Equidade cibernética e capacitação por meio da segurança

00:00 Raghu Nandakumara

Bem, Nicole, é um prazer ter você aqui no The Segment. Bem-vindo!

00:06 Nicole Tisdale

Obrigada. Obrigado por me receber. Estou feliz de estar aqui.

00:09 Raghu Nandakumara

Seu histórico é incrível, certo? Conselho de Segurança Nacional, Congresso dos EUA, você fundou a Advocacy Blueprints. Acho que é sempre interessante ouvir sobre o passado e a jornada que nossos hóspedes percorreram para chegar onde estão e o que estão fazendo, e entender o que os motiva. Então, vamos começar por aí. Leve-nos nessa jornada.

00:35 Nicole Tisdale

Claro! Journey implicaria que eu chego aonde estou indo e que sabia para onde estava indo quando comecei, e essa não foi minha introdução ao mundo cibernético. Então, você poderá ouvir meu sotaque. Sou muito sulista. Eu cresci em uma cidade sem semáforos no Mississippi — eles são reais, existem. Entrei em políticas públicas, na verdade, porque comecei na graduação na Universidade do Mississippi e estava cursando ciências políticas, como uma aula de introdução à ciência política, e a ideia de que existem pessoas que defendem outras pessoas por meio de políticas públicas me pareceu muito divertida. Até aquele momento, eu queria ser o primeiro advogado da minha família e o primeiro advogado da minha cidade. E eu me lembro de pensar: “Bem, eu prefiro defender as pessoas nas políticas públicas, porque assim ninguém vai para a cadeia e ninguém vai perder dinheiro se eu errar”. Claramente, eu não tinha uma compreensão completa de como as políticas públicas funcionam! Mas depois, durante toda a graduação e, posteriormente, quando fui para a faculdade de direito, sempre fiz estágios no serviço público. Ao longo de sete anos, fiz oito estágios e realmente gosto de lidar com pessoas, ouvir sobre seus problemas, mas também tentar descobrir soluções de políticas públicas. E direi que, logo no início, me apaixonei pela ideia de que políticas públicas poderiam resolver os problemas das pessoas porque elas só ajudam a escalar. Certo? Por exemplo, se houvesse uma solução de política pública para um problema que você me trouxe, eu posso usar a mesma solução de política pública para alguém que mora no Mississippi e para alguém que mora em Nova York. Logo no início, acabei de ver e realmente me apaixonei pela escalabilidade das políticas públicas para ajudar as pessoas em suas vidas diárias. Comecei a trabalhar no Capitólio. Vários dos meus estágios foram no Capitólio. E acabei no Comitê de Segurança Interna da Câmara, que, para a maioria das pessoas, eles dizem: “Ah, você simplesmente entrou no meio da luta”. E eu sempre digo às pessoas que é um dos comitês mais bipartidários do Congresso dos EUA, mas você só ouve falar sobre isso quando eles estão brigando por algo, certo? Então, você ouve quando eles estão brigando sobre a política de imigração ou quando estão lutando sobre a política de contraterrorismo. Mas eles também têm jurisdição de todo o Departamento de Segurança Interna e, portanto, trabalham na área cibernética. Nós, quando eu estava no comitê, trabalhamos tanto na política cibernética. Mas para você, como você sabe, às vezes a imprensa não cobre a política de segurança cibernética e a forma como aborda algumas outras coisas. Então essa foi minha introdução à política cibernética. E, honestamente, eu tinha o portfólio cibernético ao mesmo tempo em que trabalhava na política de contraterrorismo e na política de contra-espionagem, que é apenas uma palavra longa para política de espionagem. E quando comecei a trabalhar no The Hill, em 2009, a política de cibersegurança não estava no topo da lista, certo? Tipo, eu estava realmente focado no ISIS, na Al Qaeda e no crescimento de nacionalistas brancos, mas também aconteceu o vazamento de Snowden. Eram apenas todas essas outras coisas. E de vez em quando, havia uma violação de dados e um vazamento de dados, então o Congresso se concentrava um pouco nisso, mas simplesmente não era uma prioridade. E eu diria que, na verdade, 2016 e a interferência eleitoral foram quando, para a maioria das pessoas, a cibersegurança apareceu à sua porta, no local de votação. E antes disso, eram apenas vazamentos de dados, que são muito importantes, mas é difícil para as pessoas verem o impacto imediato de um vazamento de dados, e sei que abordaremos isso um pouco. Muitas políticas cibernéticas não são tangíveis e não são imediatas, mas a interferência russa de 2016 nas eleições dos EUA foi algo muito próximo da pessoa comum. Então, muitas pessoas dizem: “O que é segurança eleitoral? O que é cibersegurança?”

04:27 Raghu Nandakumara

Quero dizer, isso já é interessante. E o último ponto que você encontra quando um Joe ou Jeanette comum pensa em cibersegurança é que você está absolutamente certo, como vazamentos de dados, ok, custam dez centavos a dúzia. Mas quando é algo que você pode associar a isso, ok, eu vou a uma cabine de votação e você se pergunta se o voto que você deu é o voto registrado, certo? De repente, isso o torna real. E acho que, da mesma forma, se pensarmos por que a segurança cibernética agora é uma prioridade e as pessoas estão cientes, acho que é porque o impacto de alguns desses ataques cibernéticos está se tornando muito mais tangível para a pessoa comum. É essa conexão sobre, na verdade, vejo que, oh, aquele ataque cibernético, digamos que o Colonial Pipeline, alguns anos atrás, impactou meus preços de gasolina, certo? “Oh, Deus, tudo bem, agora eu me importo com isso.” Acho que esse foi o ponto de inflexão.

05:29 Nicole Tisdale

Sim, e quero dizer, está de acordo com alguns desses outros problemas em que eu te disse que estava trabalhando, certo? Como o que eu sempre digo às pessoas sobre segurança nacional, especialmente meus amigos e minha família, porque estabelecemos essas barreiras à entrada e à educação no que se refere à segurança nacional. Podemos ser muito esnobes. Acho que a comunidade cibernética também é um pouco culpada disso. Eu digo às pessoas, eu sou muito honesto, eu realmente não quero que você pense na política de segurança nacional todos os dias. Não é um bom sinal. Quando eu estava trabalhando na política de contraterrorismo, costumava dizer às pessoas que eu realmente não quero que você tenha medo de ir ao jogo de futebol porque tem medo de que possa haver um ataque terrorista. O mesmo acontece com a política de cibersegurança. Não quero que as pessoas tenham medo da cibersegurança. Eu quero que seja fortalecedor. Então, na sua opinião, acho que há algo a ser dito sobre quando a segurança cibernética se torna tangível para as pessoas porque você tem a atenção delas por um período fixo de tempo. E no meu mundo, políticas públicas, você precisa de tempo tanto quanto precisa de uma boa política. Então é engraçado, você menciona o Colonial Pipeline, mas você sabe, para mim, o Colonial Pipeline foi uma oportunidade de falar sobre relatórios de incidentes cibernéticos novamente. Mas trabalhei nessa legislação quando estava no Capitólio. Quando aconteceu o Colonial Pipeline, eu estava trabalhando na Casa Branca, onde era Diretor de Assuntos Legislativos do Conselho de Segurança Nacional. Eu digo às pessoas que esse não era um conceito novo. Acabei de chamar a atenção do Congresso, e o Congresso tinha seus eleitores, e eles tinham o público que os pressionava a fazer alguma coisa. Na verdade, as pessoas ficaram muito chocadas com o fato de você não precisar denunciar grandes incidentes cibernéticos ao governo dos EUA. Então, naquela Colonial Pipeline, seguida pelo ataque ao processamento de carne da JBS, eu estava na Casa Branca, então foi um pouco irritante para mim quando a imprensa disse que Joe Biden era a razão pela qual não teríamos hambúrgueres no dia 4 de julho. Mas você sabe, para pessoas que não foram afetadas pela escassez de gás, elas querem carne bovina, querem cachorros-quentes. E depois disso, tivemos o ataque de Kaseya. Tivemos o log4j. Várias coisas aconteceram em termos de tempo que realmente mostraram ao público americano que talvez não tenhamos todas as soluções no momento, mas, no mínimo, precisamos que as pessoas denunciem esses incidentes ao governo.

07:51 Raghu Nandakumara

Sim, você está tão certo. E quero dizer, você relatou muitos dos incidentes cibernéticos de alto perfil que tivemos nos últimos anos, certo? E é realmente muito assustador como, se você pensar bem, se você retrocedesse o relógio, provavelmente teve uma dessas coisas importantes por ano, certo? E agora é como um grande evento. Não é nem uma vez por trimestre. É como se uma vez a cada poucas semanas, tivéssemos algo que pode ser reportado. E você está absolutamente certo, acho que a reportagem é muito importante porque a transparência é importante. Manter esse tipo de segredo e segredo é um risco muito maior do que ser transparente sobre isso, possuí-lo e depois discutir, ok, como podemos garantir que minimizemos a probabilidade de isso acontecer novamente.

08:45 Nicole Tisdale

Sim, e uma boa política pública faz isso, certo? Por exemplo, para mim, esse projeto de lei era sobre transparência, e não apenas a transparência de que o governo precisa que você denuncie. Esses ataques também estão de acordo com o aumento do ransomware, certo? E, tipo, o que precisávamos era poder começar a tentar juntar os pontos. E quando temos algumas pessoas denunciando e outras não denunciando, é muito, muito difícil proteger a próxima pessoa. Mas é importante, quando você está fazendo políticas públicas, pensar também no outro lado disso. Então, eu sempre conto às pessoas — e isso ficou um pouco controverso quando estávamos na Casa Branca — mas eu sempre me refiro às pessoas que se reportavam como vítimas. Nem empresas, nem proprietários e operadores de infraestrutura crítica, foi muito intencional chamá-los de vítimas. E eu conversava com membros do Congresso, mas também com outros formuladores de políticas. E eu diria que, você sabe, em um dos meus estágios, trabalhei em uma clínica de violência doméstica, e a forma como tratamos as vítimas é que você não as pune porque elas esperaram muito tempo para denunciar, elas não têm todas as informações quando denunciam. Você agradece a eles por denunciarem. Você pega as informações que tem e tenta coletar mais. E foi muito controverso, certo? Para algumas pessoas que acham que algumas empresas se aproveitaram do fato de não haver necessidade de denunciar, que queriam derrubar o martelo muito rápido. Acho que uma boa política pública entende que você não faz todas as coisas ao mesmo tempo. O que precisamos que as pessoas façam é começar a denunciar. Podemos falar sobre penalidades, podemos falar sobre incentivos, todas essas coisas virão. Mas, no mínimo, apenas obter essa estrutura do que é relatado, quem relata e a quem nos reportamos era um ótimo lugar para começar. Mas também, como sou muito bom em políticas públicas, eu sabia que tinha uma janela que ia se fechar. Certo? E eu não poderia passar dois anos brigando por penalidades ou por incentivos para denunciar. Eu precisava concluir essa estrutura com a ideia de que, embora o Congresso não revogue leis com frequência, eles as alteram com muita frequência. Então, sendo possível dizer que pode haver outro conjunto de incidentes cibernéticos ocorrendo, talvez vejamos onde alguém foi imprudente na forma como sua segurança foi configurada, então talvez precisemos conversar sobre penalidades. Talvez vejamos que daqui a 2 a 3 anos, as pessoas estejam relatando. Ao denunciar, você não deve apenas fornecer dados ao governo dos EUA, mas também acionar. Por exemplo, vamos falar sobre ciberequidade. Se o proprietário e o operador de uma infraestrutura crítica denunciarem, e soubermos que eles não têm recursos para responder quando denunciam, eles receberão assistência técnica do governo? Então, deixando bem claro que, tipo, essa é a linha de base e essa é a estrutura, e vamos continuar desenvolvendo sobre ela.

11:34 Raghu Nandakumara

Agradeço muito que você entre nesse nível de detalhe, porque acho que é importante para os ouvintes, e sei que alguns estarão muito conscientes e informados sobre isso, mas, da mesma forma, haverá muitos que realmente entenderão isso pela primeira vez e se perguntarão: qual é a necessidade de reportar? Acho que você deixou isso bem claro. Você usa a palavra vítima versus uma organização que é impactada, etc., ou uma empresa que é afetada. Entre em mais detalhes sobre por que é importante usar essa palavra e pensar nas pessoas afetadas como vítimas.

12:15 Nicole Tisdale

Sim, eu vou. Então, eu gosto de usar exemplos. Então, uma das coisas quando você trabalha em políticas públicas e trabalha com cibersegurança, você precisa ter exemplos. Você tem que ter analogias. Eu digo às pessoas que gosto de usar uma caixa de ferramentas cheia de explicações para leigos, mas também para pessoas que só têm experiência em diferentes áreas. Para mim, um dos exemplos que uso para as vítimas são os proprietários e operadores de água em Flint, Michigan, ou Jackson, Mississippi. Então, a maioria de seus ouvintes estará realmente familiarizada com a crise hídrica de Flint que aconteceu há alguns anos, mas também com a crise hídrica de Jackson, que ainda está em andamento e aconteceu há alguns anos. Isso é físico, ambas foram crises físicas de água. Mas acho que, quando pensamos sobre isso em nosso domínio cibernético, agora temos relatórios de inteligência de que a República Popular da China, a RPC, pode estar pré-posicionada em algumas de nossas infraestruturas críticas. Talvez parte dessa infraestrutura crítica seja o setor de água. Então, quando você pensa sobre isso, eu sempre digo às pessoas que eu penso: se Flint, Michigan e Jackson, Mississippi, não tivessem dinheiro suficiente para investir em sua infraestrutura física para suas instalações de água. Não é surpreendente que eles também não tenham dinheiro para investir em sua infraestrutura cibernética. Então, a ideia de que estaríamos pensando neles como algo diferente de vítimas, certo, com um ator estatal atacando sua infraestrutura, é quase ridícula. Quero dizer, é como você poderia pensar que eles teriam recursos suficientes para combater um ator governamental ou um ator estatal? Então, quando penso nessas vítimas, penso que, sim, a cidade de Flint, Michigan, ou a cidade de Jackson, Mississippi, são vítimas da infraestrutura da cidade, mas também das pessoas que elas atendem, certo? Então, essas também são comunidades de baixa renda ou comunidades que dependem totalmente da infraestrutura da cidade. Para mim, todas essas pessoas que estão nessa cadeia são vítimas. Então eu sempre dou isso como um exemplo para as pessoas dizerem, tipo: “Como elas poderiam não ser?” E as pessoas dirão: “Bem, você sabe, elas deveriam ter sido investidas na infraestrutura ao longo do tempo”. Deveria, gostaria, poderia. A política pública não consiste em penalizar as pessoas pelo que elas poderiam estar fazendo ou deveriam estar fazendo. Trata-se de torná-lo melhor no presente e depois torná-lo melhor no futuro.

14:46 Raghu Nandakumara

Isso é fantástico, como torná-lo melhor no presente e no futuro, em vez de puni-los pelo que talvez devessem ter feito anteriormente. E você deu um ótimo exemplo sobre a desproporcionalidade entre o alvo e a pessoa que está essencialmente atacando. E neste caso, certo, você tem uma organização local, estadual ou estadual, que já sabemos que está com dificuldades orçamentárias. Eles normalmente têm dívidas significativas. E então você tem um ator de estado-nação, que potencialmente tem uma espécie de bolsos sem fundo. Então, existe essa desproporcionalidade entre o agressor e sua vítima. E eu sei que algo pelo qual você é particularmente apaixonado é a equidade cibernética. Como você reduz essa desproporcionalidade? Portanto, antes de entrarmos nessa discussão, defina a equidade cibernética para nós.

15:43 Nicole Tisdale

Claro, direi que essa é uma definição funcional porque a definição não existe e, portanto, é algo que tive que criar ao conversar com pessoas como você, mas com outras pessoas para realmente nomear algo que todos sabemos que existe, mas depois estruturar uma definição completa. Portanto, a equidade cibernética se refere à distribuição justa e justa de recursos, proteções e oportunidades de segurança cibernética em todos os segmentos da sociedade, com foco em comunidades vulneráveis e marginalizadas. E isso significa que a equidade cibernética significa acesso igual a tecnologias e infraestrutura seguras. Isso significa programas inclusivos de cibersegurança, educação e conscientização. O exemplo que eu sempre uso é: não digo alfabetização digital. Eu não digo alfabetização cibernética. Essa não é uma linguagem inclusiva, também é tecnicamente errada. Eu sempre digo às pessoas, tipo, então a alfabetização implica que você vai chegar a um nível de compreensão em que não precisará mais aprender nada, certo? Quando você está no nível de leitura da sexta série, você sempre estará no nível de leitura da sexta série. Se você aprendeu algo sobre as melhores práticas de segurança cibernética atualmente, garanto que em 10 anos, o tempo limite será esgotado. Não será mais relevante. Portanto, deixando bem claro que não vamos comparecer a comunidades que não tiveram igual acesso à educação, que sofreram discriminação na educação, e conversar com elas sobre suas taxas de alfabetização. Como se não estivéssemos fazendo isso. Mas isso também significa proteção proporcional contra ameaças e ataques cibernéticos. Isso remonta ao que acabamos de falar em termos de entender que algumas comunidades serão um alvo maior para nossos adversários, não por causa das comunidades que atendem, mas por causa das proteções que não têm. As pessoas buscam os alvos mais fáceis. Mas também uma representação justa na força de trabalho de cibersegurança e nos processos de tomada de decisão. Então, uma das coisas pelas quais sou muito apaixonada é que eu também acredito que precisamos de vozes mais diversas em cibersegurança, mas não quero que todas elas sejam superindexadas em funções operacionais de nível básico. Porque eu trabalho no lado político da casa, quando não há pessoas diversas na mesa de políticas, o que muitas vezes não são cargos de nível básico; são cargos mais altos de liderança. Quando há vozes diversas na mesa de políticas, nas organizações, nas empresas, no governo, a política sofre e as pessoas nas funções operacionais não conseguem mudar a política. Sendo assim, é muito claro que quando dizemos representação diversificada para comunidades vulneráveis e marginalizadas na força de trabalho, queremos dizer em todos os níveis da força de trabalho e em todas as posições. E a última parte disso é que eu poderia desenvolvê-lo apenas deixando bem claro as políticas e regulamentações equitativas que atendam às necessidades exclusivas de segurança cibernética para populações diversas. Então, abordaremos algumas das coisas mais básicas que estamos perguntando do ponto de vista da segurança cibernética. Mas sempre digo às pessoas que fico um pouco decepcionado quando parece que muitas pessoas que fazem políticas cibernéticas optam por não participar de programas ou políticas rurais de banda larga e acesso à banda larga. E eles dizem: “Oh, nós realmente não trabalhamos nisso.” E então eu sempre pergunto. Eu digo: “Bem, como regra geral, vocês oferecem suporte a gerenciadores de senhas? Vocês oferecem suporte à autenticação multifator?” Estamos em um podcast de confiança zero, como: “Você apoia a confiança zero?” E é tipo, “Sim”, eu digo: “Você não precisa de internet para implementar todas essas coisas?” Então, como você pode optar por não participar de uma conversa em banda larga se as pessoas não têm acesso a uma Internet confiável e segura, começam a usar uma Internet incompleta e têm práticas cibernéticas muito incompletas. Portanto, você não pode optar por não aceitar os regulamentos e as políticas só porque não é algo que está em sua caixa de ferramentas técnicas normal.

19:37 Raghu Nandakumara

Obrigado por esse tipo de visão geral muito detalhada, e acho que é assim, a equidade cibernética é uma coisa muito importante porque, quase vinculando-a à última coisa que você disse, nesse tipo de mundo conectado em que todos precisam operar, certo? Não importa onde você esteja em termos de sua situação econômica, etc., raça e assim por diante, etnia, certo? Em última análise, estamos todos neste mundo conectado e todos estamos expostos, de uma forma ou de outra, às mesmas ameaças. Mas se não tivermos acesso a esse nível certo de consciência de proteção, os riscos que alguns de nós têm razão são muito maiores do que aqueles que têm acesso a esse direito. Suponho que esse seja o foco principal do que você deseja abordar por meio da equidade cibernética.

20:34 Nicole Tisdale

Sim, são as funções operacionais e as políticas, como você acabou de dizer, mas também são tudo o que precisamos para fazer uma boa política. Uma das coisas que eu digo às pessoas é que simplesmente não há muitas pesquisas que se concentrem nos impactos ou no direcionamento de humanos na pesquisa cibernética, certo? Como se estivéssemos superindexados em relação aos nossos adversários. Quais ferramentas eles estão usando, quais técnicas estão usando, quais táticas seu ATP? Quase e eu nunca digo que não deveríamos estar fazendo isso. Mas então, quando tento falar sobre, bem, eu quero saber os dados demográficos de raça, renda e idade que estão usando gerenciadores de senhas, ou que adotaram a autenticação multifatorial, os dados simplesmente não existem. É quase ao ponto de, tipo, querermos nos concentrar nos adversários e em como eles estão se aproveitando disso. É como, ok, duas coisas podem ser verdadeiras. Podemos nos concentrar no que os adversários estão fazendo, mas depois precisamos conectar o ponto ao que as pessoas, o Joe comum, a Jane comum, também estão fazendo, para que possamos começar a construir essas defesas. Porque, na sua opinião, isso não me faz bem. Uso minha família como exemplo de que acho que tenho práticas muito seguras. Mas quando as informações bancárias ou financeiras de alguém da minha família são roubadas, parece muito diferente porque muitas pessoas já estão vivendo abaixo da linha da pobreza. Então, quando falo sobre isso, escrevi este artigo para a revista WIRED no início do ano, meio que explicando isso para as pessoas. E falo sobre os ataques cibernéticos que estão acontecendo com o programa SNAP, que é nosso programa de suplementação alimentar, e os cibercriminosos estão atacando o cartão EBT, o cartão eletrônico de transferência de benefícios, que é como eles usam seus benefícios, até mesmo a linguagem que usamos para falar sobre isso no campo político no momento, embora eu esteja trabalhando para mudar isso, chamamos esses crimes de baixo valor. E eu acho que isso é um equívoco. Esses são crimes de alto impacto; a quantia média de dinheiro roubado é de $1.000 de uma família. E eu uso Maryland como exemplo porque Maryland teve mais dinheiro roubado em 2023. Uma família de quatro pessoas não pode ganhar mais do que $40.000 por ano em Maryland. Eles também não podem ter mais de $2.000 em suas contas corrente e poupança combinadas. Então, o que eles fazem, o que todos nós fazemos, às vezes você precisa de mais dinheiro para comer, durante as férias de Natal, quando as crianças saem para as férias de verão, elas comem mais. Muitos deles têm o que estão armazenando em seu cartão EBT, então ele estará lá em caso de emergência. A mesma coisa com vítimas de desastres naturais ou veteranos, todos eles estão usando o cartão EBT como uma forma de gerenciar sua alimentação e suas necessidades financeiras. Se você roubar $1.000 de uma família de quatro pessoas que ganha $40.000 por ano, isso é devastador. E os cartões EBT não têm cartões com chip, como nossos cartões de débito e nossos cartões de crédito. Eles não têm proteção contra fraudes. Você não pode simplesmente ligar e ter o dinheiro de volta em sua conta. Entendendo que isso é de alto impacto. E nossos adversários parecem ter descoberto que há menos foco nas políticas públicas ou menos foco nas soluções porque continuam atacando esses programas. Cada estado, cada território, tem seu próprio programa SNAP e todos estão sendo atacados. Descobrir qual é a aparência de uma solução assim não é: “Bem, eles deveriam apenas ter proteção contra fraudes e, portanto, sempre que alguém perde o dinheiro, o estado deve simplesmente devolvê-lo”. E eu digo: esses estados não têm dinheiro para isso, pessoal ou isso; conversei com o pessoal cibernético e eles disseram: “Temos que comprar cartões com chip e todos esses cartões EBT”. E eu digo a eles que isso não vai acontecer na velocidade que você acha que vai acontecer. O que vai acontecer é que a Califórnia terá primeiro cartões com chip e depois talvez Nova York. Mas e o Mississippi? E quanto a Michigan? E quanto aos estados que têm uma grande parte das pessoas que já vivem abaixo da linha da pobreza, então não têm uma grande base tributária? Você só vai colocar um alvo nas costas deles, porque quando você chega a um lugar onde a Califórnia tem as proteções e Nova York tem as proteções, você está chamando mais atenção para os programas nos estados que não as têm. Sim. Então, esse é um longo exemplo, mas acho que em termos da questão de como ela é e como você a integra, basta garantir que a comunidade cibernética saiba que você não será capaz de encontrar soluções para esses problemas sem considerar os pontos de vista da política de equidade social e da equidade social, porque a resposta de segurança pode ser apenas isso, pode ser apenas uma resposta de segurança que não é prática e não pode ser implementada e, portanto, é boa política pública.

25:32 Raghu Nandakumara

Essa é uma área muito interessante que estamos discutindo aqui, mas acho que uma parte do desafio é que, na verdade, quando você pensa em como um incidente cibernético é relatado na mídia, você costuma ouvir dizer, ok, digamos que um milhão de registros foram roubados, certo? Ou se pensarmos em algo que aconteceu muito, muito recentemente, que não foi um incidente cibernético, foi um incidente de TI que foi uma grande interrupção, certo? Milhões de sistemas saindo do ar, etc. Mas muito, muito raramente, isso está relacionado ao exemplo que você deu, como os cartões EBT, certo? Muito, muito raramente você ouve falar sobre o impacto social desses incidentes, ou será uma pequena espécie de subponto em um artigo maior sobre, oh, eles deveriam ter feito X, deveriam ter feito Y, etc., etc., certo? Eu sinto que isso tem que mudar. Além disso, mais relatórios desse tipo, como incidentes cibernéticos de alto perfil, devem se concentrar no impacto social. Porque acho que a única maneira de nos concentrarmos, como as organizações, é como evitar isso no futuro? Porque sei que denunciar é muito importante, mas também precisamos pensar: como garantir que isso não aconteça novamente? Acho que a única maneira de isso acontecer é se mais impacto social for relatado e as pessoas perceberem isso. “Oh meu Deus, certo. Isso está afetando as pessoas todos os dias”, e muitas vezes as pessoas mais afetadas são aquelas que não podem se dar ao luxo de serem impactadas.

27:07 Nicole Tisdale

sim, tipo, na sua opinião, as pessoas mais afetadas terão mais dificuldade em se recuperar, e algumas delas nunca se recuperarão, certo? Por exemplo, se você não colocar o dinheiro de volta em sua conta do programa EBT, são apenas dois meses do seu orçamento de alimentação que acabam, então você tem que ir para um abrigo de alimentação. Você tem que descobrir outra maneira, ou os pais simplesmente pularão as refeições. Mas, na verdade, as questões de ciberequidade estão na base de todas as políticas cibernéticas. Quando você estava falando sobre ataques à saúde, digo às pessoas que sempre que você pensa em algumas dessas instalações de saúde que estão sendo atacadas, pode observar os indicadores socioeconômicos de quem elas estão atendendo. Muitos deles estão atendendo aos grupos mais vulneráveis, sejam eles de baixa renda, sejam nossos veteranos, seja nossa população envelhecida; isso cria uma erosão de confiança que não está sendo conectada à comunidade cibernética, certo? Muitas dessas comunidades já hesitam em receber cuidados. Muitas dessas comunidades já hesitam em usar serviços digitais de saúde e serviços de telessaúde. Quando você ataca os sistemas nos quais eles confiaram, essa é a diferença entre alguém simplesmente não remarcar aquele exame, aquele exame preventivo de saúde, ou eu não vou voltar ao hospital porque a última vez que fui dois meses depois, minha conta corrente foi apagada. Como se isso acontecesse, e as pessoas fizessem essas conexões. Portanto, deixando bem claro que esse ataque cibernético não tem apenas a ver com o que aconteceu com aquela instalação. E eu sei que as pessoas querem ser muito desdenhosas e dizer: “Bem, elas tinham seguro contra ransomware”, e eu digo: isso significa que a instalação está em um lugar onde elas podem se recuperar. E quanto a todos os pacientes que já tiveram seus dados roubados? A mesma coisa com as escolas, o fato de as pessoas estarem fazendo ataques de ransomware em escolas, e muitas delas em escolas públicas, sabemos que não se trata de as pessoas dizerem: “Ah, o Sistema Escolar Público de Los Angeles, é só um saco de dinheiro, vamos atacá-los”. É como se, tudo bem, 100% dos estudantes que estão no sistema escolar público de LA estivessem no programa de almoço grátis. Isso não é sobre o dinheiro. Trata-se de roubar as identidades desses estudantes. E esses são estudantes que vêm de comunidades onde seus pais não têm monitoramento de crédito configurado para seus filhos, eles não o têm configurado para si mesmos. Essas crianças, se conseguirem sobreviver a todas as coisas que estão entre elas e obter uma educação de qualidade. Agora, quando eles se formam e tentam obter um empréstimo estudantil ou tentar conseguir um emprego e tentar obter uma autorização de segurança, sua identidade foi roubada há 10 anos e foi rasgada. Portanto, deixando bem claro algumas dessas coisas no mundo cibernético, achamos que nossas proteções não estão protegendo as pessoas mais afetadas.

30:12 Raghu Nandakumara

Acho que esse é um exemplo poderoso e devastador do impacto que, certo, está tirando a identidade de pessoas que estão lutando para ter uma identidade. E eu estou brincando com a palavra identidade, certo? Eles estão lutando para estabelecer sua própria identidade e, em seguida, têm essencialmente sua identidade digital retirada deles, o que significa que é uma luta. Então, esse é um exemplo muito impressionante do impacto dos ataques cibernéticos. E, na verdade, essa mudança, e vemos isso nos dados, como, digamos, no relatório de custo da violação de dados da IBM, sobre o aumento de ataques cibernéticos verdadeiramente disruptivos. E muitas vezes, quando pensamos em disrupção, pensamos que as linhas de produção não produzem um saco de batatas fritas, mas acho que o que você acabou de descrever é a verdadeira interrupção, certo? Essa é a interrupção que é completamente não quantificável. Então, eu quero sair daqui, e você disse anteriormente que este é um podcast de confiança zero. Então, em primeiro lugar, para você, o que significa confiança zero?

31:22 Nicole Tisdale

Essa é uma pergunta muito boa, dependendo do público com quem estou falando. Eu apenas explico isso de maneiras diferentes. Se eu tivesse uma pergunta à comunidade cibernética, gostaria que parássemos de inventar esses termos que dizem que eles são sempre os vilões de um filme da Marvel, como se fossem os mais assustadores, os piores. Então, direi que meus exemplos tendem a minimizar o medo que existe em torno da segurança cibernética. Então, eu costumo fazer perguntas e respostas às pessoas porque é uma boa maneira de fazer as pessoas falarem. E eu digo: “Você tranca as portas do seu carro?” E eles dizem: “Sim”. Eu digo: “Você tranca a porta do seu carro quando ele está estacionado no seu quintal?” E as pessoas dizem: “Sim”, eu digo: “Por quê? Por quê?” E eles dirão: “Quero dizer, está na minha casa, mas eu simplesmente não confio que as pessoas não venham ao meu quintal e destrancem o carro”. E isso me leva a uma conversa sobre o que é confiança zero. Confiança zero não significa que ninguém nunca seja quem diz ser zero. Confiança não significa que o login nunca seja confiável, as pessoas e a tecnologia nunca podem ser confiáveis. Mas precisamos fazer algumas coisas para garantir que a confiança seja necessária. Então, para mim, confiança zero nas políticas públicas e na forma como as explico às pessoas é garantir que tenhamos as defesas mais duras possíveis. Entendendo que nada será perfeito, estamos apenas tentando dificultar o ataque. Então, em políticas públicas, acho que quando as tenho, é como uma conversa de três minutos com um legislador, formulador de políticas, mas é uma maneira muito boa de fazer com que eles entendam o que é confiança zero em políticas públicas. E eu vou te dizer, eu nunca entrei nos aspectos técnicos disso. Não preciso, geralmente com boas políticas públicas, sempre digo às pessoas, porque a comunidade cibernética parece obcecada com o fato de os legisladores entenderem os detalhes técnicos do que está acontecendo. E eu fico tipo, eles não precisam entender os detalhes técnicos. Eles precisam entender as implicações para as pessoas e as implicações para as coisas. Então, para mim, esse geralmente é o exemplo que eu dou, e quando alguém fica preso: “Ah, bem, sim, confiança zero faz sentido, e devemos ter isso”, então eu posso falar com eles sobre tudo bem. Portanto, precisamos garantir que o governo dos EUA esteja apenas adquirindo produtos e serviços que implementem a confiança zero desde o início. Além disso, agora vamos mudar a política neste departamento ou nesta agência porque suas políticas anteriores acreditavam que não precisávamos trancar as portas dos carros na garagem. E isso faz sentido para as pessoas. E eu sempre digo o exemplo: seus membros do Congresso não entendem realmente como a cirurgia cardíaca funciona, mas temos leis e regulamentos sobre o que é necessário para abrir o peito das pessoas. Então, para a questão do que significa confiança zero, eu diria que tenho uma definição muito ampla e não técnica, mas que funciona para um advogado de políticas públicas.

34:21 Raghu Nandakumara

Acho que você acertou em cheio, ponto final. Já ouvi definições muito técnicas de confiança zero. Já ouvi muitas analogias sobre confiança zero. Nunca ouvi a analogia da porta do carro e gostei muito. Mas acho que você resumiu absolutamente a necessidade de ser capaz de pegar o que é potencialmente um conceito técnico e torná-lo completamente acessível a todas as pessoas que o encontrarão, certo, e remover e acrescentar ao seu ponto de vista que a analogia correta da Marvel é que devemos remover o medo desses conceitos. Certo? E faça as pessoas dizerem, ah, isso é senso comum, certo? Acho que foi nisso que você se deparou, certo? É que confiança zero, do jeito que eu às vezes penso, é que, se você deixar de lado todo o hype de marketing, confiança zero é uma abordagem sensata para criar segurança, e proteger tudo o que você está tentando proteger é uma abordagem de bom senso, certo? E da mesma forma que trancar a porta do carro, mesmo que seja na garagem ou no quintal, como você diz nos EUA, é senso comum. Então, eu absolutamente amo isso. Então, obrigado, Nicole, muito obrigado por compartilhar isso entre todas as outras joias que você compartilha. Então, agora, vamos conectar confiança zero à equidade cibernética. Como eles estão vinculados?

35:45 Nicole Tisdale

Então, isso é algo que estou tentando criar uma estrutura de política de ciberequidade para que as pessoas comecem a entender. Para muitas pessoas, elas têm sua reação, ouvem e dizem: “Ah, sim, eu deveria estar fazendo isso”. E então eles dizem: “Ok, mas como eu faço isso em tudo?” Então, eu me preparei para isso. E acho que a maneira de pensar em confiança zero em termos de equidade cibernética seria segura desde o início. E eu sei que algumas pessoas vieram e meio que falaram sobre segurança por design. Então, o que vou dizer é que a confiança zero deve remover a carga do usuário final na equidade cibernética. E eu preciso que façamos a segurança por design. Preciso que implementemos totalmente a segurança desde o design, porque ela torna mais fácil para o usuário final entender e implementar a confiança zero. Direi que parte do meu trabalho na Casa Branca no Congresso é como se você se reunisse com pessoas da indústria, porque, enquanto tentamos descobrir as políticas, nunca gostaríamos que o governo dos EUA aprovasse uma regulamentação federal de que tudo tem que ser de confiança zero antes de realmente conversarmos com as organizações que fabricarão os produtos, mas também conversarmos com os grupos de defesa. Então, parte disso, estou tentando evitar a confiança, mas verificar, porque eu realmente odeio usar isso. Isso significa outra coisa no mundo das políticas públicas, mas a ideia de que o usuário final pode ser confiável se houver certas medidas que ele atenda. Se os produtos são seguros por design desde o início, isso só torna as coisas mais fáceis para eles. Então, uma das coisas sobre as quais falo o tempo todo é que aconselho às pessoas que a melhor maneira de usar a autenticação multifator não é por meio de mensagens de texto, mas, na maioria das vezes, falo com comunidades que nunca ouviram falar de autenticação de dois fatores, muito menos de autenticação multifator. E para ser muito claro com eles, o motivo pelo qual eu não quero que você confie em mensagens de texto é porque você também recebe muitas mensagens de texto de spam. Então, estou tentando ensiná-los a usar chaves de acesso desde o início, para que eles nem saibam que um mundo seguro pode existir com mensagens de texto, como se eles soubessem que as chaves de acesso são o caminho a percorrer. Então, para mim, confiança zero exige apenas o que isso significa em equidade cibernética antes mesmo de eu chegar ao usuário final, a peça justa, as pessoas que criaram os produtos e projetaram os produtos já incorporaram a segurança. Então, é uma maneira um pouco estranha de ter confiança zero, porque acho que, para a maioria das pessoas, confiança zero diz respeito aos produtos e às pessoas que os adquirem. Nem sempre se trata do usuário final, certo? Então, uma empresa decide que vamos ter uma arquitetura de confiança zero, e então eles estão falando sobre, se você vai trabalhar aqui, você tem que usá-la de qualquer jeito. Confiança zero em um espaço de equidade nem sempre será um requisito, certo? Por exemplo, uma das razões pelas quais nem todos os sistemas EBT passaram a passar chaves é porque as comunidades que eles atendem não têm acesso a esses dispositivos e, portanto, não é que eles não vejam o valor de ter uma arquitetura de confiança zero. Eles não podem implementar isso porque não podem servir às comunidades para as quais os programas foram projetados.

39:19 Raghu Nandakumara

Esse é um ótimo ponto, e nunca pensei em segurança por design dessa forma. Na verdade, ao adotar o seguro por design, isso envolve fornecedores de segurança, mas também organizações que fornecem serviços e criam aplicativos, etc. Ao adotar o Secure by Design, você torna mais fácil para seus clientes, aqueles que você apoia, adotarem melhor as práticas de segurança, certo? Então, se você não está adotando a segurança por design, não está facilitando que eles tenham uma vida mais segura, certo? O que significa que eles então adotam práticas que são convenientes para eles. Digo isso porque acho que uma boa segurança é uma segurança fácil de adotar. Porque isso incentiva as boas práticas, porque é tipo, quando você usa um produto quando adora interagir com ele diariamente, regularmente, certo? E acho que uma parte fundamental do tipo de ciberequidade, e falo isso como funcionário de um fornecedor de segurança, é tornar seu produto de segurança o mais fácil possível de adotar, não apenas para seu usuário supersofisticado, mas também para seu usuário menos sofisticado. Essa é a maneira de impulsionar a mudança. Esse mesmo princípio se aplica ao usuário final ao qual você está oferecendo suporte por meio de aplicativos ou cartões com chip e PIN ou qualquer outra coisa.

40:48 Nicole Tisdale

Sim. E outro exemplo que eu uso que torna isso realmente tangível para as pessoas é que está me deixando louco que nossa conscientização e educação sobre phishing digam: “não clique em links ruins”. E eu fico tipo, pessoal, as pessoas dizem isso, mas é absolutamente verdade. Os criminosos só precisam estar certos uma vez. Tipo, estamos pedindo à minha avó que esteja certa 500 vezes por dia. Isso é insanidade. Seguro por design, como eu, já que o governo federal está adotando isso, e estamos pressionando as pessoas. Eu penso: como podemos garantir que esses links não apareçam nos telefones e nas caixas de entrada das pessoas em primeiro lugar? Nos Estados Unidos, conhecemos o Serviço Postal dos EUA, seu site termina em.gov. Por que as pessoas estão recebendo mensagens de spam, mensagens de texto que são ups.com? Como se isso não fosse, na verdade não é real. E qualquer um que esteja fazendo isso está, tipo, tentando enviar spam para as pessoas. Então, deixando bem claro, tipo, não confie em eu sair para uma comunidade e dizer, ok, então quando você abre a mensagem de texto e a vê, você também precisa pensar em como Amazon se pronuncia Amazon. Além disso, depois de clicar no link, verifique se há um cadeado na parte superior para que você saiba que é como: “Pessoal, sabemos que esses sistemas de nomes de domínio não estão registrados para pessoas que são na verdade Amazon ou UPS. Como isso está aparecendo no telefone? E o que podemos fazer?” Então, deixando bem claro, é muito mais fácil para mim sobrecarregar a comunidade DNS e as amazonas do mundo de dizer que você precisa se sentar à mesa para que possamos resolver isso. Em seguida, lançaremos uma campanha multimilionária do tipo “Não clique em links ruins”.

42:33 Raghu Nandakumara

Ah, com certeza. E é engraçado, você usa esse exemplo, porque muito regularmente, algumas vezes por mês, meu pai meio que diz: “Ei, acabei de receber essa mensagem de texto. Devo clicar nele?” e eu olho para ele, e eu dou uma olhada nele, e eu digo: “Não”, certo, esse não é um domínio legítimo. Você está tão certo? Porque há certas coisas em que a educação move a agulha, certo, mas há outras áreas em que esse fluxo constante da mesma mensagem repetitiva não tem impacto, porque na verdade é praticamente impossível. E eu vou falar pelo meu pai aqui, certo? Eu poderia dizer a ele: “Ok, é assim que você detecta se é um domínio legítimo ou não”. Ele nunca será capaz de fazer isso. Ele nunca será capaz de colocar isso em prática. Então, sim, acho que devemos colocar esse fardo, e tipo, isso remonta ao princípio do Secure by Design, certo? Coloque essa carga nas organizações que podem oferecer isso, mova-a para o futuro, para que os usuários finais tenham menos coisas não convencionais para aprender.

43:35 Nicole Tisdale

Sim, e eles se sentem empoderados. Acho que isso faz parte do que digo às pessoas o tempo todo, tipo, voltando a isso, à terminologia e aos termos que usamos. Muitas delas também não são empoderadoras, e é por isso que você tem pessoas que dizem: “Bem, eu realmente não me importo com esse vazamento de dados, porque fulano já perdeu meus dados”, ou, como todas essas outras empresas já perderam meus dados antes, porque não é uma mensagem de capacitação. É como se, sim, suas informações tivessem sido roubadas em um vazamento de dados anterior, mas isso também foi há 10 anos e, há 10 anos, você não estava ganhando tanto dinheiro quanto está agora. Você também não teve filhos. Há coisas que mudaram em sua vida que queremos manter fora da Internet e das mãos de malfeitores. E queremos capacitar você a fazer isso. E isso também é uma mensagem de resiliência, certo? Tipo, eu digo às pessoas o tempo todo, tipo, eu literalmente, quando estou em salões de beleza ou, tipo, quando estou no supermercado, é tipo, uma coisa toda é realmente uma loucura. Tipo, eu acho que posso fazer com que todos usem um gerenciador de senhas e posso fazer com que as pessoas usem a autenticação em duas etapas? E eu sei que há coisas mais sofisticadas que poderíamos fazer com que as pessoas fizessem, mas, novamente, estou em comunidades onde ninguém sequer disse a palavra para elas, Gerenciador de Senhas, como se elas estivessem aqui pensando que seu aniversário mais um asterisco é seguro. Certo? Então é muito engraçado porque eu vou, tipo, estar no salão de beleza ou no salão de beleza, e então eu digo: “Todo mundo, vamos entrar, vamos começar a usar os gerenciadores de senhas do seu telefone”. Tipo, isso é o que eu digo às pessoas. Eu fico tipo, vamos começar de onde você está. Eu tenho coisas que eu uso que são diferentes, mas eu só quero que você comece a usá-las no seu telefone. Podemos ter outra conversa em um ano. E depois, as pessoas dizem: “Ok, então eu não vou ser hackeado. Tipo, eu vou ser bom”. E eu digo: “Não, mas vai ser muito mais difícil para você ser hackeado, e isso vai te ajudar a se recuperar mais rápido se isso acontecer”, e essa é uma boa mensagem. Tipo, ninguém disse, oh, eu perdi meu tempo. Você desperdiçou meu tempo ligando. Eles dizem: “Oh, ok, o que? Eu vou aceitar isso.” Portanto, capacitar as pessoas por meio da segurança não é apenas algo que parece bom; é baseado na realidade. E eu não estou brincando, a maioria deles volta e gosta, ou eles simplesmente começam a fazer isso em todos os lugares. Eu sou tipo, muitas dessas pessoas são, tipo, influenciadores de mídia social. Eu acho que esse é o seu dinheiro. Por exemplo, sim, você precisa configurar a autenticação de dois fatores no seu Instagram, porque e se o seu Instagram ficar bloqueado por duas semanas? Na verdade, esse é o seu sustento, e eles voltarão para mim e dirão: “Ok, então eu estava usando o gerenciador de senhas, mas entrei muito nele, e agora estou pensando em baixar outra coisa. Então, eu digo: “Isso é ótimo. Além disso, enquanto tenho sua atenção, deixe-me falar com você sobre as chaves PASS, porque, tipo, você está no trem de senhas. Vamos apenas aumentar sua segurança.” E quando as pessoas estão capacitadas, elas querem fazer mais. Eles querem entrar em contato. Eles não se autoselecionam porque você lhes disse que, não importa o que façam, eles ainda serão hackeados. É como se você pudesse ser honesto com as pessoas e ainda capacitá-las.

46:39 Raghu Nandakumara

Sim, com certeza. E isso é viver a mudança, certo? Isso é viver sua mensagem e levá-la à sua comunidade, certo, à comunidade com a qual você interage no dia a dia e dizer: “Ei, eu fiz a diferença aqui apenas com coisas simples com as quais as pessoas podem se relacionar e entender”. Acho, Nicole, que há muitas coisas sobre as quais poderíamos continuar falando, só por causa de sua formação e de todas as coisas que você abordou, mas sou muito respeitosa e consciente de seu tempo. Mas seria negligente da nossa parte não dizer que esse tipo de eleição de 2016 foi mais ou menos isso, um pouco daquele momento aha em que houve uma espécie de preocupação em relação à adulteração das eleições, etc. E as pessoas estão se perguntando: o tipo de ameaça de um tipo de estado-nação? Estamos aqui. 2024. As eleições certas estão ao virar da esquina. Então, falamos sobre preocupações com a segurança eleitoral. O que você acha que será essencial para salvaguardar a integridade das eleições deste ano.

47:44 Nicole Tisdale

Obrigado por fazer essa pergunta. Vou te dizer que não acho que seja a resposta técnica que você possa ouvir de outras pessoas. Quando penso em segurança eleitoral. Existem três pilares da segurança eleitoral. Existe a infraestrutura que usamos para votar, para nos registrarmos para votar. Também há segurança física, portanto, certifique-se de que você possa votar sem intimidação, sem medo de ter acesso físico às urnas. E depois o terceiro pilar, que é a mentalidade e as operações de influência. Eu me sinto muito confiante em relação ao primeiro pilar, especialmente nos Estados Unidos. Desde 2016, isso é muito crescimento para mim, fiquei muito brava em 2016 porque havia tantas coisas que eu pensava: como isso aconteceu? Certo? Por exemplo, como estamos em um lugar onde nem podemos dizer aos nossos secretários de estado, que controlam nossas eleições, que temos inteligência porque a inteligência é confidencial e nenhum deles tem autorização de segurança, ou nem temos números de telefone de todos os Secretários de Estado, certo? Como se estivéssemos ligando para o número 1-800 deles. Além disso, a forma como investimos em infraestrutura física era como, às vezes, a comunidade cibernética investe: você espera até que algo aconteça, depois investe muito dinheiro nisso, e então você meio que vai embora e diz: “conserte isso”. Então, direi que, nos oito anos desde 2016, fizemos tanto no lado da infraestrutura crítica e da infraestrutura eleitoral da casa que me sinto muito bem com isso. Em termos de segurança física nos Estados Unidos, estamos lidando com muita intimidação física para votar. Acho que estamos progredindo nisso. Acho que estamos em um lugar onde as pessoas sentem que podem votar sem serem intimidadas, assediadas ou atacadas fisicamente. Mas o lado influente da casa parece muito diferente nos Estados Unidos no momento, porque acho que as pessoas estão começando a se perguntar se a democracia vale a pena. E eu acho que isso é uma característica, não um bug, a ideia de que você não pode convencer as pessoas de que elas deveriam lutar para saber quem deveria vencer, qual candidato deveria vencer, qual partido deveria estar no controle, que elas simplesmente decidiriam que não se importam nem um pouco. Para mim, é muito mais um problema e um medo do que o contrário. Então, ao entrarmos em 2024 nos EUA, falei recentemente sobre isso na DEF CON, mas também falei sobre isso no noticiário. O que você precisa fazer em 2024 nos EUA é se comprometer com o voto. Você tem que se comprometer a votar. Você tem que dizer que, não importa o que aconteça entre agora e o dia da eleição, não importa qual hack ou vazamento seja divulgado, não importa qual áudio ou vídeo falso saia, se houver uma falsificação, seja qual for o caso, você aparecerá na hora certa e votará. E acho que, para nós, essa depressão digital é realmente nova nos Estados Unidos, mas também globalmente. Acho que muitos países estão vendo isso como: bem, as pessoas estão começando a não acreditar totalmente que a democracia funciona. Voltando à nossa conversa sobre ciberequidade. Se você já está com dificuldades, teve um ano em que sofreu um desastre natural e agora está no programa SNAP ou em um programa de benefícios alimentares, e então alguém está roubando esse dinheiro de você. Mas é muito difícil se preparar mentalmente para dizer que tenho que apoiar essa democracia. Portanto, deixando bem claro que muitas dessas questões de ciberequidade não são boas de se ter, elas são os pilares da democracia. Uma democracia tem que servir seu povo, ou ela desmorona. Então, como se estivéssemos chegando ao fim, a segurança eleitoral, para mim, é garantir que as pessoas tenham as ferramentas para lidar com as desigualdades em nossa sociedade. E quando você retira os direitos democráticos das pessoas, ou retira a participação democrática, ou a vontade de participar, não podemos abordar essas desigualdades cibernéticas das quais falei no resto da hora. Tipo, eu realmente preciso de políticas públicas. Preciso que as pessoas acreditem que o governo pode descobrir como fazer com que os criminosos parem de atacar nossas instalações de saúde. Que podemos proteger os dados de seu filho quando ele está na escola e, se você não quiser, isso é o começo do fim.

52:21 Raghu Nandakumara

Não consigo pensar em uma mensagem mais poderosa para encerrar essa conversa. Eu adoraria continuar, Nicole, mas acho que você, foi incrível. Na verdade, trata-se de manter nossos filhos seguros na escola, bem, educados para que possam crescer. Trata-se de manter as pessoas fora das ruas. É sobre colocar comida na mesa. Trata-se de garantir que as pessoas que precisam de cuidados hospitalares os recebam em tempo hábil. E a equidade cibernética, mantendo toda a nossa infraestrutura crítica segura e as pessoas seguras, é apenas uma responsabilidade primordial em qualquer democracia, em qualquer sociedade. Então, Nicole, foi inspirador falar com você hoje. Então, muito obrigado por concordar em participar do segmento e ser um convidado incrível. Obrigado,

53:16 Nicole Tisdale

Claro, obrigado por me receber e a todos os seus ouvintes. Espero que seja cansativo, sei quando gosto de começar a falar sobre esses problemas para as pessoas, mas você pode praticar a equidade cibernética, o que quer que estivesse fazendo antes de ouvir este podcast. Você só precisa fazer isso através de uma lente de equidade, que é pensar nesse usuário final, pensar no impacto humano. E eu realmente preciso que as pessoas façam isso nos espaços em que estão certas, como se todo mundo não precisasse se juntar a nós no lado das políticas públicas cibernéticas. Eu adoraria se você soubesse, mas também preciso que as pessoas técnicas se comprometam a analisar soluções cibernéticas através de uma lente de ciberequidade.

53:55 Raghu Nandakumara

Isso é incrível. Obrigada

53:56 Nicole Tisdale

Bem, obrigado por me receber.

‍