Um abalo na segurança cibernética, revelado em uma carta aberta por um membro furioso da indústria de segurança, está sendo considerado pelo Gabinete, confirmou o ministro do GCSB, Andrew Little, ao Herald.
Seu plano para mover Cert NZ sob
o Centro Nacional de Segurança Cibernética (NCSC) do GCSB não foi previamente confirmado publicamente.
“O sistema atual é fragmentado, criando uma ‘experiência de carrossel para vítimas de negócios’ do crime cibernético”, disse Little.
Ele queria “uma única porta de entrada para relatórios, triagem e resposta de segurança cibernética”, conforme recomendado por um comitê consultivo de segurança cibernética de 2021 cujos membros incluíam a diretora digital da Z Energy, Mandy Simpson, o chefe de tecnologia do Kiwibank, Hamish Rumbold, e o então CEO da Consumer NZ, Jon Duffy.
A Cert NZ foi criada em 2016, sob o governo nacional liderado por Sir John Key para atuar como uma “unidade de triagem”, emitindo alertas públicos sobre ameaças de segurança cibernética e ajudando indivíduos e pequenas empresas que sofreram um ataque cibernético a encontrar a ajuda certa.
Ainda é dirigido pelo diretor fundador Rob Pope, o ex-policial mais conhecido pela maioria dos Kiwis por seu papel como o detetive inspetor que liderou a investigação sobre os assassinatos de Ben Smart e Olivia Hope.
Um porta-voz da Cert NZ disse que a agência hoje tem 35 funcionários. As perguntas foram encaminhadas ao escritório de Little.
Em uma carta aberta postada no LinkedIn, a consultora de segurança cibernética e ex-membro do conselho da Cert NZ, Kendra Ross, disse: “Embora o objetivo de fortalecer as capacidades de segurança cibernética da Nova Zelândia seja louvável, acreditamos que esta decisão, combinada com a falta de consulta ampla e a implementação apressada , apresenta riscos significativos e pode ter consequências negativas de longo alcance.
Anúncio
“Colocar uma organização não voltada para o exterior sob a égide de uma agência de inteligência pode criar conflitos de interesse e comprometer a independência e a transparência necessárias para operações eficazes de segurança cibernética.”
Ross disse ao Herald que era afiliada a um “grupo de segurança fechado” e soube do plano no início da semana passada.
Os membros do grupo levaram suas preocupações ao Escritório Nacional de Política Cibernética, que se reporta ao Ministro das Comunicações, Ginny Andersen e Little. Os membros tiveram até sexta-feira para dar feedback e foram instruídos a não discutir o plano publicamente.
Ross disse que ela se demitiu do grupo para poder falar. Ela disse ao Herald que co-fundou dois fóruns de segurança cibernética representando cerca de 1.600 profissionais de segurança entre eles.
Ela criticou a “aparente pressa em implementar esta decisão sem uma estratégia governamental claramente definida para o setor de cibersegurança”.
Na sua carta aberta, ela criticou o Governo pela falta de consulta sobre uma “reorganização substancial” desta natureza, no contexto do que considerou meia década de falta de rumo na cibersegurança.
“Cinco anos sem uma estratégia de governo em uma área tão crítica é preocupante”, disse ela.
A falta de consulta pode criar resistência e significar que as principais tendências em um cenário de ameaças em rápida evolução foram perdidas.
Anúncio
“Cert NZ faz um excelente trabalho, mas desde que foi estabelecido em 2016, as ameaças de segurança cibernética que a Nova Zelândia enfrenta se tornaram mais sofisticadas e caras para proteger e remediar”, disse Little ao Herald na noite passada.
“Grande parte do trabalho do NCSC é voltado para o público e é entregue a clientes nos setores público e privado da mesma maneira que o da Cert NZ.
“No entanto, as responsabilidades do NCSC de apoiar a resiliência de segurança cibernética das organizações nacionalmente significativas da Nova Zelândia e responder a danos em nível nacional significa que eles têm acesso a informações sobre ameaças cibernéticas que só são acessíveis a agências de inteligência, como informações sobre as ameaças avançadas baseadas no estado que são cada vez mais uma preocupação para organizações nacionalmente significativas.”
A união das duas agências melhoraria a coordenação e ajudaria a aumentar o baixo número de relatórios de incidentes de segurança cibernética.
Ross respondeu que Cert NZ estar sob a unidade NCSC do GCSB deixaria as vítimas envergonhadas ainda mais relutantes em admitir que seus sistemas foram violados por hackers ou que caíram em um golpe.
O Herald entende que um catalisador fundamental para a formação do comitê consultivo de segurança cibernética, cujas recomendações levaram ao plano de transferir o Cert NZ para o GCSB, foi uma resposta descoordenada ao ataque DDoS (negação de serviço distribuída) no NZX em 2020, que levou a troca offline por dias.
Little ordenou que o NCSC do GCSB ajudasse a troca, o Herald entende – um movimento aparentemente que o ministro pensou que não deveria ter sido necessário, dada a natureza simples e de força bruta de um ataque DDoS, onde um enxame de bots tenta acessar um site, efetivamente lotando usuários regulares.
Um relatório da Financial Markets Authority de 2021 sobre o incidente foi extremamente crítico.
O Comitê Consultivo de Segurança Cibernética (CSAC) foi formado em dezembro de 2021.
“No ano seguinte, o CSAC pesquisou e consultou empresas e organizações e descobriu que o sistema atual é fragmentado, criou uma ‘experiência de carrossel para vítimas de negócios’ e não apresentou uma experiência segura para Māori, especialmente quando o compartilhamento de informações vai desmarcado. O CSAC descobriu que há uma lacuna significativa entre o estado atual e um estado futuro de alto desempenho para prevenção e defesa de segurança cibernética”, disse Little.
“O CSAC recomendou a criação de uma única porta de entrada para relatórios, triagem e resposta de segurança cibernética, e que deveria ser colocada sob o NCSC, em parte porque o NCSC possui legislação capacitadora que cria obrigações detalhadas e proteções para o público, enquanto o Cert A Nova Zelândia não.”
Uma mania de Cinco Olhos
A reestruturação proposta por Little segue os movimentos dos outros países do Five Eyes para colocar seus equivalentes Cert sob o controle da agência de segurança.
“Esse modelo unificado é cada vez mais o padrão internacional e também ajudaria o governo a entender melhor o cenário geral de ameaças cibernéticas e usar essas informações para fornecer orientação aos neozelandeses.
Ross disse que o feedback anedótico da equipe nesses países (EUA, Reino Unido, Canadá e Austrália) foi de que a medida não funcionou e deveria ser revertida.
Pouco sustentou que houve consulta.
“Desde que o CSAC fez suas recomendações, houve mais consultas para buscar informações de organizações que representam outras vozes do setor de segurança da informação e dos neozelandeses comuns”, disse ele.
Questionado se todos os empregos da Cert NZ estariam seguros sob o plano NCSC, um membro da equipe de Little disse que o plano ainda estava sendo finalizado. “Mas este não é um exercício de corte de custos.”
membros CSAC
O Comitê Consultivo de Segurança Cibernética 2021/2022 foi presidido por Mike “Mod” O’Donnell, ex-COO da Trade Me, que agora faz parte de vários conselhos, incluindo NZTE e RNZ. Seus membros incluíam:
- Sheridan Broadbent, presidente da Kordia
- Vanessa Clark, desenvolvedora de pesquisa em engajamento Māori na Universidade de Waikato
- Jon Duffy, CEO da Consumer NZ
- Steve Honiss, diretor de estratégia e risco cibernético da ZX Security
- Victoria MacLennan, co-presidente da NZRise (agora chefe de profissionais de TI NZ)
- Hamish Rumbold, diretor digital e de tecnologia do Kiwibank
- Mandy Simpson, diretora digital da Z Energy
Chris Keall é um membro da equipe de negócios do Herald baseado em Auckland. Ele ingressou no Herald em 2018 e é editor de tecnologia e redator sênior de negócios.
Discussão sobre isso post