Get Cyber Resilient Ep 128 | AI und Cyber 101 mit David Higgins, ehemaliger CISO der Kiwibank
In dieser Folge spricht Gar mit David Higgins, dem ehemaligen CISO der Kiwibank.
In diesem Gespräch erläutert David, was KI und ChatGPT für den Cyberspace bedeuten, und bietet ein klares Verständnis dafür, was sie sind und was nicht. Er gibt auch Einblicke in die Bedeutung des Themas für Angreifer und Beschützer sowie in die Frage, was ein Hype ist, was real ist und wohin es uns führt. Zum Abschluss der Folge behandeln wir ein Thema, das David sehr wichtig ist: Menschen.
Die Get Cyber Resilient Show Episode #128 Transkript
Gar O'Hara: Willkommen zum Get Cyber Resilient-Podcast, ich bin Gar O'Hara. Heute haben wir David Higgins zu Gast, der bereits viele Führungspositionen im Bereich Cybersicherheit im Bank- und Finanzwesen innehatte und vielen in Neuseeland als CISO der Kiwibank bekannt ist. David geht mit gutem Beispiel voran und macht gerade eine Pause vom Cyberspace, hat sich aber freundlicherweise zu einem Gespräch darüber bereit erklärt, was KI und Chat GBT für den Cyberspace bedeuten. Was ist es also, was ist es nicht, was bedeutet es für die Angreifer und was bedeutet es für die Beschützer, was ist real und wohin führt es uns. Und wir sprechen über ein Thema, das David sehr am Herzen liegt und das er in seinem Vortrag auf der CyberSecOn letztes Jahr in Neuseeland so gut behandelt hat. Leute, zurück zum Gespräch. Willkommen zum Get Cyber Resilient-Podcast, ich bin Gar O'Hara. Heute ist David Higgins bei uns, ein führendes Unternehmen im Bereich der Cybersicherheit und viel gelobter Konferenzredner. Ich habe Sie drüben bei CyberSecOn gesehen und vielleicht kommen wir zu den Schottenröcken, vielleicht auch nicht, wer weiß? Aber es ist wirklich toll, dass Sie heute hier sind, David.
David Higgins: Vielen Dank, Gar, es ist wirklich schön, hier zu sein. Aber ich verspreche nichts, was den Kilt angeht. Das sage ich gleich zu Beginn. (lacht)
Gar O'Hara: [inaudible 00:01:17] nur Audio, also vielleicht hat uns das gerettet.
David Higgins: Nun, ich weiß es nicht. Ich meine, wenn die Leute ihre Fantasie benutzen, bin ich mir nicht sicher, ob ich mich geschmeichelt fühlen oder Angst haben soll.
Gar O'Hara: [lacht]
David Higgins: Aber ja, nein, ich danke Ihnen für die herzliche Einführung. Ich denke, ich werde mich einfach mal vorstellen - und zwar dem Publikum. Du weißt schon, ja, nein, ich... Im Moment bin ich nicht zu bremsen. Und ich denke, es ist wichtig, darauf hinzuweisen. Wissen Sie, ich bin ein großer Verfechter des persönlichen Wohlbefindens und der psychischen Gesundheit, insbesondere in der Informations- und Cybersicherheitsbranche. Das ist etwas, dem wir wahrscheinlich nicht genug Aufmerksamkeit schenken. Und ich freue mich, dass ich mich heute mit Ihnen darüber unterhalten kann.
Wenn ich über meine Karriere nachdenke, würde ich wahrscheinlich bis in die späten 90er Jahre zurückgehen. So begann ich meine Arbeit 1887 im Vereinigten Königreich, in England, wo ich für Finanzdienstleistungsunternehmen tätig war. Mein erster Job war es, Desktops auf die Schreibtische der Leute zu stellen. Es ging um den Übergang von einer papiergestützten Belegschaft zu einer digitalisierten Belegschaft. Das war sozusagen der Übergang zwischen der analogen und der digitalen Welt. Und nachdem ich das erkannt hatte, wurde die digitale Welt zu dem allumfassenden Ungetüm, das sie heute ist, und zu einem strategischen Wegbereiter für so viele Werte und alles, was wir in unserem Leben erwarten.
Wahrscheinlich bin ich um das Jahr 2007 herum in die Cybersicherheit eingestiegen, und zwar bei einem Pharmaunternehmen im Vereinigten Königreich. Und sie brauchten nicht nur einen Systemadministrator, sondern auch [inaudible 00:02:50] einen IT- und Informationssicherheitsbeauftragten für Großbritannien und Irland, und ich - ich würde nicht sagen, dass ich da reingestolpert bin, aber ich habe meine Hand gehoben, und sie sagten: "Klar, los geht's." und dann kam ich 2009 nach Neuseeland, ursprünglich für einen einjährigen Urlaub, aber eigentlich bin ich seitdem immer hier gewesen. Und als sich die Informationssicherheitsbranche in diesem Teil der Welt zu entwickeln und zu formen begann, habe ich mir diese Seite meiner Erfahrung zu eigen gemacht und versucht, sie auszubauen.
Angefangen habe ich als Spezialist für Sicherheitsabläufe und technische Fragen und bin dann in eine beratende Funktion und dann in die Führungsrolle im Bereich der Informationssicherheit gewechselt, die mich schließlich in die Rolle des Vizepräsidenten bei Jarden als Leiter der Abteilung für Sicherheit und digitale Risiken und schließlich zum Chief Information Security Officer und Leiter der Abteilung für digitale und technische Risiken bei Kiwibank geführt hat. Ich bin wahrscheinlich schon eine Weile im Geschäft, aber ich mache eine strategische Pause.
Gar O'Hara: Und das klingt nach einer dringend benötigten strategischen Pause. Eines der Dinge, die meiner Meinung nach im Moment ein heißes Thema sind, und ein interessanter Zeitpunkt, um eine Pause vom Cyberspace zu machen, wenn man bedenkt, was gerade los ist. Mit-... B-... Wir werden am Ende über beide Enden des Spektrums sprechen, ich werde auf jeden Fall auf die menschliche Seite der Dinge eingehen, das ist eindeutig ein leidenschaftliches Thema für Sie. Aber am anderen Ende des Spektrums steht die Technik und, Sie wissen schon, die Maschinen, die Automatisierung, die KI. Vielleicht ist es also gut, dort anzufangen und Ihre Meinung zu der großen Nachricht der letzten zwei oder drei Monate zu erfahren, nämlich Chat GBT. Und ich finde es toll, dass du uns deine Meinung dazu sagst, denn ich glaube, es gibt einen großen Hype darum und es wird viel gesagt. Also, was es ist und was es nicht ist, vielleicht durch die Linse des Cyberspace.
David Higgins: Ich denke, für mich, und das ist eine fantastische Frage, wie... für mich, wissen Sie, der... der... Sie haben absolut Recht, der Wert der Automatisierung und der Wert der Technologie ist... nicht zu unterschätzen. Chat GBT ist meiner Meinung nach, was es nicht ist, ist- ist- ist nicht die KI-Apokalypse, die kommt, um uns zu holen.
Gar O'Hara: Was ist?
David Higgins: Ja, ich weiß, nicht wahr?
Gar O'Hara: [lacht]
David Higgins: Und es ist... es ist... Ich habe das Gefühl, dass das jeder glaubt. Aber Chat GBT ist für mich eine Möglichkeit, Menschen eine flüssigere Konversation zu ermöglichen, ohne dass sie unbedingt eine Sprache beherrschen müssen. Es ist ein großes Lern-... großes Sprachlernmodell. Verstehen Sie? Man kann ihm also Fragen stellen, und es wird sich einen Datensatz ansehen und versuchen, auf eine dialogorientierte Art und Weise zu antworten, aber es kann auch in andere Bereiche der künstlichen Intelligenz und etwas allgemeinere Zwecke integriert werden, um Ihnen bessere Informationen zu liefern, z. B. zu potenziellen [unhörbar 00:05:48] Abfragen und Ähnlichem.
Und ich glaube, es war Check Point Research, die Anfang dieses Jahres, Ende letzten Jahres, etwas veröffentlicht haben, das darauf hinwies, dass es möglich war, Chat GBT als Mittel zur Erstellung von Phishing-E-Mail-Kampagnen zu nutzen. Und - und den Menschen den Zugang zu, ich sage mal, Sprache zu ermöglichen, die vielleicht außerhalb ihrer normalen Fähigkeiten liegt, wissen Sie? Denn offensichtlich gibt es eine Menge Leute, die Phishing-Kampagnen schreiben, und eines der wichtigsten Dinge, auf die wir als Verteidiger achten, ist Grammatik, Syntax, offensichtliche Rechtschreibfehler und dergleichen. Meiner Meinung nach geben Sie damit die Möglichkeit, diese Art von... diese Standardprobleme bei zukünftigen Kampagnen auszuschließen. Und ich denke, das macht es zu einer wirklich interessanten Umgebung, um sich dagegen zu schützen, sobald man diese gemeinsamen Nenner aus dem Bedrohungspool entfernt.
Gar O'Hara: Sehen Sie da eine Zukunft voraus, also all diese Attribute, auf die Sie bei der Verteidigung achten, und dazu gehört auch der Stil. Wir haben in BC darüber gesprochen, dass einer der Fehler darin besteht, dass die Person, die vorgibt, David Higgins zu sein, einen Ausdruck verwendet, den sie normalerweise nicht verwendet, oder sich auf eine Weise abmeldet, die sie normalerweise nicht verwendet. Aber mit Ch-... mit Chat GBT und AI, ich meine, vorausgesetzt und mit Chat GBT, richtig, können Sie es bitten, im Stil von X, Y, Z zu schreiben. Ich könnte also sagen: Ich möchte eine Phishing-E-Mail schreiben - eine sehr gezielte Spear-Phishing-E-Mail im Stil von David Higgins, in der ich um eine Kontoänderung für eine bestimmte Zahlung bitte. Glauben Sie, dass wir an diesem Punkt ankommen?
David Higgins: Ich nehme an, es hängt davon ab, wie viel man von sich selbst ins Internet stellt [inaudible 00:07:49], weil Chat GBT nur in der Lage sein wird... oder jede Art von Sprachmodell nur in der Lage sein wird, so viele Informationen über Sie zu referenzieren, wie verfügbar sind. Wissen Sie, es... Ich... es hängt natürlich auch viel von der Art der Daten ab, die gestohlen werden, weißt du? Wenn, können Sie feststellen, dass Dinge, die vorher nicht von großem Wert waren, für Angreifer wertvoller werden. Anstatt nur nach Dingen wie Kartendaten oder Benutzerinformationen zu suchen, werden die Leute vielleicht tatsächlich eine ganze Reihe von E-Mail-Kommunikationen als spezifisches Ziel heraussuchen, weil sie dann wissen, wie sie etwas im Stil einer bestimmten Person erstellen können. Denn wir alle kommunizieren digital in einem ähnlichen Stil, wie wir es mündlich tun würden.
Ich denke, dass es wirklich interessant ist, denn ich denke, dass Chat GBT im Moment sehr viel Aufmerksamkeit erhält. Aber eine andere Sache, die ich sehr interessant fand, war die Arbeit, die Microsoft in letzter Zeit geleistet hat. Kürzlich konnten sie feststellen, dass sie die Stimme einer beliebigen Person mit einer Audioaufnahme von etwa drei bis vier Sekunden wiedergeben können. Verstehen Sie? Und das ist, und, wissen Sie, und- und- und leider habe ich keine Quelle zur Hand, aber sie haben auf jeden Fall eine Menge Arbeit in diesem Bereich gemacht. In der Finanzdienstleistungsbranche verlässt man sich bei der Identitätsauthentifizierung unter anderem auf den biometrischen Stimmdruck. Und, wissen Sie, als Teil der Überprüfung, wer Sie als Individuum sind. Wenn man das für jemanden mit drei oder vier Sekunden Tonaufnahme überzeugend festhalten kann, dann gibt es ein großes Potenzial, das auch missbraucht werden kann.
Ich denke also, dass wir uns darauf zubewegen, dass die tatsächliche Fähigkeit, die Identität mit digitalen Mitteln zu überprüfen, weiter ausgehöhlt werden wird. Und natürlich haben wir als Kultur, als Menschen, die wir... wir haben uns in den letzten 20 bis 25 Jahren des digitalen Aufschwungs angewöhnt, diesen Plattformen zu vertrauen, verstehen Sie? Wenn es wie eine Ente klingt, wie eine Ente läuft und wie eine Ente spricht, ist es wahrscheinlich eine Ente. Es sei denn, es ist eine KI. (lacht)
Gar O'Hara: Eine A... KI-Enten, das ist eine dystopische Zukunft [unhörbar 00:10:14].
David Higgins: Nun, das hängt davon ab, ob Sie Enten mögen.
Gar O'Hara: Ja. Ist das eine 100-Fuß-Ente oder 100 1-Fuß-Enten? Welche-
David Higgins: Hmm.
Gar O'Hara: ... ja, welche KI-Ente haben Sie...
David Higgins: Ich weiß es nicht. Ich glaube nicht, dass ich es mit einem von beiden aufnehmen möchte.
Gar O'Hara: Ja, definitiv nicht. Ja, sieh mal, in Wirklichkeit, und vielleicht habe ich das auf dem Weg dorthin übersehen, aber ich kann mich nicht daran erinnern, dass irgendetwas mit einem solchen Knall gelandet ist, wie es der Chat GBT in Bezug auf seine... du weißt schon, wie wir es am Anfang gesagt haben, richtig? Es ist, weißt du, ein bisschen... es ist nicht die Apokalypse. Aber was denken Sie, was sind die realen und gegenwärtigen Gefahren für Sicherheitsteams? Und Sie haben angedeutet, dass Phishing offensichtlich dazu gehört. Aber... ja, was ist da noch los?
David Higgins: Nun, ich denke, dass es ein großes Potenzial gibt, dass diese Fähigkeit missbraucht werden kann, um neuen Malware-Code zu schreiben. Und, wissen Sie, es ist-... und wenn wir uns einige der traditionellen, Sie wissen schon, Schutzschichten ansehen, die Organisationen eingerichtet haben, wissen Sie, wenn- wenn- wenn es für jemanden die Möglichkeit gibt, mit minimalem zusätzlichem Aufwand eine Anzahl-... mit minimalem Zusatzaufwand eine Reihe von Abfragen zu stellen und seinen Code so zu iterieren, dass er auf eine andere Signatur trifft und als neu markiert wird, und dass er in andere Wege implementiert werden kann, um sich durch Perimeter und Randschichten und dergleichen zu bewegen, dann denke ich, dass dies definitiv eines der Dinge ist, von denen ich erwarten würde, dass sie sich auf der Seite der Angreifer entwickeln.
Für mich ist es die Idee, dass Menschen, die in der Vergangenheit Malware als Dienstleistung konsumieren mussten und nicht unbedingt das beste Gespür für Phishing-Kampagnen haben, ich bezeichne es als das Hintergrundrauschen des Internets. Diese Art von... diese Art von Stücken mit geringem Aufwand und hohem Volumen. Ich denke, dass wir ein Szenario sehen könnten, in dem wir versuchen, die Qualitätsschwelle zu erreichen, bevor der Mensch eingreift, und ich denke, das muss kommen. Und das bedeutet, dass wir mehr Zeit darauf verwenden müssen, unsere Verteidigungsschichten aus der Perspektive des Verteidigers zu verfeinern und zu iterieren.
Ich denke aber auch, dass wir den Aufwand für die Analysten erhöhen könnten, was man bei der Zusammenstellung eines Sicherheitsteams immer im Hinterkopf haben muss. Wenn Sie eine Verteidigungsanlage betreiben, gehören Ihre Analystenstunden zu den wertvollsten Stunden, die Sie haben, wenn es um Ihre Cyberverteidigungsfähigkeiten geht, und zwar über...
Gar O'Hara: Ja, verstanden. Eines der Dinge, über die die Anbieter solcher Technologien sprechen, sind wohl die Sicherheitsvorkehrungen, die sie treffen. Und, wissen Sie, wenn Sie fragen, schwer zu re-... Ich klaue das jetzt, ich weiß nicht mehr, wo ich es kürzlich in einem Podcast gehört habe, aber die Analogie war zu drei Druckern, wo, wenn man fragt oder versucht, eine Waffe auf einem 3D-Drucker zu drucken, die Sicherheitsvorkehrungen einen davon abhalten, Sie wissen schon, das zu tun. Aber wenn man sie bittet, den Lauf, den Abzug und das Magazin zu drucken, kann man die Einzelteile drucken und sie dann einfach zusammensetzen. Was denken Sie über die zukünftigen Schutzmaßnahmen und sind Sie realistisch? Werden diese Schutzmaßnahmen wirksam sein oder werden uns nur Dinge erzählt, damit wir uns besser fühlen?
David Higgins: [lacht]. Ich denke, wir haben bereits einige Beispiele für Reaktionen auf diese Art von Dingen gesehen. Wenn ich mich recht erinnere, wurde sofort befürchtet, dass Chat GBT zum Schummeln bei akademischen Prüfungen und Ähnlichem verwendet werden könnte.
Gar O'Hara: Ja.
David Higgins: Jemand hat also ein Modul geschrieben, mit dem Dokumente und Informationen, die eingereicht wurden, gescannt werden konnten, um zu sehen, wie viel davon für Chat-... wie, kam- kam durch Chat GBT. Das kam an, und fast sofort wurde eine weitere Sache entwickelt, um effektiv daran vorbeizuarbeiten. Es ist also eine Art fast sofortige Eskalation. Und ich sah auch, dass etwas geschrieben worden war, das, wie ich glaube, darauf abzielte, Chat GBT dazu zu bringen, seine, Sie wissen schon, seine Moralvorstellungen zu ignorieren, verstehen Sie? Die Dinge, die es möglich gemacht haben, "Nein, das sollte ich wahrscheinlich nicht tun."
Aber ich denke, Sie haben ein sehr gutes Argument. Wenn Sie die richtige Frage mit dem richtigen Kontext und dem richtigen Umfang stellen, stellt das für sich genommen kein großes Problem oder einen Bruch in der Perspektive einer Sache dar, die keinen Kontext erkennen kann. Verstehen Sie? Es ist immer noch eine Frage und eine Antwort. Also, weißt du, du sagst "Was macht dieses Bit?", dann sagt es, "Ich- Ich-... es macht das", du "Toll, cool." Und, wie du sagst, du baust einfach... du baust den Lauf, du baust den Griff, du baust den Abzug, du baust die Teile und dann sagst du: "Wenn ich diese Dinge so zusammenfügen wollte, dass [unhörbar 00:15:15]."
Gar O'Hara: [lacht]
David Higgins: Und diese Frage richtet sich auch nicht gegen seine, Sie wissen schon, gegen seine Teile dort. Ich denke also, dass unabhängig davon, wie gut die Menschen Sicherheitsvorkehrungen treffen, um den Missbrauch eines Systems, Sie wissen schon, eines Sprachmodells wie diesem, zu verhindern, ich denke, dass es immer das Szenario geben wird, dass ein System, das nicht in der Lage ist, den Kontext zu erkennen, auf die richtige Art und Weise eine Antwort nach bestem Wissen und Gewissen gibt.
Gar O'Hara: Ja. Ich frage mich, ob wir einen Science-Fiction-Autor von heute erleben werden, der das Äquivalent zu Isaac Asimov schreibt, der die Gesetze der Robotik oder etwas Ähnliches geschrieben hat. Weißt du, ich werde nicht töten, ja, ja. Vielleicht werden wir eine Version davon bekommen.
David Higgins: Ich meine, Sie wissen schon, wie... Ich glaube, dass das wahrscheinlich nur eine Frage der Zeit ist. Aber ich denke, dass wir eher in einem Szenario enden werden, in dem wir versuchen müssen, zu verstehen, wie schnell sich die Robotik entwickelt, und in einem breiteren Kontext zu arbeiten. Weißt du, es ist... es ist ein... Ich denke, es ist eine dieser Sachen, wo ich denke, dass die Katze jetzt aus dem Sack ist. Und es ist das erste Mal, dass wir ein Szenario sehen, in dem menschliche Täuschung tatsächlich zu einem nützlichen Mechanismus werden könnte, um zusätzliche Informationen von automatisierten Systemen zu erhalten. Das ist ein interessantes Konzept und eines, das ich irgendwie... Ich habe es in einem Artikel erwähnt, den ich geschrieben habe.
Aber gleichzeitig denke ich, dass es sich um eine Sache handelt, bei der Täuschung bisher etwas war, das von Menschen an anderen Menschen praktiziert wurde. Und jetzt kommen wir in eine Welt, in der wir einem automatisierten System die falsche Frage auf die richtige Art und Weise stellen können, und es wird uns wahrscheinlich eine Antwort auf etwas geben, das es vielleicht nicht geben sollte.
Gar O'Hara: Es ist fast wie ein umgekehrter Turing-Test oder so etwas in der Art, nicht wahr? Nun ja, nicht wirklich, aber der Geist ist irgendwie derselbe. Wie sehen Sie die Auswirkungen auf die Cybersicherheit von Seiten der Angreifer? Wir und wohl auch alle anderen sprechen im Moment über die potenziellen Auswirkungen. Aber KI und Dinge wie Chat GBT, es ist ein Spiel hier vermutlich auf der defensiven Seite und die Art der blauen Teams. Wie, ja, w-w-wie siehst du das denn?
David Higgins: Na ja, wissen Sie, eigentlich ist es lustig. Einer der Analysten, der vorher für mich gearbeitet hat, hatte eine... hatte eine.... Ich habe mich vor nicht allzu langer Zeit kurz mit ihr unterhalten. Es stellte sich heraus, dass sie Chat GBT zur Verfeinerung bestimmter Suchanfragen nutzte, die sie in großen Datensätzen auf der Verteidigungsseite verwendete. Verstehen Sie? Also... Sie wissen schon, einige der [inaudible 00:18:05] gängigen Sicherheitsmaßnahmen [inaudible 00:18:06] sind dort verfügbar. Sie stellte Fragen an Cha-Chat GBT und sagte "Ich benutze dies, ich möchte dies tun können, wie kann ich das tun?" Und das war die Bereitstellung einer... Sie wissen schon, eine raffinierte eine raffinierte Erfahrung für und... Elegante Abfragen.
Ich denke also, dass dies definitiv ein Kraftmultiplikator für Ihre Analystenstunden ist und die Anzahl der Stunden, die für die Untersuchung potenzieller Vorfälle erforderlich sind, tatsächlich reduziert. Wenn [inaudible 00:18:35] auf die richtige Art und Weise eingesetzt wird, denke ich, dass Chat GBT und andere KI- und Automatisierungs-Tools ein bedeutender Kraft-Multiplikator sein könnten. Eines der Produkte, die ich im Laufe meiner Karriere bei einigen Implementierungen verwendet habe, hatte einen ziemlich starken Fokus auf KI und maschinelles Lernen als defensiven Teil. Dabei wurde immer wieder auf die Anzahl der Analystenstunden verwiesen, die durch die Automatisierung eingespart werden konnten.
Und wenn ich mir überlege, dass auf monatlicher Basis, diese Sache war... es war, weil man davon ausgeht, dass riesige Datensätze, in der Größenordnung von Terabytes an rohen Netzwerkdaten pro Tag, über die Sensoren flossen. Und sie war in der Lage zu sagen: "Nun, sehen Sie, von dieser Menge an Informationen gibt es vielleicht 12 bis 15 Dinge, die Sie sich ansehen sollten." Alles andere kommt in einen großen Eimer an der Seite, der aber nicht wirklich die Schwelle erreicht. Und dadurch haben wir Ihnen, wissen Sie, etwa 35 Stunden Analysezeit pro [inaudible 00:19:40] erspart. Und wenn man in der Lage ist, in diesen Stücken zu sprechen, dann kommt man auf die Idee zurück, dass man letztendlich einen Menschen oder jemanden braucht, der sich die Arbeit ansieht und sie auf ihre Qualität hin überprüft. Aber man kann auch die Menge an Informationen, die man aufnehmen und verfeinern kann, massiv erhöhen und sozusagen den ersten Schritt machen, indem man gute maschinelle Lern- und KI-Fähigkeiten in die Organisation einbindet.
Gar O'Hara: Sie haben von Terabytes an Daten gesprochen, und Sie wissen, dass es einen Punkt gibt, an dem Menschen, ich meine, buchstäblich, das nicht mehr tun können. Aber, wissen Sie, um an den Punkt zu gelangen, an dem die Modelle gut genug sind, um Signale zu erkennen, sogar schwächere Signale, als ein Mensch es jemals könnte - in der schieren Menge des Rauschens, besonders in manchen Umgebungen. Und hier denke ich wahrscheinlich an die dritte Bildungsebene, also an Organisationen, die einen wirklich merkwürdigen Netzwerkverkehr haben. Wir wollen den Punkt erreichen, an dem die Modelle besser werden oder Dinge sehen können, die ein Mensch wahrscheinlich nie sehen würde.
David Higgins: Ja, ich meine, auf jeden Fall habe ich einige wirklich... Ich habe wirklich einige Stücke dieser Art gesehen, die wahrscheinlich ziemlich eng mit diesen zusammenhängen. Vor allem, wenn es sich um eine Art Langform handelt, bei der die Leute versuchen, bestimmte Dinge zu erreichen, mit geringem Volumen und über einen langen Zeitraum. Sie finden die Schwellenwerte heraus, die erreicht werden müssen, bevor eine Alarmglocke ertönt, und legen dann einen Prozentsatz fest, der darunter liegt, so dass es [unhörbar 00:21:11]-... einfach nur die Hintergrundgeräusche erreicht und irgendwie, Sie wissen schon, es würde nicht einmal auffallen. Ich habe auf jeden Fall ein paar Beispiele gesehen, bei denen die richtigen Instrumente dazu beigetragen haben, das im Laufe der Zeit zu erkennen. Normalerweise werden sie erst nach einem bestimmten Ereignis eingefügt. (lacht)
Gar O'Hara: Ja.
David Higgins: Also... wissen Sie, das ist einer dieser Punkte, bei denen man, bis etwas in diesem Bereich passiert, nicht nach den richtigen Werkzeugen und Fähigkeiten sucht, um sich dagegen zu verteidigen, weil man nicht wirklich den Anwendungsfall und die Organisation hat, um diese Dinge speziell zu betrachten. Aber... Ich denke, dass für mich die Automatisierung sehr, sehr wichtig ist. Ich denke, dass es den Aufwand für die Analystenteams verringern kann. Aber ich denke nie, dass... Ich glaube nicht, dass es jemals so weit kommen wird, dass wir uns bei der Überprüfung der Gültigkeit einer Art von Biegung hauptsächlich darauf verlassen.
Aber es steht für mich außer Frage, dass der Umfang der Verarbeitung und die Fähigkeit, längere Korrelationen herzustellen, mit einem automatisierten System besser ist als mit einem menschlichen System. Denn wir haben ein kurzes Gedächtnis. Sie und ich haben gerade kurz darüber gesprochen, dass wir Listen führen müssen und so weiter, oder? Ja, genau [unhörbar 00:22:41].
Gar O'Hara: [lacht]
David Higgins: Ich habe... Ich glaube, wir waren, ich bin mir nicht sicher, weißt du? Wir haben also eine sehr kurze Aufmerksamkeitsspanne und ein sehr kurzes Gedächtnis. Und, wissen Sie, das ist nichts, was Computer haben. Und natürlich, wenn es immer und immer wieder das Gleiche tut und Sie es in die richtige Richtung lenken, dann wird es "gehen. Das erscheint mir abnormal, wenn ich den anderen Kontext Ihres Netzwerks betrachte." Ich glaube also, dass es einen Wert hat. Aber wie ich schon sagte, ich glaube immer noch, dass es letztlich auf den Menschen ankommt. Es... Sicherheit ist meiner Meinung nach eine von Menschen geleitete Fähigkeit.
Gar O'Hara: Ja, das habe ich definitiv verstanden. Und wahrscheinlich haben Sie... Bevor wir zum Gespräch über Menschen oder einen Teil des Gesprächs übergehen, möchte ich noch auf eines der Dinge eingehen, über die ich in letzter Zeit im Zusammenhang mit KI nachgedacht habe, und zwar nicht nur im Bereich Cyber, sondern ich würde sagen, es gibt viele Rollen, viele Berufe, die man ergreifen kann. Und ein Teil dessen, was man in der ersten Zeit macht, je nach Rolle, kann ein Jahr, zwei Jahre, drei Jahre, manchmal fünf Jahre dauern. Es ist eine Art Eselsarbeit und eine sich wiederholende Arbeit, bei der man sich fragt, warum man das überhaupt tun muss. Aber man baut tatsächlich ein Muskelgedächtnis auf, und das scheint mühsam und langweilig zu sein, aber tatsächlich lernt man durch Osmose, es ist ein Teil der DNA geworden. Wenn ich hier rechtlich denke, schätze ich, dass es einige Versionen von Cyber wie [inaudible 00:23:57] und eine Art von Sales Engineering gibt, wo wir einfach, ich meine... wir machen viele Demos und wir reden viel und... und, weißt du, irgendwann werden wir gut darin. Haben Sie das Gefühl, dass wir, wenn wir das den Maschinen überlassen, einen Teil des grundlegenden Lernens für Menschen auslassen, bevor sie, Sie wissen schon, eine Art schwarzer Gürtel für Cyber-Analysten werden? Als ob wir etwas stehlen würden?
David Higgins: Ich... ich... das ist eine ziemlich gute Frage, Gar, ich mag diese Frage. Weil es mich sofort an einen früheren Abschnitt meiner Karriere erinnert. Ich war einige Jahre lang Systemadministrator bei der Honda Motor Company im Vereinigten Königreich. Was ich dort gesehen habe, war, dass sie offensichtlich eine Phase der starken Automatisierung durchlaufen haben und viele Roboter in ihren Produktionslinien für die eigentliche Montage der Autos, die sie dort herstellen, eingesetzt haben. Der Hauptnutzen für mich war natürlich die Effizienz, wissen Sie? Denn Sie haben völlig Recht, es gibt Dinge, die immer wieder auf genau dieselbe Art und Weise gemacht werden müssen, damit ein Fahrzeug von einem Ende der Produktionslinie zum anderen gelangt.
Was ich aber immer mitgenommen habe, war, dass das Fahrzeug in seinem zusammengebauten Zustand, ganz oder teilweise, an bestimmten Punkten des Produktionsprozesses von Menschen bedient wird, die mit ihm interagieren und bestimmte Aufgaben übernehmen. Und es gab Dinge, die überprüft, verifiziert und validiert werden mussten, und das musste von Menschen erledigt werden. Ich denke, dass es in der Zukunft definitiv ein Szenario geben wird, in dem jemand nicht unbedingt genau weiß, wo er einen Datensatz sucht, und nicht in der Lage sein wird, das Backend aufzurufen, z. B. "Okay, ich muss mir dieses Protokoll von diesem Datum für diesen Ort ansehen." Denn das gehört einfach nicht zu den Erfahrungen, die man als Analyst für Cybersicherheit machen kann, nehme ich an.
Aber gleichzeitig denke ich, dass es zwar wichtig ist, zu verstehen, woher die Daten stammen, und die Theorie dazu zu verstehen, aber ich glaube, dass wir mit der Ausweitung der Praxis und der Notwendigkeit, sie zu skalieren, akzeptieren müssen, dass das Neue, die neuen, sich wiederholenden und erfahrungsfördernden Arbeiten zu den Dingen gehören, die für uns heute schon ziemlich innovativ aussehen. Verstehen Sie? Es wird... es wird zur neuen Normalität. Und natürlich wird es immer einen alten Mann geben, der in der Ecke sitzt und sagt: "Zu meiner Zeit war es ein Cis-Protokoll, so weit man sehen konnte", und, wissen Sie, und das ist in Ordnung, und diese Person muss auch da sein, um an dem Tag, an dem es dramatisch schief geht und die Leute sagen: "Nun, all die automatisierten Dinge funktionieren nicht mehr", und der alte Mann kommt daher und macht das Äquivalent dazu, einen Schraubenschlüssel in die Hand zu nehmen. Ich glaube aber, dass wir uns in einer Phase der Technologieeinführung befinden, in der sich die Anforderungen an das Wissen und das Verständnis für die Arbeit eines Sicherheitsexperten ändern.
Gar O'Hara: Ja. Sie haben mich zum Nachdenken angeregt, und ich beginne, mit dieser Sichtweise übereinzustimmen. Ich denke, dass wir uns von einer Zeit, in der das Auswendiglernen in vielen Berufen belohnt wurde, zu der Fähigkeit entwickelt haben, sehr gut Informationen über das Internet oder was auch immer zu finden - eine Kernkompetenz, die in mancher Hinsicht wichtiger ist als das Auswendiglernen.
David Higgins: Ich habe schon viele Leute interviewt und gesagt: "Wenn Sie das nicht wissen, wie würden Sie es dann herausfinden?", und ich hoffe wirklich, dass sie sagen: "Ich weiß, wie man eine gute Google-Suche erstellt", das ist wie "Brillant. Sie haben, was ich brauche."
Gar O'Hara: Nun, als ehemaliger Programmierer habe ich sehr schnell gelernt, dass die besten Programmierer diejenigen sind, die wissen, wie man zu Stack Exchange geht und den [lacht], den guten Code zum Stehlen findet. Also ja. Ja, das ist... das ist...
David Higgins: Nichts wird mehr wirklich geschrieben, Gar, es ist alles geliehen. (lacht)
Gar O'Hara: Das ist es definitiv. Ich meine, ich bin mir der Zeit sehr bewusst und ich bin sehr daran interessiert, über die menschliche Seite der Dinge zu sprechen. Offensichtlich ist dies ein leidenschaftliches Thema für Sie, es ist Teil dessen, worüber Sie auf der CyberCon gesprochen haben. Und ich würde gerne von Ihnen wissen, ob Sie glauben, dass es für CSOs etwas gibt, das sich von anderen stressigen Jobs unterscheidet? Stressige Berufe gibt es schon sehr lange, aber ich habe das Gefühl, dass bei den CSO etwas anderes vor sich geht.
David Higgins: Das haben sie. Und... und so... es ist... es... es hat mich wirklich zum Nachdenken gebracht, als ich diese Frage sah. Und, wissen Sie, natürlich ist meine Erfahrung begrenzt, weil meine Erfahrung hauptsächlich in der [unhörbar 00:28:44] Informationssicherheitsbranche liegt. Aber wissen Sie, es gibt viele andere sehr stressige Berufe da draußen. Aber ich denke, einer der wichtigsten Punkte ist, dass es bei diesen Jobs eine klare Trennung zwischen der Zeit, in der man sie ausübt, und der Zeit, in der man sie nicht ausübt, gibt. Und das ist in diesen Gebieten durchgesetzt worden, wissen Sie? Das hat sich durchgesetzt, wenn ich an einige der ersten Einsatzkräfte denke, die einen unglaublich hohen Stresspegel haben, wie Feuerwehr und Rettungsdienste und dergleichen, die im Schichtdienst arbeiten. Wenn sie nicht in der Schicht sind, sind sie nicht in der Schicht. Sie gehen nicht hinein.
Eines der Dinge, die ich sagen würde, ist, dass man im Bereich der Informations- und Cybersicherheit nie wirklich abschalten kann. Verstehen Sie? Und wenn man nicht abschalten kann, hat man nie die Möglichkeit, wirklich innezuhalten, durchzuatmen und zu verstehen, wo man sich außerhalb dieses ständigen Kreislaufs von Bedrohung, Verletzlichkeit und neuen Dingen befindet. Und natürlich werden diese Dinge immer schneller und komplizierter, und wir verstehen sie immer besser. Es ist also immer etwas los. Sie haben ein Umfeld, in dem es viel Stress gibt, viele bewegliche Teile, und sehr wenig Zeit für viele Teams. Denn selbst wenn man nicht da ist, ist man nie wirklich weg.
Gar O'Hara: Ja, das ist etwas, worüber ich schon ein bisschen nachgedacht habe. Ich hatte einen Typen, der ein Freund geworden ist, und sie ist... er arbeitet für einen unserer Kunden. Aber eines Abends aßen wir zusammen zu Abend, und er erwähnte irgendwie den "Krieg des Gehirns". Wenn man sich ständig mit Negativem beschäftigt und nach dem sucht, was falsch ist und wie man angegriffen wird, wird das Gehirn sozusagen darauf programmiert, danach zu suchen, auch wenn man draußen ist und mit seiner Familie zusammen ist oder wenn man einkaufen geht oder Auto fährt. Es wird zu einem Standardverhalten, man ist sozusagen ständig im Kampf- oder Fluchtmodus.
David Higgins: Ja. Und ich denke, das ist etwas, was wir auf Branchenebene wahrscheinlich nicht sehr gut machen. Wissen Sie, wir erkennen nicht wirklich... wir erkennen das nicht wirklich, verstehen Sie? Und dann ist da natürlich noch eine Sache, über die ich nachgedacht habe, und ich glaube, dass es etwas ist, an dem wir wahrscheinlich... wir müssen... wir müssen mehr daran arbeiten, wissen Sie, über mehrere Branchen hinweg. Wenn ein größerer Zwischenfall oder ein Ereignis in einer Organisation eintritt, gehört es zu den Dingen, die sie sicherstellen, dass die Leute sich ausruhen und rehabilitieren, bevor sie wieder eingesetzt werden. Wohingegen man bei vielen Cybersecurity- und Reaktionsszenarien, sobald man fertig ist, einfach wieder zu BAU zurückkehrt. Verstehen Sie? Es gibt keine...
Gar O'Hara: Ja.
David Higgins: ... es gibt keine Pause, es gibt keine Ausfallzeiten, man wird nicht geparkt. Denn die Unternehmen sind nicht so skaliert, dass sie ihr Sicherheitsteam ausruhen können.
Gar O'Hara: Du erinnerst mich an die erste Staffel von Band of Brothers, die sich ein bisschen so anfühlte, weißt du? Ich weiß nicht, ob Sie die Sendung gesehen haben, aber wissen Sie, sie kommen von einer Schlacht, sie scheinen einen Tag lang wegzugehen, um eine Zigarette und ein Bier zu trinken, und am nächsten Tag sind sie wieder dabei. Und...
David Higgins: Das war's. Ja, ich meine, ich kann Ihnen gar nicht sagen, wie viele Sicherheitsanalysten ich kenne, die sich nur mit schwarzem Kaffee und Zigaretten ernähren, verstehen Sie? Es ist keine kleine Zahl.
Gar O'Hara: Ja, es ist beängstigend. Glauben Sie, dass dies von anderen Teilen der Organisation verstanden wird? Also diese Idee von Stress und Burnout. Ich glaube, darüber wird viel geredet - über das Leben im Allgemeinen. Und ich denke, dass heutzutage mehr über psychische Gesundheit gesprochen wird, es ist viel öffentlicher, wir sehen Sportstars, es ist auf eine nützliche Weise normalisiert worden. Aber wie arbeiten Sie innerhalb der Organisationen, für die Sie gearbeitet haben und mit denen Sie zusammenarbeiten, mit Kollegen in der Führungsebene oder anderen Teams zusammen, um ihnen zu helfen, die Einzigartigkeit des Stresses zu verstehen, den die Sicherheitsteams durchmachen?
David Higgins: Ja, nein, das, ich... das ist eine weitere wirklich gute Frage. Ich hatte das Glück, bei der Gestaltung sicherheitsbewusster Kulturen helfen zu können, und in den letzten drei Organisationen, in denen ich gearbeitet habe, vor allem durch meine Führungsrolle im Sicherheitsbereich, denke ich, dass das Verständnis auf einer sehr allgemeinen... sehr allgemeinen Ebene vorhanden ist, würde ich sagen. Und ich habe die Erfahrung gemacht, dass diese Organisationen, wenn ich sie betrete, so sind: "Okay, wir wissen, dass wir uns mit dem Cyberspace beschäftigen müssen, wir wissen, dass wir ein gewisses Maß an Kontrollen brauchen. Wir wollen ein besseres Verständnis der Struktur und der Dinge haben, die wir tun müssen, um diesen Aufschwung zu erreichen." Und das ist schon mal ein guter Anfang. Das ist eine gute Ausgangsbasis. Denn wenn sich die Organisation engagiert, ist sie zumindest offen für das Gespräch, das man führen muss, um über einige dieser Dinge zu sprechen.
Verstehen Sie? Das ist eines der häufigsten Dinge, die ich feststelle, wenn ich an Sitzungen des Prüfungsrisikoausschusses oder ähnlicher Gremien teilnehme. Wissen Sie, die... die Leute in den Foren sagen: "Wie können wir da nicht zur Zielscheibe werden?" Und ich sagte: "Nun, tut mir leid, Sie werden immer eine Zielscheibe sein. Sie müssen sich darüber im Klaren sein, dass es über einen ausreichend langen Zeitraum zu einem Zwischenfall kommen wird. Aber wenn man es gut und richtig strukturiert, wird es im Idealfall nur geringe Auswirkungen darauf haben, wie sehr man Opfer von Internetkriminalität wird." Verstehen Sie? Anstatt zu versuchen, es zu vermeiden, sollte man es verstehen, verstehen, wie es aussieht, wenn es passiert, und dann darüber nachdenken, wohin man in Bezug auf seine Fähigkeit, dem Unvermeidlichen zu widerstehen, gelangen möchte.
Gar O'Hara: Wenn ich Sie also richtig verstehe, bedeutet die Umstellung von "Wir werden uns schützen und dafür sorgen, dass es nie passiert" auf "Hey, lasst uns ein jährliches Gespräch führen, es wird passieren", dass die Anerkennung der Realität die Art von... die Beschaffenheit des Stresses reduziert oder dazu beiträgt?
David Higgins: Es hilft definitiv. Die andere Sache ist, weißt du, ich denke, die... Wissen Sie, das ist insofern hilfreich, als dass man, sobald man dieses Verständnis hat, in der Lage ist, wirklich sinnvolle Gespräche über den Aufbau von Fähigkeiten zu führen, z. B. darüber, wie die Resilienz für diese Organisation aussieht. Sie sind in der Lage, sinnvolle Gespräche mit Führungskräften und Managern darüber zu führen, warum wir Szenarien für die Reaktion auf Zwischenfälle üben. Und übrigens, wenn wir das in den letzten 12 Monaten nicht getan haben, werden wir es jetzt tun, und jeder muss daran beteiligt sein. Wissen Sie, da fällt mir eine meiner Lieblingsgeschichten ein, und ich habe sie wahrscheinlich auf der Sicherheitskonferenz erwähnt, aber es ging um Rick Rescorla, der Sicherheitschef der Morgan Stanley Bank in den World Trade Centers war.
Wissen Sie, das geht zurück auf die Zeit vor 9/11. Aber er erkannte, dass die World Trade Centers ziemlich verwundbar waren, und er... er... er hatte so etwas wie einen Beitrag verfasst, in dem er den Geschäftsführern und Führungskräften von Morgan Stanley mitteilte, dass er der Meinung war, dass sie an ihrem Standort dem Risiko eines potenziellen Terroranschlags ausgesetzt waren, der auf einen Angriff auf das World Trade Center abzielte. Natürlich konzentriert sich jeder auf den 11. September, aber davor gab es einen Mann, der tatsächlich eine Bombe in einem Auto im Keller deponierte, und zwar genau dort, wo Rick Rescorla gesagt hatte, dass er sie deponieren würde. Das verschaffte ihm viel Einfluss bei den Führungsteams.
Er bestand unter anderem darauf, dass jeder Mitarbeiter von nun an vierteljährlich über die Treppenhäuser evakuiert werden musste, was er auch durchsetzte. Morgan Stanley besaß etwa 20 Stockwerke des World Trade Centers, beginnend etwa im 42sten Stock. Wissen Sie, sie... es waren viele Stufen, die sie zu bewältigen hatten. Und es hat offensichtlich einige Jahre gedauert, bis es von dieser Instanz zum World Trace Center kam. Aber in jedem Quartal wurden alle Mitarbeiter von Morgan Stanley zu Fuß aus den Gebäuden des World Trade Centers evakuiert. Und das bedeutete, dass Rick Rescorla, als der 11. September 2001 passierte und die Evakuierung angeordnet wurde, weil die Hafenbehörde von New York allen befahl, an ihren Schreibtischen zu bleiben, und er "Nein" das - dass er in der Lage war, die Leute aus dem Gebäude zu bringen, weil er den richtigen Einfluss aufgebaut hatte und wusste, wo er die Möglichkeit hatte, zu kontrollieren, ob etwas passiert oder nicht.
Ich denke also, dass dieses Verständnis und die Fähigkeit, sinnvolle Gespräche zu führen, nicht nur sinnvolle Gespräche, sondern mit guten Ergebnissen, und die Fähigkeit zu verstehen, was man kontrollieren kann, was man beeinflussen kann, und dann die Dinge da draußen, die nur allgemeine Sorgen sind und Dinge, die man nicht... wissen Sie, sie sind da draußen, sie werden passieren, verstehen Sie? Die Vorstellung, dass es zu einem Sicherheitsvorfall kommen könnte, ist besorgniserregend. Über einen ausreichend langen Zeitraum hinweg wird dies geschehen. Welche Bereiche kann ich beeinflussen, um die Auswirkungen so gering wie möglich zu halten, und welche Dinge kann ich kontrollieren, um zu reagieren, wenn es doch passiert? Und das ist für mich eine Art, es in diesem Kontext und mit diesen Bezugsrahmen zu betrachten, beginnend mit der Kontrolle, dann dem Einfluss und schließlich den Bedenken.
Das ist eine Art von innerer Betrachtungsweise - im Gegensatz zu vielen Fachleuten, die die Dinge von der Seite der Besorgnis her betrachten. Und das ist so ähnlich wie Ihr "outside in"-Bezugsrahmen, der meiner Meinung nach weit weniger effektiv ist. Ich habe die Erfahrung gemacht, dass man seinen Einfluss vergrößern kann, wenn man sich auf die Dinge konzentriert, die man kontrollieren kann, und auf die Dinge, die man beeinflussen kann, um die Anliegen zu unterstützen, die sich ergeben werden. Gut für sie, gut für Sie, gut für alle. Die Möglichkeit, in diesem Bereich erfolgreich zu sein, ist für mich als Sicherheitsexperte definitiv eine der lohnendsten und auch eine der besten Möglichkeiten, das allgemeine Stressniveau zu senken.
Gar O'Hara: Den allgemeinen Stresspegel senken. Ich glaube, wir haben keine Zeit mehr, also werde ich einfach auf der persönlichen Ebene aufhören. Ich habe diese Frage schon einigen Leuten gestellt, aber ich würde gerne Ihre Meinung dazu hören, z. B. was sind Ihrer Meinung nach die ersten Warnzeichen? Wenn Sie zum Beispiel sehen, dass regelmäßiger Stress und... vielleicht gehen Kaffee und Zigaretten in etwas viel Ernsteres über, wie Burnout. Und wie kümmern sich die Menschen um sich selbst?
David Higgins: Das ist eine gute Frage. Das ist es wirklich. Und ich denke, dass jeder - jeder hat eine andere Vorstellung von Selbstfürsorge - eine andere ist. Wissen Sie, ich habe lange und intensiv darüber nachgedacht. Wie ich bereits zu Beginn unseres Gesprächs mit Gar erwähnt habe, mache ich derzeit eine Pause, weil ich erkannt habe, dass ich mich eine Zeit lang auf mich selbst konzentrieren muss. Wissen Sie, ich fühle mich sehr privilegiert, dass ich das tun kann, denn nicht jeder, der... der eine Pause braucht, ist in der Lage, das zu tun. Aber eines der Hauptwarnzeichen war für mich auf jeden Fall eine allgemeine Unzufriedenheit mit allem. Wenn die Dinge, die einem normalerweise Freude und Vergnügen bereiten, plötzlich aufhören, und zwar nicht plötzlich, sondern über einen gewissen Zeitraum hinweg, dann sieht man das vielleicht nicht.
Vielleicht sehen Sie es anfangs nicht, denn wenn Sie sich in solchen Situationen befinden, ist es ähnlich wie das Sprichwort vom kochenden Frosch. Man ist im Wasser, und das Wasser wird langsam erhitzt, und man merkt erst, dass etwas nicht stimmt, wenn es schon zu weit weg ist. Aber ich habe eine ganze Weile gebraucht, um zu erkennen, dass es eine Menge Dinge gab, die ich früher gerne gemacht habe und die ich einfach aufgegeben habe, weil ich mich mehr auf die Arbeit konzentriert habe. Und diese... Art von Ansicht, dass ich über die Sache hinwegkomme, wenn ich ihr nur ein bisschen mehr Zeit gebe. Und-... aber die-... man kommt nicht über die Sache hinweg, weil immer eine andere Sache dazukommt und sie auffrisst. Und weißt du, und es endet damit, dass es absolut verzehrend ist, weißt du?
Einige der klassischen Zeichen, ja, man kann nicht abschalten. Sie haben, wissen Sie, ich glaube, die Sicherheit hat ein kleines Problem mit dem Ego. Und ich meine das so, dass wir, weil wir uns ausschließlich auf die Verteidigung und den Schutz konzentrieren, denken, dass die Organisation nicht in der Lage sein wird, zu funktionieren, wenn wir nicht unsere Aufgaben... und nicht ständig aktiv schützen. Ich denke also, dass man in der Lage sein sollte, das zu erkennen und vielleicht das Ego abzubauen und zu sagen: "Ich muss Systeme schaffen, mit denen ich nicht hier sein kann, und das ist in Ordnung", ist wahrscheinlich einer der Wege, die ich sagen würde, dass man sich um sein Team innerhalb der Organisation kümmern sollte. Aber wenn es darum geht, auf sich selbst aufzupassen, ist der einzige wirkliche Rat, den ich habe, dass wir einfach... man muss üben, freundlich zu sein.
Etwas, das ich vielen Leuten gesagt habe, und dessen ich mich sehr, sehr schuldig gemacht habe, ist, dass ich sehr selbstkritisch sein kann. Und das ist etwas, was ich gesehen und gehört habe, was viele Leute selbst sagen. Ich habe einmal jemanden gefragt, von dem ich hörte, dass er sich selbst das Leben schwer machte, und ich sagte zu ihm: "Würden Sie jemals zulassen, dass jemand anderes so mit Ihnen spricht, wie Sie mit sich selbst sprechen?" Und sie sagten: "Nein", ich sagte: "Okay, aber warum - warum lässt du dich darauf ein?", "Nun, ich meine es nicht wirklich", ich bin wie "Hmm, du sagst es immer wieder zu dir selbst und du wirst es tun. Weißt du, du wirst anfangen, es zu glauben." Und... und es ist... Ich glaube, das ist etwas, das wir vergessen. Und das kann man sehr leicht aus den Augen verlieren. Vor allem, wenn Sie sich in einer stressigen Umgebung befinden. Der einzige Rat, den ich wirklich habe, ist, freundlich zu sein. Aber wenn man weiß, wie Freundlichkeit aussieht, ist das ein wichtiger Schritt, um Ihnen zu helfen.
Gar O'Hara: Fantastisch, David. Es war mir ein großes Vergnügen, und das meine ich wirklich so, heute mit Ihnen zu sprechen. Ich glaube, du bist einer von denen, mit denen ich mir vorstellen könnte, stundenlang in einer Kneipe zu sitzen und über Cyber und all die anderen Dinge zu reden. Und in meinem Kopf frage ich mich, ist eines der Dinge, die du früher genossen hast [inaudible 00:42:37], ist das wie das Tragen eines Kilts in der würzigen Brise, die vielleicht herumweht?
David Higgins: [lacht]. Die Wahrheit ist, dass Schottenröcke wie alle guten Schotten sehr teuer sind, was die Gesamtinvestition angeht, und man muss sicherstellen, dass man den maximalen Gegenwert dafür erhält. Also, weißt du, ja, Gar, Wellington ist eine bekannt windige Stadt in Neuseeland, aber selbst dort ziehe ich es immer wieder gerne für den richtigen Anlass an. Es war mir eine große Freude, heute mit Ihnen zu sprechen, Gar. Ich denke, Sie stellen einige gute Fragen, und die Möglichkeit, diese Teile der Rolle und der Arbeit, die wir tun, zu erforschen, wird meiner Meinung nach nicht oft genug in Betracht gezogen. Hören Sie, ich hoffe wirklich, dass wir die Gelegenheit bekommen, uns zusammenzusetzen, ein paar Bier zu trinken und über alles zu reden, was mit Cyber und anderen Dingen zu tun hat, und vielleicht trage ich sogar einen Kilt.
Gar O'Hara: Nun, ich freue mich darauf, wenn das angeboten wird, dann werde ich auf jeden Fall dabei sein. Vielen Dank, David.
David Higgins: Klingt gut. Danke Gar. Das weiß ich zu schätzen.
Gar O'Hara: Vielen Dank an David, dass er sich für den Podcast zur Verfügung gestellt hat. Eine solch ansteckende Energie. Vielen Dank, dass Sie sich den Get Cyber Resilient Podcast angehört haben. Stöbern Sie auch in unseren anderen Episoden, abonnieren Sie sie und hinterlassen Sie uns eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge zu sehen.