Tiga hari selepas dilantik untuk menjalankan kumpulan perisian AS SolarWinds, Sudhakar Ramakrishna menerima panggilan mana-mana ketua eksekutif akan takut.
Peguam am syarikat telah menelefon untuk memberi amaran kepadanya bahawa perisian hasad telah dikesan dalam kemas kini yang dihantar kepada beribu-ribu pelanggan di sektor swasta dan awam.
“Reaksi pertama saya benar-benar rasa ingin tahu,” ingat eksekutif teknologi veteran itu. “Saya mula membayangkan apa yang boleh berlaku.”
Ramakrishna tidak sepatutnya mengambil alih sehingga bulan berikutnya tetapi, memandangkan beratnya serangan itu, sebahagian daripada kempen pengintipan siber yang kemudiannya dipersalahkan oleh kerajaan AS ke atas Rusia, dia segera dilantik ke lembaga SolarWinds supaya dia boleh menerima kemas kini setiap hari. . Dalam beberapa hari, dia menyemak semula 10 keutamaannya untuk tugas baharunya untuk mengambil kira keadaan yang berubah secara radikal.
Beberapa CEO mengalami pembaptisan siber seperti itu, yang mendorong AS untuk menubuhkan pasukan petugas peringkat tinggi untuk menyelaraskan tindak balasnya. Malah lebih sedikit akan bertindak balas dengan tenang. Bagi pemimpin, serangan siber “nampaknya lebih bersifat peribadi [and] emosi” daripada krisis lain, menurut Michael Smets, profesor pengurusan di Oxford’s Saïd Business School.
Malah serangan berpura-pura boleh mendorong eksekutif ke jurang. House of Cybersecurity Luxembourg menjalankan latihan sengit selama sejam untuk pemimpin perniagaan, dipanggil Bilik#42, untuk menggalakkan daya tahan terhadap ancaman siber. Dua kali, eksekutif telah “hilang kawalan”, malah menjerit kepada rakan sekerja, kata Pascal Steichen, yang mengendalikan unit daya tahan siber.
Tanggapan sedemikian mungkin menggambarkan jurang yang terdedah dalam laporan baru-baru ini yang disediakan oleh Smets dan pihak lain untuk Istari, syarikat pengurusan risiko siber yang dimiliki oleh Temasek Singapura. Kesemua 37 Ketua Pegawai Eksekutif yang ditemu bual untuk kajian itu berkata wang itu berhenti dengan mereka mengenai keselamatan siber, tetapi hampir tiga perempat tidak selesa membuat keputusan mengenainya.
Apa yang nyata ialah ancaman semakin meningkat. Sejak penggodaman SolarWinds 2020 — digelar Sunburst — penggodam telah berjaya membawa rangkaian Colonial Pipeline di luar talian dengan permintaan perisian tebusan, menyebabkan kekurangan petrol di beberapa bahagian AS, melanggar sistem dalaman akhbar The Guardian, dan memaksa Royal Mail UK menangguhkan sementara perkhidmatan pos antarabangsa. Bulan ini, USS – pelan pencen sektor swasta terbesar UK – memberi amaran bahawa data peribadi kira-kira 470,000 ahli mungkin terdedah kepada serangan siber ke atas kumpulan penyumberan luar Capita.
Seperti yang dinyatakan oleh pakar, penggodaman adalah ancaman yang tidak simetri. “Penyerang hanya perlu membetulkannya sekali,” kata Kelly Richdale, pengarah lembaga dan penasihat keselamatan siber. Steichen berkata simulator Luxembourg — yang akan mencari kelemahan dalam sistem perniagaan — dimodelkan pada bilik melarikan diri yang popular, kecuali “anda tidak boleh melarikan diri, anda hanya boleh gagal”.
Pemimpin kanan semakin menyedari bahawa jika tiada sistem yang dilindungi sepenuhnya daripada percubaan pelanggaran, maka ia tidak mencukupi untuk memberi tumpuan hanya pada tindak balas teknologi. Pakar berkata CEO tidak seharusnya mengalihkan tanggungjawab kepada ketua pegawai keselamatan maklumat mereka, malah kepada jawatankuasa audit mereka. Sebaliknya mereka harus menganggap serangan siber sebagai isu strategik, untuk dikendalikan di peringkat tertinggi. Jika ditangani dengan betul sebagai masalah pengurusan risiko, ancaman itu juga boleh menjadi peluang untuk mengenal pasti operasi yang penting secara strategik, malah untuk menambah baik perniagaan secara keseluruhan.
“Anda terus meningkat tetapi anda tidak pernah selamat sepenuhnya,” kata Ramakrishna SolarWinds. “Anda tidak bekerja dari kedudukan ketakutan, tetapi pembelajaran berterusan dan peningkatan berterusan.”
Pengawal selia telah membantu meletakkan keselamatan siber dengan tegas dalam agenda bilik lembaga. Suruhanjaya Sekuriti dan Bursa AS, Bank of England dan Bank Pusat Eropah adalah antara pengawal selia yang telah meningkatkan tumpuan mereka pada daya tahan siber pada tahun lalu. Sebagai contoh, cadangan SEC memerlukan syarikat awam untuk mendedahkan kepakaran keselamatan siber pengarah “jika ada”. “Bukan setiap [board] ahli perlu pakar dalam risiko kewangan, tetapi perlu membaca helaian hamparan atau P&L [profit and loss account],” Richdale menunjukkan. Begitu juga, “Lembaga perlu mahir dalam asas serangan siber dan konsep digital” – tahap pengetahuan yang dia katakan kurang di banyak syarikat.
Mencapai, atau mengupah, tahap kepakaran ini lebih mudah untuk syarikat yang lebih besar, tambah Mitchell Scherr dari syarikat keselamatan siber Assured Cyber Protection: “Dalam perniagaan sederhana, lembaga tidak tahu soalan apa yang perlu ditanya dan orang teknologi tidak tahu apa yang perlu diberikan kepada lembaga pengarah.”
Jurang ini amat berbahaya kerana selalunya syarikat bersaiz kecil dan sederhana yang secara tidak sengaja membuka pintu belakang sasaran yang lebih besar kepada penggodam, melalui apa yang dipanggil “serangan rantaian bekalan”. Sunburst ialah contoh klasik, jika ia sangat canggih, kerana perisian SolarWinds telah dipasang oleh ramai pelanggan (walaupun syarikat menganggarkan kurang daripada 100 syarikat swasta dan sembilan agensi persekutuan disasarkan). Satu lagi ialah serangan tahun lepas ke atas syarikat insurans kesihatan Australia Medibank. Di sana, penggodam mendapat akses kepada data pelanggan dengan nama pengguna dan kata laluan yang dicuri yang digunakan oleh penyedia perkhidmatan teknologi maklumat luar. Richdale berkata: “Perimeter siber [security] telah berkembang.”
Sudhakar Ramakrishna, yang memulakan perkhidmatannya sebagai ketua eksekutif SolarWinds di tengah-tengah serangan siber, berkata dia mengetahui bahawa anda “tidak boleh menyelesaikan semua masalah sendiri” © Demetrius Freeman-Pool/Getty Images
Ini meletakkan masalah tepat pada meja CEO, yang berperanan untuk mengekalkan pandangan strategik tentang risiko dan peluang yang meliputi keseluruhan rangkaian bekalan. Ketua Pegawai Eksekutif dan lembaga pengarah juga diletakkan pada kedudukan terbaik untuk menilai risiko reputasi. Pakar menasihatkan bahawa pemimpin berada dalam kedudukan yang lebih baik daripada CISO untuk mengenal pasti “permata mahkota” — aset atau operasi yang penting secara strategik yang memerlukan tahap perlindungan tertinggi. Untuk hotel, itu mungkin butiran pasport tetamu; untuk spa, ia boleh menjadi data kesihatan pelanggan; bagi pengilang, ia boleh menjadi harta intelek. Scherr mengimbas kembali sebuah syarikat China yang menggodam sistem syarikat permulaan di bawah perlindungan untuk memesan produknya. Penyerang menyalin teknik inovatif sasaran dan mula mengeluarkan dan menjual item yang sama pada suku daripada harga. Apabila syarikat telah menangani risiko utama, mereka boleh bergerak untuk melindungi sebarang risiko sisa dengan insurans siber.
Manuel Hepfer dari Istari berkata dorongan ke arah daya tahan siber yang lebih besar juga boleh menawarkan peluang untuk menyelaraskan proses. “CIO datang untuk membentangkan pada mesyuarat eksekutif dan bertanya kepada kami berapa banyak pelayan yang kami fikir syarikat itu ada,” kata seorang ketua eksekutif kepada Istari. “Anggaran terendah dalam bilik itu ialah empat, tertinggi 250. Realitinya lebih daripada 4,000. Itu adalah insentif untuk kita semua untuk lebih memahami. Kami menyedari bahawa kami membelanjakan berjuta-juta setiap tahun untuk teknologi jenis ini tetapi tidak benar-benar memahaminya.”
Istari mengenal pasti “paradoks kesediaan”. Syarikat-syarikat yang mengatakan mereka berada pada kedudukan terbaik untuk menahan serangan siber berkemungkinan kurang bersedia. Pemimpin yang syarikatnya telah digodam sudah berkata mereka telah dapat membina semula dengan lebih baik, yang Oxford’s Smets menyamakan dengan seni Jepun kintsugimembaiki tembikar yang pecah dengan emas.
Ramakrishna berkata dia telah membina semula budaya SolarWinds atas dasar ketelusan, kerjasama dan kerendahan hati. “Anda tidak akan dapat menyelesaikan semua masalah sendiri. Anda mungkin memerlukan komuniti untuk membantu, “katanya. Apabila diminta untuk menasihati lembaga lain, dia menggesa mereka untuk menerima pakai “berat sebelah kepada ketelusan” yang sama yang SolarWinds gunakan, dan berkongsi pengetahuan tentang serangan siber dengan rangkaian mereka yang lebih luas.
Sejauh mana untuk bekerjasama dengan pesaing dalam krisis ialah keputusan yang hanya boleh diambil oleh CEO dan lembaga pengarah. Kebanyakan tersilap di sisi kerahsiaan. Steichen Luxembourg berkata 70 peratus daripada syarikat yang telah menjalankan simulasi Bilik#42 tidak mencari bantuan luar dalam menangani krisis siber. “Motto umum kami ialah: ‘Jangan menderita dalam diam’,” katanya.
Mantra SolarWinds sendiri adalah “selamat dengan reka bentuk”. Ramakrishna menggambarkan ini sebagai “projek selamanya”. Bolehkah serangan gaya Sunburst berlaku lagi? Ramakrishna menunjuk kepada pelanggaran baru-baru ini syarikat yang “mengandungi keselamatan”, seperti Microsoft, yang program e-mel Exchangenya diserang oleh penggodam China yang sepatutnya pada 2021: “Ia boleh berlaku kepada SolarWinds, kepada mana-mana syarikat lain, tidak kira saiz, skop, asetnya ,” kata Ramakrishna. “Apa yang boleh kita lakukan ialah bekerjasama untuk mengurangkan kemungkinan.”
