James B. Comey

director

Oficina Federal de Investigaciones

Conferencia RSA Seguridad Cibernética

San Francisco, CA

26 de febrero 2014

Comentarios preparados para discurso .

Buenas tardes. Es genial estar aquí con ustedes para lo que espero se convierta en una serie de conversaciones en los próximos años .

Si me hubieran dicho hace un año que yo estaría aquí en este momento, hablar con usted acerca de la capacidad del FBI para combatir las intrusiones cibernéticas, yo habría dicho que estabas loco .

El año pasado me fui de Bridgewater Associates para enseñar Derecho en la Facultad de Derecho de Columbia . Tengo que pasar tiempo con mi esposa y mis hijos, tengo que ayudar en la casa. Yo quería aprender a tocar el piano, llegar en buena forma, leer libros que siempre quise leer. La vida era buena ... por unos meses . En marzo, recibí una llamada preguntándome si yo estaría dispuesto a ser entrevistado por el director del FBI . Le dije a la persona que llama que no me lo creo, ya que sería demasiado para mi familia, pero me gustaría pensar en ello y volver a llamar.

Me fui a la cama con la intención de volver a llamar por la mañana y decir "no . " A la mañana siguiente, me encontré a mi esposa en la computadora, el registro de salida de bienes raíces en el área de DC . Ella dijo: "Mira, yo te conozco desde que eras 19 años. Esto es lo que eres y lo que amas. " Y luego hizo una pausa para el efecto dramático y dijo: " Además, nunca te van a recoger de todos modos. "No se puede poner un precio a ese tipo de apoyo .

Mi esposa, Patrice, además de ser un gran apoyo, me ha enseñado mucho sobre la vida . Ella podría argumentar que es porque tengo mucho que aprender . Una de las cosas más importantes que he aprendido es el arte de escuchar .

Hay tres tipos de escucha . La primera es lo que me gusta llamar " Washington escuchar ", lo que equivale a sólo asintiendo y esperando a que la otra persona se calle para que pueda decir lo que sabía que quería decir antes de empezar a hablar.

El segundo tipo de escucha es realmente prestando atención a lo que la otra persona está diciendo - de hecho oír sus palabras.

Me tomó mucho tiempo aprender que la verdadera escucha activa de escucha es un tercer tipo. Y es un deporte de contacto . Usted encorves, tratando de extraer información de esa persona . Usted escucha con un oído hacia estar realmente convencido. Usted está diciendo : "Yo estoy en esta -estoy contigo. " Y es agotador. Pero es el verdadero negocio.

He estado reuniendo con gente en el FBI y con nuestras contrapartes estatales y locales, y que he estado haciendo un montón de escucha activa. Mi objetivo es entender las necesidades de todos y para establecer las expectativas temprano en el juego por lo que todos estamos en la misma página .

Mi impresión de que el FBI es un lugar increíble se ha confirmado en los últimos meses . Tenemos gente de todo el mundo, haciendo una increíble variedad de cosas, y hacerlas bien . Pero, como todas las organizaciones humanas, tenemos problemas . Y tenemos que hacer un mejor trabajo de escucharse unos a otros, a nuestros homólogos policiales y de inteligencia, y para todos ustedes para tener una idea de nuestras perspectivas y lo que necesitamos unos de otros.

No necesito explicar la amenaza cibernética a usted. Ustedes son los expertos. Usted sabe que enfrentamos amenazas cibernéticas de hackers patrocinados por el Estado, los hackers de alquiler, sindicatos cibernéticos organizados, y, sí, los terroristas . Buscan nuestros secretos de estado, nuestros secretos comerciales, nuestra tecnología y nuestras ideas. Ellos pueden tratar de atacar nuestra infraestructura crítica y nuestra economía. La amenaza es tan grave que la seguridad cibernética ha encabezado Director de lista de amenazas globales para el segundo año consecutivo de Inteligencia Nacional Jim Clapper, superando tanto el terrorismo y el espionaje, incluso la amenaza que representan las armas de destrucción masiva.

Dado el alcance de la amenaza cibernética, agencias del DHS, el Servicio Secreto y el Departamento de Defensa - incluido el gobierno - están haciendo de la seguridad federal cibernética una prioridad. Dentro del FBI, estamos apuntando alto nivel intrusiones - el botnets más grandes y más peligrosos, hackers patrocinados por el estado y los sindicatos cibernéticos globales. Queremos predecir y prevenir ataques en lugar de reaccionar después de los hechos .

Los agentes del FBI, analistas y científicos de la computación están combinando las capacidades técnicas y las técnicas de investigación tradicionales - tales como las fuentes y los cables, la vigilancia y la medicina forense - para luchar contra la delincuencia cibernética . De lado a lado, estamos trabajando con nuestros federales, estatales, y locales asociados en grupos de acción del ciber en cada una de nuestras oficinas locales. Y estamos capacitando a nuestras contrapartes estatales y locales para clasificar los asuntos cibernéticos locales para que podamos centrarnos en cuestiones de seguridad nacional.

También estamos trabajando en estrecha colaboración con nuestros socios federales a través de la Fuerza de Tarea Conjunta de Investigación Cibernética Nacional. Cada jugador federal clave está allí mismo, en un espacio -DHS, la CIA, la NSA y el Servicio Secreto, entre muchos otros - que comparten la inteligencia cibernética y los casos que trabajan juntos . No hay batallas territoriales o jurisdiccionales obstáculos, sólo el trabajo en equipo sólido y colaboración.

Nuestras oficinas agregado legal en el extranjero coordinan investigaciones cibernéticas y abordar los obstáculos jurisdiccionales y las diferencias en la ley de un país a otro. Como usted sabe, lo que es criminal aquí en relación con el malware e intrusiones no puede ser ilegal en el extranjero. Tenemos agentes especiales integrados con los departamentos de policía en los ciber "puntos calientes ", entre ellos Estonia, Rumania, Ucrania y los Países Bajos, para identificar las tendencias emergentes y los actores clave .

Pero no es suficiente.

No podemos hacer lo que tenemos que hacer sin nuestros socios del sector privado.

Ustedes son las víctimas principales de la evolución de la amenaza cibernética . Pero usted es también la clave para derrotarlo . Usted tiene la información de sus servidores y sus redes . Y usted tiene la experiencia y el conocimiento que necesitamos para poner fin a estos ataques.

Estamos escuchando activamente a sus inquietudes . Entendemos que son reacias a denunciar las intrusiones, ya sea porque te preocupa que el gobierno comenzaremos hurgando sus redes o porque teme que su reputación sufrirá un impacto en el mercado. Usted puede ser reacios a compartir información con sus competidores. ¿Estás preocupado por la pérdida de las cuestiones de confidencialidad y responsabilidad.

No siempre estamos de aclarar cuál es la información que necesitamos de usted, y usted piensa que va a tomar mucho tiempo para proporcionarla. No hay sistema de información unificada de amenazas, y todavía hay cierta confusión sobre los " carriles en la carretera ", que es responsable de lo que en el gobierno federal cuando se trata de delitos cibernéticos. ¿Cómo se sabe a quién recurrir y la mejor manera de navegar la burocracia federal?

Lo entiendo. Sé dónde vienes . Llegué a la Oficina a partir de ocho años en los años del sector privado y cinco como consejero general con Lockheed Martin, y tres años con gestor de inversiones Bridgewater Associates . Usted tiene la responsabilidad de sus accionistas y al consejo. Su atención se centra en la línea inferior. Y entonces el gobierno llama a tu puerta con una larga lista de peticiones y no hay mucho que ofrecer a cambio .

Como consejero general, pasé mucho tiempo preguntándome a mí mismo y de mi equipo - las mismas preguntas : " ¿Cómo es que no podemos obtener más información sobre el gobierno? ¿Cómo es que ellos no comparten la información? Las naciones y los criminales están tratando de robar todas nuestras cosas, por qué no pueden ayudarnos más " ?

A menudo parece que la información fluye sólo una manera - al gobierno. Sí, tenemos información de que no siempre podemos compartir. Estamos haciendo nuestro mejor esfuerzo para cambiar eso. Necesitamos compartir tanta información como sea posible, lo más rápido posible, y en el formato más fácil de usar por lo que aquellos de ustedes en el sector privado puede tomar acciones. Tenemos que seguir reduciendo nuestra notificación de atraso víctima de modo que usted puede tomar medidas para reducir al mínimo cualquier incumplimiento . Y tenemos que aclarar lo que estamos buscando cuando descubres que has sido atacado .

Entendemos que usted necesita para guardar celosamente su información privada y los datos del cliente . Estamos quirúrgica y preciso en lo que estamos buscando, y vamos a hacer lo que debemos de proteger sus derechos de privacidad y su ventaja competitiva. Queremos trabajar con usted para averiguar lo sucedido y quién era responsable por lo que será mejor que podemos defender nuestras redes y nuestros datos, identificar tendencias emergentes, y proteger al público .

Pero tenemos que trabajar juntos para ver la imagen completa. Mira, puedo patrullar la calle y decir: " Oye, la calle se ve a salvo", pero hay paredes de 50 pies a cada lado . Y no puedo ver a través de los muros, y no puedo conseguir alrededor de ellos, así que no sé lo que está pasando en el otro lado . Necesitamos su ayuda para conseguir más allá de esas paredes, para protegerte, y para hacer el trabajo que el pueblo estadounidense nos han encomendado hacer.

Debemos proporcionar los incentivos, los medios y las garantías para compartir información de forma rápida y de manera rutinaria, como una cuestión de rutina . Las asociaciones eficaces son una manera de hacer esto .

El FBI tiene varias grandes alianzas con el sector privado ya existentes, tales como el Consejo de Seguridad Interior de la Alianza, InfraGard, y los forenses nacionales Cibernéticos y Training Alliance . Muchos de ustedes están familiarizados con estos grupos, y muchos de ustedes contribuyen con su trabajo. Estas asociaciones son importantes. Pero también tenemos que cultivar las relaciones uno -a-uno .

Cada agente especial a cargo de cada oficina de campo debe estar en un primer nombre con socios clave de la industria en sus comunidades. Y si no lo son, lo que necesito saber sobre él. Si el SAC en su comunidad no se ha acercado a ti, toma la iniciativa. Como dice el viejo refrán, el tiempo para arreglar el tejado es cuando el sol está brillando. Y está nublado en el mejor que hay.

También necesitamos los medios para compartir información en la máquina del tiempo de máquina a - real.

Hasta la fecha, hemos estado peleando los ataques DDoS en mera velocidad humana, el envío de los indicadores de malware, nombres de host y las direcciones IP a los del sector privado. Entendemos que el envío de una larga lista de direcciones IP sin ningún tipo de contexto no es útil y pone a las empresas en situación de riesgo de bloquear el tráfico web legítimo. Es por eso que hemos creado el FBI alerta de Enlace System- FLASH - para enviar datos específicos utilizados en un ataque y que creemos que se va a utilizar de nuevo.

Estamos proporcionando a los ISP con la información que necesitan para cerrar nodos ataque comprometidos. Y siempre que sea posible, hemos advertido posibles víctimas de los ataques de red pendientes para que puedan reforzar sus defensas.

Pero la velocidad humana no se corte nunca más. La amenaza cibernética es demasiado penetrante, demasiado persistente y muy fluido.

Imagina un día donde la inteligencia de combinar fuentes - el gobierno, las empresas anti-virus, ISPs, el sector de servicios financieros y comunicaciones compañías - es compartido de forma instantánea, de máquina a máquina, de conformidad con la ley y con fuertes protecciones de privacidad en su sitio. Lo que si hemos sido capaces de parar la mayor parte del malware, cuando se transitaba las redes? Ya no es suficiente para identificar el malware que ataca el sistema.

Tenemos que ser capaces de romper cada intrusión en fases distintas. Tenemos que crear un plan, porque incluso nuestros adversarios más sofisticados van a tratar de repetir ataques con éxito . Tenemos que examinar los patrones y comportamientos, para determinar la forma en que operan, y la mejor manera de detenerlos. Debemos construir una capacidad de predicción de inteligencia impulsada . Para hacer eso, necesitamos un sistema de intrusión automatizadas y un formato de lenguaje y de datos estándar a través del cual todos nos comunicamos en tiempo real. Y, por supuesto, tenemos que hacer todo esto siendo consciente de la necesidad de proteger la privacidad y la promoción de la innovación.

Pero, ¿cómo podemos llegar allí ?

Nosotros, en el FBI ha creado una herramienta de repositorio y análisis de malware conocido como el Análisis Caracterización binario y sistema de almacenamiento o BACSS, que proporciona información casi en tiempo real de investigación . BACSS ayudan a conectar el malware en diferentes jurisdicciones y pintamos un panorama de las amenazas cibernéticas en todo el mundo . A finales de este año, vamos a presentar una versión no confidencial de BACSS, conocido como malware Investigador, para su uso por todos nuestros socios .

Si su empresa ha sido hackeado, puede enviar el malware a nosotros, y, en la mayoría de los casos, recibirá un informe en cuestión de horas en su funcionamiento, lo que podría estar apuntando, y si otros han sufrido un ataque similar. Nuestro objetivo es hacer BACSS repositorio de la nación en busca de malware y los virus, de la misma forma en que el FBI mantiene las huellas dactilares, ADN y registros de arrestos criminales.

También queremos proporcionar un medio electrónico en tiempo real, por informar de intrusiones . A través iGuardian, la policía y el sector privado pueden rápida y fácilmente pasar información de ida y vuelta, ambos clasificados y sin clasificar. Podemos basarnos en nuestro conocimiento colectivo y luchar contra estos ataques de frente.

Este es el modelo que aspiramos - utilizando información recopilada a partir de nuestras propias autoridades y nuestros socios para detener una amenaza antes de que sea un problema . Este es el único incentivo real que necesitamos - para evitar el mayor número de ataques posibles.

Quiero referirme a cuestiones de privacidad por un momento.

Algunos han sugerido que hay un conflicto inherente entre la protección de la seguridad nacional y la preservación de la privacidad y las libertades civiles. No estoy de acuerdo . De hecho, creo que las ideas de " equilibrio" y " compensaciones " son el marco mal porque lo hacen parecer como un juego de suma cero. A lo mejor, estamos buscando las medidas de seguridad que mejoran la libertad. Cuando un mensajes ciudad policías en un parque peligroso para que los niños y las personas de edad pueden usar el parque, la seguridad se ha promovido la libertad.

Los hombres y mujeres del FBI han jurado proteger tanto la seguridad nacional y las libertades civiles. No es una cuestión del conflicto, hay que preocupan profundamente por tanto, en todas las investigaciones y todos los programas .

El hecho del asunto es que Estados Unidos se enfrenta a una amenaza real de criminales, terroristas, espías y agentes cibernéticos maliciosos . Esa es la realidad . El parque es un lugar muy peligroso en estos momentos. Para detener estas amenazas, el gobierno necesita la inteligencia oportuna y precisa para identificar los actores de amenaza y de averiguar lo que están planeando . Eso significa que necesitamos para llevar a cabo la vigilancia electrónica y recopilar datos sobre las comunicaciones electrónicas. Esa es también la realidad. La verdadera pregunta es: ¿Cómo lo hacemos de una manera que nos permite evitar que sucedan cosas malas a nuestro pueblo y de nuestros aliados, y, al mismo tiempo, proteger la privacidad y las libertades civiles y promover la innovación ?

Nunca he sido una persona que es un alarmista, viene el lobo -, pero estoy en un negocio serio, así que quiero asegurarme de que cuando hablamos de herramientas alterar utilizamos para recopilar información sobre un individuo que creemos para ser conectado a criminal, actividad ilícita terrorista, u otros, que entendemos los beneficios y compensaciones en el otro lado . Lo mismo ocurre cuando permitimos que la eficacia de esas herramientas para erosionar gradualmente con el tiempo a través de la falta de actualización de nuestras leyes, o cuando nuestras herramientas se vuelven menos eficaces a través de la divulgación no autorizada de nuestras capacidades.

Las personas inteligentes pueden hacer y no estar de acuerdo, y esa es la belleza de la vida estadounidense, pero tenemos que asegurarnos de que todo el mundo entiende los riesgos asociados con el trabajo que hacemos y las elecciones que hacemos como país.

Las mismas consideraciones con respecto a la seguridad cibernética. Antes de irse, el director Mueller me dijo que creía que los problemas cibernéticos habrían llegado a dominar mi mandato como contraterrorismo había dominado su tiempo como director . Y creo que tiene razón. Tenemos que ser ágil y predictivo en todos los frentes . Y tenemos que utilizar todas las herramientas y autoridad a nuestra disposición para poner fin a estos actos criminales.

La amenaza cibernética es diferente a la amenaza terrorista, por supuesto, porque todavía no hemos experimentado un evento decisivo como los ataques del 11 de septiembre, pero todos reconocemos que estamos en situación de riesgo y que hay que actuar con rapidez.

Mira, estos son temas difíciles . Y hay cuestiones legítimas y cosas importantes que discutir . Espero que usted sabe un poco acerca de mi historia - He dedicado mi carrera a la defensa del Estado de derecho, y yo estoy comprometido a asegurarse de que la gente entienda cómo el gobierno está usando sus autoridades legales. Pero encontrar el espacio y el tiempo en la vida americana para entender estos temas es muy duro.

Mi esperanza es que podamos resolver estos problemas a través de una comunicación abierta y honesta. Ese es mi objetivo . Es mi meta dentro del FBI, con nuestro estado, locales y contrapartes internacionales, y con todos ustedes .

Simplemente tenemos que trabajar juntos y aprovechar nuestros puntos fuertes . Cuando se trata de la seguridad cibernética, usted tiene la experiencia técnica, la infraestructura y la innovación. Y usted es a menudo el primero en ver lo que se avecina en el horizonte. Tenemos la capacidad de inteligencia y de aplicación de la ley y la presencia global. Estamos jugando cada uno de nuestros puntos fuertes. Pero incluso eso no es suficiente . Tenemos que jugar como un equipo .

No va a ser fácil. Y no siempre vamos a ver a los ojos . El entrenador de baloncesto Phil Jackson- el llamado maestro Zen de la corte - sabía que cada jugador tenía el poder de hacer o deshacer el equipo . En sus palabras, " La fuerza del equipo es cada miembro individual. Y la fuerza de cada miembro es el equipo ".

Tenemos que encontrar la manera de combinar nuestras fortalezas . Y eso va a llevar tiempo y un montón de escucha activa. Pero yo estoy en esto por la que lance tendrá un plazo de 10 años de largo. El FBI está en esto para el largo plazo. Realmente estamos de tu lado. Y haremos todo lo que podamos para mantener sus datos, su innovación y su propiedad intelectual- por no hablar de sus amigos y familias a salvo y seguro .

Espero con interés trabajar con usted en el camino . Gracias por invitarme aquí hoy.