzi gillar att kalla dem “överinspektör fascination skärmar”. Men det är inte en SOC som sådan, att dess uppgift inte försvarar sina egna nätverk.

Men vi är verkligen SOC-liknande, eftersom vi har ett integrerat driftområde “, säger Franzi. Personal från medlemsbyråer all åtkomst” samma system “för att dela information och arbeta med frågor.

Franzi är “verkligen glad” att personal från organisationer med olika kulturer och “mycket olika DNA” har tagit till konceptet. “Jag tror att en av de behagliga tingen har de [de kulturella skillnaderna] har inte stått i vägen för samarbetet”, sade han.

Om jag tänker tillbaka på den gamla modellen av Cyber ​​Security Operations Centre (CSOC), som var mycket ASD-tung, satt inne australiska Signaler direktoratet, och hade bara ett litet antal integrees från dessa andra myndigheter, där vi är nu, där vi alla tillsammans i [a] mycket större kapacitet, det har varit fantastiskt.

Uppenbarligen har även informationsutbyte med den privata sektorn varit ett mindre problem än man kan föreställa sig. Som Franzi påminde hemsidan har ASD varit en informationssäkerhetsorganisation för drygt 60 år, och har samarbetat med andra myndigheter på en mängd olika uppdrag.

“Försvars har långvariga relationer med en rad branschaktörer, särskilt primär i det militära kapacitet utrymme” Franzi sagt – med vilket han menar primära försvarsindustrier som BAE Systems, Raytheon, Thales, Lockheed Martin och Northrop Grumman.

“Många av dessa organisationer har också cybersäkerhetsfunktioner, hot intelligens kapacitet, så för ett antal organisationer som ASD hade redan stående relationer med detta inte var en utmaning. Det var egentligen bara om hur vi faktiskt används relationen annorlunda” han sa.

De andra organ som utgör ACSC hade också befintliga relationer med många av de privata organisationer, ofta med samma människor, så en utmaning var strukturering som mer effektivt. Olika organ kan ha olika sätt att arbeta, olika operativa tempo, och även olika terminologi.

“Att se op tempot inte lämna någon bakom, det är den verkliga utmaningen här,” Franzi berättade webbplatsen.

Försvars kan vara mycket operativt fokuserad, “cos det är dess DNA, och kan typ av vad jag skulle kalla” gå upp modet med massor av rök “, och lämnar några andra organisationer bakom”, sade han. “Du har fått spela dina styrkor, och få till ett tempo som faktiskt fungerar för alla.

Omvänt har försvaret personal på ACSC lärt sig att förstå de brottsbekämpande myndigheternas behov av att samla bevis som kommer att stå upp i rättssalen.

“Som en australisk medborgare, jag är mycket tacksam att våra brottsbekämpande kollegor är mycket detaljerad i sin bevis process – som är en utmaning i cybersäkerhetsutrymme, särskilt med grov och organiserad cyber aktiverad brott”, säger Franzi.

Några av ACSC första stora vinster har varit i brottsområden, enligt Franzi, särskilt på Distributed Denial of Service (DDoS) attacker mot Bitcoin, och på Ransomware attacker mot mindre företag.

Om ACSC första år har handlat om att arbeta tillsammans, då det andra året kommer att handla om samarbete med den privata sektorn. Som webbplats rapporterade i juni, har sju operatörer redan blivit inbjuden till centrum. Fler organisationer kommer att följa.

“Den stora muskel drag som vi måste göra under de närmaste 12 månaderna kommer att vara att arbetet som vi har att göra med industrin, och att få industrin folk i centrum” Franzi berättade konferensen. De tre prioriterade områdena är telekommunikation, viktig infrastruktur och cybersäkerhetsleverantörer.

“Vi har redan startade arbetet med telekomsektorn, och det är goda framsteg”, sade han. Han räknar med att operatörer kommer att ha någon form av fysisk närvaro i ACSC under de kommande sex till tolv månader, och att ansluta med externa organisationer, både fysiskt och virtuellt, blir ACSC fokus för de närmaste ett till två år.

Samarbete med den privata sektorn kommer att innebära att dela hot intelligens för ökad situationsmedvetenhet och för samordningen av incidenter.

“Det är inte alla kommer att hänga på regeringen sourced information vara det hemliga ekorre saker, vara det med öppen källkod. Det är också kommer att behöva att input från de centrala aktörer inom branschen,” Franzi berättade konferensen.

Faktum är att många av er i detta rum arbete för organisationer som har mycket större kapacitet och sensor utbyggnad än något som regeringen någonsin skulle kunna uppnå.

Franzi konferens presentation handlade om de tre R av IT-säkerhet: risk, ansvar och anseende.

“Naturligtvis kunde jag ha haft en fjärde R. Jag ville verkligen sätta” motståndskraft “där, eftersom motståndskraft är något som vi har talat om som en gemenskap för ett antal år nu,” sade han.

Men en av mina direktörer av verksamheter, Jess Hunter, påminner ständigt mig att folk oftast bara kan minnas tre saker, som fungerar bra för mig, eftersom jag bara har tre hjärnceller.

Franzi noterade “synergieffekter” – ordet användes med viss ironi – mellan sina tre skivor och Telstras Fem känner till Cyber ​​Security, som beskrivs närmare i företagets Cyber ​​Security Report 2014 [PDF]. Men riskhantering var hans huvudbudskap.

Det finns ingen tvekan om att VD: ar och styrelser måste ha en klar uppfattning om vad organisationens kritiska tillgångar, särskilt information “, Franzi berättade konferensen.” Vilka är de största hoten mot och sårbarheter i organisationens miljö? “Inte bara inom organisationen sig, men inom kunder, partners och leveranskedjan också.

“För VD: ar och styrelser, kommer det alltid att vara balans mellan möjligheter, kostnad och risk för att hantera … Organisationer dagligen göra kompromisser. Men de behöver för att göra dessa förlitar sig på välgrundade och riskbaserade beslut, särskilt runt cybersäkerhet” franzi sa.

Cyber ​​risker måste vara en del av företagsövergripande riskhanteringsprogram och organisationer måste göra en bedömning av it-säkerhet mognad. Kommer de att vidta lämpliga, och prioriteras, och den proportionella behandlingen av risker?

Men vad organisationer behöver inte, sade Franzi är en ny ram för att tänka på risken. Det finns redan “stora ramar” och nationella och internationella standarder. Vad VD och styrelser behöver är frågor som presenteras för dem i meningsfulla språk.

“Tillbaka i gamla dagar, när jag hade svart hår och yrkesverksamma informationssäkerhet som används för att rulla ut ur den dåvarande försvars Signaler Directorate (DSD), skulle de gå och prata med organisationer i mycket techno gobbledegook – och det var OK när de pratar med sina tekniska syskon och motsvarigheter. det är allt bra “Franzi berättade konferensen.

“Men de slags förlorade inflytande, eller förmågan att påverka, när de plötsligt prata med ledande befattningshavare, sekreterare avdelningar, vd för statliga organisationer etc”, sade han.

Så vi gjorde ett medvetet beslut kring 2010, 2011, för att verkligen förändra det sätt som vi faktiskt talat om detta i regeringen, och i synnerhet på en hög nivå. Och du redan ser detta även inom den privata sektorn.

Information säkerhetspersonal måste vara mästare, övertala den översta nivån i organisationen för att positionera sin funktion som ett kompetenscentrum inom organisationen.

“Det kan inte bara ses som ett kostnadsställe -. Eller i många organisationer, inte bara ett kostnadsställe, men en irriterande Det måste vara en kraft multiplikator, en del att förbättra verksamheten, inte begränsa den,” sade Franzi.

“Organisationer behöver – och de har ett ansvar för att – planera, förbereda och öva för en stor cyber händelse” Franzi berättade konferensen. IT-säkerhet måste betraktas som en del av den övergripande företags kontinuitet i verksamheten och katastrofåter planen, sade han.

Bygga den och testa den. Och testa den gång på gång. Det är spelet.

Stilgherrian reste till Melbourne som en gäst i Tanium.

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål