Как управляющий партнер, инвестирующий в кибербезопасность в Thoma Bravo, “дипломатия” в моем мире обычно ограничивается моим взаимодействием с владельцами бизнеса и исполнительными командами. Цель состоит в том, чтобы создать новые инвестиционные возможности и помочь нашим портфельным компаниям расти и обслуживать своих клиентов.
Но на глобальной конференции Института Милкена 2023 в мае я участвовал в панельной дискуссии по кибербезопасности под названием “Цифровая защита и дипломатия: усиление глобальной киберкоординации“. Когда меня попросили принять участие в дискуссии Милкена, я был обеспокоен тем, что могу немного выделиться. В группе специалистов, обладающих исключительным опытом в области кибербезопасности в правительстве и государственном секторе, меня попросили представлять “голос частного сектора”.
Какое отношение частная инвестиционная компания имеет к кибербезопасности?
Тома Браво инвестирует в компании, занимающиеся вопросами кибербезопасности, с 2009 года. У нас есть портфель киберкомпаний с корпоративной стоимостью, близкой к 40 миллиардам долларов, которые генерируют общий годовой доход в размере 5,8 миллиарда долларов и в которых занято более 20 000 человек (на конец 2022 года). Моя работа заключается в том, чтобы помогать создавать отличные компании в области кибербезопасности, в равной степени внедряя инновации и управляя бизнесом, чтобы приносить прибыль тем инвесторам, которые доверяют нам свой капитал.
Итак, что я мог бы добавить к разговору о “высокой политике” киберконфликта между странами и динамике правительственной политики, вовлеченной в эти критические дискуссии об обороне, сдерживании и тому подобном?
На первый взгляд кажется, что это очень разные — а некоторые могут даже утверждать, что несовместимые — культурные контексты, в которых следует говорить о кибербезопасности. Однако на практике государственный и частный секторы имеют довольно много общего, когда речь заходит о цифровой среде.
Перед государственным и частным секторами стоят схожие задачи и цели
Задача цифровой безопасности в принципе эквивалентна как для государственного, так и для частного сектора. Обе среды преследуют простую цель защиты базовой структуры современной цифровой экономики и общества. По мере продвижения цифровой трансформации это все больше означает защиту экономики и общества в целом, независимо от сектора. Все эти размытые границы обусловили растущее внимание к государственно-частному партнерству (ГЧП), попытке соединить лучшее из этих двух культур и в результате укрепить кибербезопасность в целом.
В этом есть смысл; кибербезопасность на практике является проблемой общественного уровня, которая затрагивает как частный, так и государственный секторы. Но я нахожу, что многое из того, что говорится и пишется (и в меньшей степени предпринимается) в рамках ГЧП в области кибербезопасности, имеет тенденцию быть высокоуровневым, абстрактным и чрезмерно амбициозным. В сфере прямых инвестиций мало места для абстракций.
4 Способа развития государственно-частного партнерства в области кибербезопасности
Дискуссионный форум Милкена помог мне увидеть, как государственный сектор мог бы лучше использовать такого рода прагматизм частного сектора для достижения прогресса в реализации общей повестки дня. Я сформулировал эти мысли в виде четырех точек соприкосновения, представляющих общий интерес, формулировок и перспектив — областей взаимодействия, которые могут способствовать продвижению и ускорению повестки дня в области ГЧП.
- Адаптируйте расчеты: Важно признать, что злоумышленники, от которых мы пытаемся защититься, принимают решения о том, что делать, а чего нет, рациональным, чувствительным к затратам способом. Эта логика лежит не только в основе национальной обороны, но и в основе решений CISO о том, на какие продукты безопасности тратить драгоценные ресурсы. Но как государственным, так и частным защитникам необходимо лучше понимать детальные мотивы и расчеты злоумышленников, чтобы принимать правильные решения о приоритетах и инвестициях в области кибербезопасности. У хактивистов, например, иной рациональный расчет, чем у государственных субъектов или преступников, преследующих чистую цель извлечения прибыли. Важным направлением ГЧП должно быть распространение того, что каждый из нас узнал об этих расчетах с течением времени.
- Рассмотрим основы: Самые слабые звенья в цепочке создания стоимости безопасности часто не являются наиболее научно изощренными или интересными векторами атак, а также теми, которые, как правило, привлекают наибольшее внимание исследователей. Дополнительные усилия по обеспечению кибербезопасности сегодня по-прежнему являются базовыми мерами защиты, которые сводятся к устранению легких дыр в нашей обороне — вещей, которые мы уже знаем, как исправить. Как правительствам, так и частным компаниям необходимо уделять гораздо больше внимания фундаментальной кибергигиене — таким вещам, как двухфакторная авторизация (2FA) и управление идентификацией. Возможно, это не тот материал для захватывающего повествования или научной интриги, но именно в нем защитники часто получают максимальную отдачу от вложенных средств. Выполнение базовых требований может иметь большое значение.
- Инновации ради прибыли: Ускорение цифровых технологий — и, конечно, совсем недавно в области генерирующего искусственного интеллекта — означает, что исследования и разработки в области кибербезопасности абсолютно необходимы для будущего обороны. Но расходы на НИОКР сами по себе не всегда приносят надлежащую отдачу. Нам нужно, чтобы НИОКР были продуктивными, под чем я подразумеваю, что великие инновации должны направляться и фокусироваться деловой дисциплиной. Имея это в виду, стремление к прибыльности является отличительной чертой продуктивных исследований и разработок, а не ошибкой или досадным ограничением.
- Учимся грести: Наконец, я считаю, что обмен информацией между государственным и частным секторами должен быть систематическим и конкретным, чтобы приносить наибольшую пользу обоим. Один из моих коллег-участников дискуссии привел пример особенно ценного обмена информацией в преддверии вторжения в Украину. По его словам, мы все “двигались в одном направлении”, поскольку правительство делилось соответствующей информацией с теми частными компаниями, которые имели хорошие возможности для ее использования. Нам необходимо постоянно практиковать такого рода обмен информацией — наращивать как мускулы, так и координацию, необходимые для работы в тандеме, особенно когда ни один из секторов не находится в кризисе.
Я покинул группу Милкена с укрепившейся верой в решающую роль, которую ГЧП будут играть в будущем кибербезопасности. Для того чтобы эти ГЧП были успешными, потребуется меньше указаний пальцем (в обоих направлениях) и более предметное сотрудничество. Это означает определение конкретных областей для партнерства и оценку результатов с течением времени с целью принести пользу обществу в целом, включая государственные и частные организации.
Author: admin
Related Posts
Темная сторона защиты от фишинга: Насколько вы защищены?
Социальная инженерия в кибербезопасности: угрозы и защита
