Para 2022, la demanda de personal de seguridad cibernética calificado superará la oferta en 1,8 millones de trabajadores. ¿Qué puede hacer la industria para reducir esta amenaza global? Según Richard Buckland, científico informático de la Universidad de Nueva Gales del Sur (UNSW) en Sydney, la respuesta es educación. Ha estado experimentando con maneras de entrenar a defensores en ciernes durante dos décadas. En 2016, él y Commonwealth Bank también lanzaron SecEDU, un programa para fortalecer el currículo de la universidad, difundir sus prácticas a otras universidades y escuelas secundarias, y hacer que todos sus cursos de seguridad estén disponibles gratuitamente en línea. Me reuní con Buckland en UNSW para hablar sobre la ingeniería de software y el futuro de los piratas informáticos. Esta entrevista ha sido editada por brevedad y claridad.
¿Qué te atrae a la ciberseguridad?
Para mí, la ciberseguridad es el último problema de ingeniería. Si estuvieras conduciendo aquí hoy, si pasaras por el Sydney Harbour Bridge, creo que a nadie le preocupa el puente. Y eso es en parte porque los ingenieros civiles han resuelto el problema de la fabricación de puentes. Pero la seguridad no es un problema resuelto. Si tuviera un producto de Windows, todas las semanas, un martes, le descargaría parches. Y los parches son una forma educada de decir correcciones de errores, y un error es una forma educada de decir error, y un error es una forma educada de decir cosas masivas. No sabemos cómo diseñar la seguridad.
¿Por qué es diferente la ingeniería de seguridad?
Si tuviera que elegir una razón, es la complejidad. También existe esta naturaleza asimétrica a la ciberseguridad. Para hacer algo seguro, tienes que defender todos los puntos, pero para atacar con éxito, solo tienes que encontrar un pequeño punto. Al igual que los antiguos castillos medievales: no importaba cuán gruesas fueran las paredes, porque la gente cavaba túneles, por lo que ponían fosos y los atacantes sobornaban a la persona que opera la puerta. Además, es muy divertido atacar. Es la naturaleza humana. A mis estudiantes les gusta eso. Si les doy una regla, les doy un desafío. Tienes que tener cuidado de no darles reglas.
¿Prefieres aplastar insectos o difundir información sobre seguridad?
Me gusta resolver errores particulares, pero mi pasión es la educación. Y en seguridad, el mayor problema al que nos enfrentamos es que no hay suficiente gente de seguridad, por un factor enorme. Mis alumnos se van de la universidad, uno de ellos tiene un Corvette como bonificación por firmar. La gente me llama todo el tiempo y me dice: “Déjame entrar en tu clase de seguridad. Tengo excelentes trabajos para tus diez mejores estudiantes “. Y yo digo:” Hombre, ni siquiera puedes tener a mis peores estudiantes. Ya todos tienen trabajo ”. Así que tenemos esta cosa llamada SECedu. Estamos tratando de capacitar a la mayor cantidad de personas posible, pero también buscamos formas de capacitación y luego publicitamos eso.
¿Qué has aprendido hasta ahora?
Para mí, la mayor sorpresa fue que para ser un buen ingeniero de seguridad necesitas ser creativo y un pícaro, un poco descarado. Las mejores personas de seguridad cuestionan cada regla. Y el problema realmente delicioso que plantea es que todo lo que hacemos en la universidad, más o menos, se trata de producir personas que cumplen con los requisitos industriales. Creo que aprendes el cumplimiento en el jardín de infantes. [Se expandió en esto de una manera más colorida y elaborada, pero lo corté por el espacio.] En el momento en que los obtengo, son seguidores de la regla. Realmente, si haces negocios como de costumbre en una universidad para enseñar seguridad cibernética, realmente no estás enseñando a las personas correctas las cosas correctas, y probablemente las personas adecuadas ni siquiera se unirán a la universidad, y si están en la universidad, Probablemente me aburriré y me iré a casa porque son los locos.
¿Es difícil sacar al pícaro o es natural una vez que sueltas a los estudiantes?
Creo que está cerca de la superficie en todos nosotros, y a menudo hay una sensación de júbilo y alegría cuando se dan cuenta de que es permisible. Recuerdo que alguien le entregó algo temprano una vez, y le dije: “Estoy realmente decepcionado de que estés entregando esto temprano. Me decepcionaste, hombre. La próxima vez quiero que sea un poco tarde “. Así que solo pequeñas cosas como esa para animarlos.
¿Cómo haces compatible el rascalismo con un ambiente universitario?
Está basado en valores. Nunca quiero que nadie haga algo porque les he dicho que lo hagan. Quiero que crean en ello. Si alguno de mis alumnos alguna vez hizo algo malo y se metió en los medios de comunicación, tendría que detener mi curso de inmediato. Puedo imaginar todos estos titulares de pesadilla: “Uni Trains Hackers”, “UNSW entrena a un estudiante que se metió en el banco el otro día”. Creo que necesitas saber cómo atacar para poder defender, así que ¿cómo puedo ¿Enseñar a las personas a atacar y no tener que ir terriblemente, terriblemente mal? Primero tuve todas estas reglas. Pero luego leí sobre esta investigación realmente interesante. Enviaron un montón de dinero a la gente. Un grupo, amenazaron las cosas si no lo devolvían. Otro grupo, dijeron: “Oh, por favor, envíenlo de vuelta”. Cuando se confió en la gente, se alzaron a la confianza. Así que pensé: “Oh, lo estoy haciendo mal”. Se me ocurrió esta política de buena fe, que es simplemente no hacer nada que traiga a la universidad o la profesión ningún tipo de desprestigio.
¿Por qué los atacantes hacen los mejores defensores?
El ejemplo que me hizo darme cuenta por primera vez fue que cuando solía enseñar seguridad informática en los primeros años, los llevaba a un vestíbulo de un edificio por la noche y decía que quiero que identifique todos los mecanismos de seguridad existentes. Notarían el vidrio grueso, la iluminación, los sensores y las cámaras. Al final de eso dije: “Wow, ustedes han hecho un muy buen trabajo. ¿Qué tan difícil crees que sería entrar? “Y ellos decían:” Muy duro “.” ¿En una escala del uno al cinco? “” ¡Cuatro! ¡Cuatro y medio! ¡Realmente bueno! ¡El mejor diseño de todos! “Y yo diría,” Impresionante. Ahora vamos a tener nuestra pausa de té por la noche. Nos reuniremos de nuevo juntos en diez minutos. Ah, y si alguien puede entrar, sin violar la ley, sin causar ningún daño, la primera persona que ingresa obtiene una barra de Marte “. Y alguien siempre puede entrar. Solo tardó unos cinco minutos. Al hacer que enumeraran todos los sistemas de defensa física, los estaba haciendo pensar como un defensor. Pero tan pronto como empiezas a pensar como un atacante, no te preocupas por las cosas fuertes. Empiezas a pensar: “¿Qué es lo débil?” Necesitas ser realmente escéptico sobre todo lo que estás haciendo.
Esta conversación tuvo lugar durante una beca de periodista en residencia en UNSW con los gastos de viaje cubiertos por la universidad.
