Bis letzten September wussten viele Leute nicht, was Equifax ist oder warum es alle ihre Informationen enthielt.

Doch nachdem das Kreditüberwachungsunternehmen am 7. September 2017 seinen Verstoß bekannt gab, bei dem Hacker Sozialversicherungsdaten von 147,7 Millionen Amerikanern stahlen, wurde Equifax auf die schlimmste Art und Weise schnell zu einem bekannten Namen. Der Hack betraf mehr als die Hälfte der amerikanischen Bevölkerung , darunter Jamil Farshchi, der sechs Monate später Chief Information Security Officer von Equifax werden sollte.

Farshchi kann auf eine lange Erfolgsgeschichte beim Wiederaufbau der Cybersicherheit zurückblicken: Er wurde CISO von Home Depot, nachdem bei einem Hackerangriff mehr als 50 Millionen Kreditkartenkonten offengelegt wurden. Er möchte dasselbe für Equifax tun.

Seitdem hat er einen Dreijahresplan für Equifax ausgearbeitet, um Ihr Vertrauen zurückzugewinnen, und die Sicherheit zur Aufgabe jedes Einzelnen im Unternehmen gemacht.

CNET traf sich am Donnerstag mit Farshchi auf der Cybersicherheitskonferenz Black Hat in Las Vegas, um seine Pläne und den schwierigsten Teil bei dem Versuch, Equifax zu reparieren, zu besprechen. Hier ist ein bearbeitetes Transkript.

Ich weiß, dass Sie eines der Opfer waren, die von der Equifax-Sicherheitsverletzung betroffen waren. Wie war Ihre Reaktion darauf?

Wie jeder andere bist auch du enttäuscht. Für mich war es besorgniserregend, weil ich gerade erst meine Tochter bekommen hatte und ich mir damals nicht sicher war, wie es ausgehen würde.

Ich bin der Meinung, dass meine Daten bereits gestohlen wurden. Ich habe überhaupt kein Gefühl für Privatsphäre, aber meine Tochter liegt mir am Herzen. Deshalb machte ich mir darüber Sorgen. Zum Glück hat der Zeitpunkt nicht gepasst, sie war kein Opfer, also ist das großartig.

Wie bei jedem anderen wirkt es sich auch auf Sie aus und es ist etwas, von dem Sie offensichtlich das Gefühl haben, dass es nie passiert wäre.

Glauben Sie, dass die anderen 147 Millionen Amerikaner die gleiche „Meine Daten sind bereits gestohlen“-Reaktion hatten wie Sie?

Es fällt mir schwer, über die Bevölkerung zu spekulieren, aber ich bin mir sicher, dass sie unterschiedlich ist.

Wie haben Sie reagiert, als Equifax sich an Sie gewandt hat, um die Sicherheitsprobleme zu beheben?

Was mich antreibt und motiviert, ist die Herausforderung der Chance. Einer meiner früheren Chefs hat mir einmal einen tollen Rat gegeben. Er sagte: „Jamil, nimm niemals einen Job an. Wenn du ihn annimmst, bist du kein bisschen nervös wegen des Ziels. Dass du dich wirklich anstrengst und dich auf die nächste Ebene bringst.“

Als ich über die Equifax-Möglichkeit sprach, hatte ich das gleiche Gefühl. Das ist eine große Herausforderung. Ich habe das Gefühl, dass es einen Unterschied machen wird, wenn ich erfolgreich bin, und dass es viele Menschen beeinflussen wird.

Wie können Sie erwarten, dass jemand Equifax nach einem solchen Verstoß wieder vertraut?

Ich denke, wir geben in verschiedenen Bereichen unser Bestes.

Aus kultureller Sicht haben sie meine Rolle direkt dem CEO unterstellt. Das ist eine sehr bedeutsame Änderung, die nur sehr wenige Unternehmen in den Fortune 100, 1000 oder 2000 (nicht) haben.

Wir verfügen über integrierte Anreize für gemeinsamen Glauben und Sicherheit in der gesamten Organisation. Wir haben in der jährlichen Bonusstruktur ein bestimmtes Sicherungsziel verankert, das bei Nichterreichung den Bonus für alle Bonusberechtigten anrechnet.

Wir investieren dieses Jahr kräftig, über 200 Millionen US-Dollar, sodass wir über die nötigen Ressourcen verfügen, um unsere Ziele zu erreichen. Wir erhalten enorme Unterstützung vom gesamten Führungsteam. Wir haben einen neuen CTO, der von IBM kommt und eine herausragende Philosophie vertritt: „Technologie sollte, wenn sie richtig eingesetzt wird, die überwiegende Mehrheit der Sicherheitsrisiken beseitigen“, der meiner Meinung nach die meisten meiner Kollegen zustimmen.

Wir sorgen von Anfang an für Sicherheit, sodass Sie sich später keine Sorgen mehr darüber machen müssen. Wir haben einen CEO, der sich voll und ganz dafür einsetzt, dass wir alle uns anvertrauten Daten schützen.

Alle Teile sind vorhanden, und wenn Sie wirklich eine Weltklasse-Sicherheitsorganisation aufbauen – Ja, wir haben viel gelernt, ja, wir haben einen Fehler gemacht, aber wenn wir die Dinge umdrehen und eine der besten Organisationen aufbauen, die es gibt Aus Sicherheitsgründen denke ich, dass dies ein gewisses Maß an Vertrauensbildung rechtfertigt.

Sie wurden 2015 auch damit beauftragt, die Cybersicherheitsprobleme von Home Depot zu beheben. Führen Sie bei Equifax das gleiche Schema aus?

Im Großen und Ganzen ist es der gleiche Ansatz. Da es sich jedoch um eine völlig andere Art von Geschäft handelt, bei dem Home Depot ein B2C-Geschäft (Business to Consumer) ist, sind wir hier bei Equifax ein B2B-Unternehmen (Business to Business). Wir sind stärker reguliert als Home Depot.

Es gibt unterschiedliche Dynamiken innerhalb der Organisation, und ich bin grundsätzlich davon überzeugt, dass eine Sicherheitsorganisation von Weltklasse auf das Unternehmen selbst abgestimmt sein muss, wenn man sie aufbauen will.

Was die Risikobehandlungsstrategie angeht, ändern sich diese mit einem breiten Ansatz. Von solchen Talent-, Führungs-, Risikomanagement- und Kontrollrahmensystemen. Ich verwende das gleiche Playbook, das ich dort verwendet habe. Weil es uns hilft, Verbesserungen bei der Risikominderung zu beschleunigen und in viel kürzerer Zeit zu realisieren.

Es ist ein ganzes Jahr her, seit Equifax im vergangenen September den Verstoß bekannt gab. Die Reaktion auf die Offenlegung war sehr kritisch. Wären Sie zu dieser Zeit CISO gewesen, was hätten Sie anders gemacht?

Es fällt mir schwer, darüber zu spekulieren. Ich bin kein großer Fan des Quarterbackings am Montagmorgen.

Mark Zuckerberg sagte, dass die Reparatur von Facebook etwa drei Jahre dauern würde. Wie sieht der Zeitplan von Equifax aus?

Wir haben einen Drei-Akte-Plan erstellt. Im ersten Jahr geht es um den Aufbau, im zweiten Jahr um die Reife und im dritten Jahr glauben wir, dass wir in diesem Bereich führend werden. Wir gehen grundsätzlich davon aus, dass wir bis 2020 in dieser Position sein werden.

Ihr Plan, Equifax zu reparieren, wird drei Jahre dauern. Wie lange wird es dauern, das gebrochene Vertrauen in die Öffentlichkeit wiederherzustellen?

Es fällt mir schwer, darüber zu spekulieren. Mein Fokus liegt darauf, uns zu einer erstklassigen Sicherheitsorganisation zu machen, und wir werden dieses Versprechen einlösen.

Als Sie CISO bei Home Depot und Time Warner waren, mussten Sie alles von Grund auf neu aufbauen. War das bei Equifax auch so?

Das ist eines der großartigen Dinge, die mich angenehm überrascht haben, als ich zu Equifax kam. Da ist tatsächlich ein starkes Team. Wir verfügen über viele sinnvolle Technologien, die modernste technische Sicherheitsfunktionen usw. darstellen.

Was mich am meisten beeindruckt hat, ist die Tatsache, dass nur sehr wenige Unternehmen den Verstoß selbst entdecken. Als ich bei Home Depot war, haben wir das nicht getan, es war ein Dritter, der uns davon erzählt hat. Equifax hat es selbst entdeckt. Wir wussten, dass wir verletzt wurden. Und das ist ein Beweis für das Niveau unserer technischen Fähigkeiten, gepaart mit der Infrastruktur.

In bestimmten Schlüsselbereichen wurde eine gute Grundlage geschaffen, die es uns ermöglichte, unsere Sicherheit auszubauen.

Was war für Sie am schwierigsten, sich mit der Sicherheitskultur von Equifax auseinanderzusetzen?

Ich würde nicht sagen, dass es irgendetwas gibt, das nicht hängengeblieben ist. Die Sache mit dem Kulturwandel ist, dass er schwierig ist. Es dauert eine Weile, es ist nicht so, als würde man ein Tool implementieren. Technologie ist ziemlich einfach, es sind die Menschen und die Kultur, die schwierig sind.

Es gibt nichts, was nicht angenommen oder gut aufgenommen wurde, die Kernbotschaft, die ich habe, ist das gemeinsame Schicksal. Wenn ich mit jemandem spreche, der nicht im Sicherheitsbereich ist, und er sagt: „Du sprichst über Sicherheit, das ist deine Aufgabe“, wenn er nicht das Gefühl eines gemeinsamen Schicksals hat und sagt: „Okay, das gehört mir auch, mir gehört das auch.“ „Ich bin auch ein Teil davon“, dann werden wir letztendlich scheitern.

Mein Ziel ist es, sicherzustellen, dass wir das Gefühl des „geteilten Schicksals“ im gesamten Unternehmen fördern.

Was ist anders, wenn Sie die Sicherheit nach einem Verstoß und vor einem Verstoß durchführen?

Es gibt einen großen Unterschied. Die Rolle des Post-Break-CISO ist in Wirklichkeit ein Change-Leader. Sie müssen all diese Einzelteile zusammentragen, Sie müssen die kulturellen Aspekte verwalten, Sie müssen die Regulierungsbehörden verwalten und all die verschiedenen laufenden Prioritäten, einschließlich der Implementierung und Ausführung, die Sie normalerweise erledigen Das muss nicht sein.

Es sind ganz andere Fähigkeiten erforderlich als vor dem Einbruch. Vor dem Verstoß versuchen Sie, Sicherheit zu verkaufen. Sie versuchen, diese Risikodialoge zu führen, um zu kommunizieren: „Hey, wir brauchen wirklich mehr Budget.“

In einer Umgebung nach einem Verstoß weiß jeder bereits Bescheid. Sie wissen, wie wichtig Sicherheit ist, weil sie es gespürt und aus erster Hand miterlebt haben. Bei Ihnen geht es weniger um den verkaufstechnischen Aspekt, sondern um das Liefern und Ausführen.

Wäre es nicht sinnvoller, wenn jeder einfach so handeln würde, als befände er sich in einer Umgebung nach dem Verstoß, um proaktiver zu sein?

Ja.

Ich war erst vor ein paar Wochen in Australien und habe genau das gesagt, was Sie gerade gesagt haben. Es gibt ein neues Paradigma von CISOs, die viele dieser Post-Breach-Merkmale verkörpern. Sie haben enge Beziehungen zum Vorstand aufgebaut. Sie nutzen Talente in ihren gesamten Unternehmen.

Wenn Sie sich wie ein CISO nach einem Verstoß verhalten und die Dinge tun, die es Home Depot ermöglicht haben und die es Equifax ermöglichen, diese Situation zu überwinden, würde ich behaupten, dass Sie sich wahrscheinlich überhaupt nicht mit einem Verstoß auseinandersetzen müssen. Diese Fähigkeiten werden Sie von der Hundehütte fernhalten.