home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Industrial Internet of Things >> Eingebettet

SolarWinds-Angriff unterstreicht Notwendigkeit einer Cybersicherheitsentscheidung auf Vorstandsebene

Der im Dezember 2020 enthüllte SolarWinds-Hack unterstreicht die Leichtigkeit, mit der Software- und Systemlieferketten leichte Ziele sein können, wenn keine gute Cybersicherheitsrichtlinie in ein Unternehmen eingebettet ist.

In der offiziellen Erklärung teilte die Cybersecurity &Infrastructure Security Agency (CISA) mit, dass die Kompromittierung von US-Regierungsbehörden, Einrichtungen kritischer Infrastrukturen und Organisationen des privaten Sektors durch einen Akteur der Advanced Persistent Threat (APT) mindestens im März 2020 begonnen habe. Und dass die APT Der Schauspieler bewies bei diesen Einbrüchen Geduld, Betriebssicherheit und komplexes Handwerk. „CISA geht davon aus, dass die Entfernung dieses Bedrohungsakteurs aus kompromittierten Umgebungen für Unternehmen sehr komplex und herausfordernd sein wird.“ Die detaillierten Infektionsvektoren und Kompromissminderungen sind in der Erklärung hier aufgeführt.

Das Lesen der Details bestätigt vieles, was uns in Briefings auf embedded.com und EE Times zu den Themen Internet of Things (IoT)-Sicherheit und Cybersicherheit von Sicherheitsexperten der Halbleiterindustrie und von Unternehmen, die sichere Elemente, Geräte, Bereitstellung und Sicherheit anbieten, erzählt wird Lebenszyklusverwaltung.

Es überrascht mich wirklich, dass solche Verstöße auftreten können, wenn Regierungsbehörden auf der ganzen Welt so paranoid in Bezug auf Sicherheit sind, sich jedoch durch Drittanbietersysteme, Software- und Gerätelieferanten, die die richtigen Sicherheitsmechanismen und -richtlinien zu überspringen scheinen, völlig angreifbar machen. Ich erinnere mich, dass wir vor einigen Jahren sogar als Auftragnehmer für die britische Regierung gearbeitet haben, wie viel Sicherheitstraining und Bewusstsein wir uns immer bewusst sein mussten. Nur ein kleines Beispiel war, wie paranoid ich wurde, meinen Laptop niemals in einem verschlossenen Auto oder an einem anderen Ort zu lassen, wenn ich geschäftlich unterwegs war. Es musste immer bei mir oder in meiner Nähe sein, wo ich es sehen konnte. Es gab natürlich noch jede Menge andere Dinge, die wir fleißig beobachten mussten.

Aber die SolarWinds-Verletzung ist eher eine grundlegende politische Frage, ob Sicherheit nur in den Zuständigkeitsbereich der Hardware- und Software-Systemdesigner fallen sollte oder auf einer höheren Ebene in der Organisation ernster genommen werden sollte.

Daher ist es an der Zeit, dass der Corporate-Finance-Berater Woodside Capital Partners einen Bericht mit „sieben Lektionen für CEOs, Direktoren, Vorstandsmitglieder und Private-Equity-Firmen“ erstellt. Der von seinem Geschäftsführer Nishant Jadhav verfasste Bericht besagt, dass der Angriff auf die Lieferkette von SolarWinds die Notwendigkeit eines tieferen Verständnisses der Cybersicherheit auf Führungs- und Vorstandsebene unterstrichen hat. Inmitten einer Welt fortschrittlicher persistenter Bedrohungen, die in den meisten Geschäftsumgebungen potenziell unsichtbar für Überwachungstools lauern, wird es immer wichtiger, den Ruf und den Unternehmenswert angesichts des Unbekannten zu schützen.

Die wichtigste Frage, die sich Führungskräfte, Berater und Investoren stellen müssen, ist, ob das Unternehmen auf Vorstandsebene beantworten kann, ob es über Cyber-Assurance verfügt. Hier sind seine sieben Lektionen.

Lektion eins:Verabschieden Sie sich von einer Sicherheits- versus einer Compliance-First-Denkweise – von oben nach unten

Eine sicherheitsorientierte Denkweise impliziert, dass das Führungsteam und der Vorstand die Risiken für das jeweilige Unternehmen verstehen. Es impliziert auch, dass das Unternehmen die Risiken versteht, die es für seine Kunden und Partner schafft. Eine Compliance-First-Mentalität hingegen ist ein Wettlauf, nur das Nötigste zu tun, um eine bestandene Note zu erhalten. Eine Compliance-First-Mentalität ist insofern regressiv, als sie Ihre Baseline am Tag des Angriffs misst und Ihnen Sicherheit für einen festgelegten Zeitraum in der Zukunft bietet. Leider ist dies eine fehlgeschlagene Strategie für den Cybersicherheitsschutz, da sich Bedrohungen ständig weiterentwickeln und immer raffinierter werden, wenn staatliche Gegner im Spiel sind. Die Geschäftsleitung muss zusammen mit dem Vorstand vierteljährlich die Bedrohungslage eines Unternehmens abzeichnen.

Lektion 2:Chief Information Security Officers (CISOs) müssen Teil des Executive Leadership Teams sein und nicht nur dem Leiter der Informationstechnologie unterstellt sein

Gute CISOs sind darin geschult, über laufende Bedrohungsvektoren und sich entwickelnde Angriffsflächen für Ihr Unternehmen als Ganzes nachzudenken. Dazu gehören unbeabsichtigte Datenverluste aus den Reihen Ihrer Kunden, Risiken für Kunden durch die Verwendung Ihrer Produkte und die Risiken Ihres Unternehmens bei der Bereitstellung von Technologien für den eigenen Gebrauch. Als Ergebnis muss der CISO alle Facetten des Geschäfts berühren und als Linienführer die Reichweite haben, um Veränderungen auf atomarer Ebene zu erfordern. Der CISO muss zur Rechenschaft gezogen werden, um sicherzustellen, dass seine Empfehlungen durch die Reihen gedrungen sind und dass der laufende Schutz und die Risikoexposition zu jedem Zeitpunkt messbar sind. Das klingt belastend und kann politisch sein, aber die Verbindlichkeiten durch Angriffe, die das Unternehmen blind machen und nicht eindämmen können, können verheerend sein – temporär an den Kapitalmärkten und dauerhaft aus Reputationsgesichtspunkten.

Lektion 3:KPIs für CISOs müssen fortlaufenden Schutz und Korrekturen beinhalten

Es scheint eine gängige Praxis zu sein, einen CISO zu entlassen, sobald eine neue Sicherheitsverletzung in einem Netzwerk entdeckt wird, aber diese Denkweise ist ineffektiv und veraltet. Stattdessen ist es das Gespräch über die Verantwortlichkeiten des CISO im Zuge einer Bedrohung, die sich ändern muss. Statten Sie den CISO mit einem Sicherheitsbudget aus, das der Sicherheitslücke des Unternehmens entspricht. Messen Sie ihren Erfolg nicht nur an der Betriebszeit in einem bestimmten Quartal, sondern auch an der Bekanntheit, die im Laufe der Zeit in jeder Fraktion des Unternehmens erzeugt wurde. Fügen Sie dieser Mischung KPIs hinzu, die zeigen, wie das Unternehmen auf eine Bedrohung reagiert, die ihren Ursprung außerhalb Ihres eigenen Unternehmens hat, wie im Fall SolarWinds. Modellieren Sie dieses Verhalten und seine Auswirkungen auf Ihre Kunden, Ihren Ruf und anschließend Ihre Bewertung/den Aktienkurs.

Lektion 4:Ein vertrauenswürdiger Lösungsanbieter/Partner bedeutet keinen sicheren Partner

Der Supply-Chain-Angriff von SolarWinds hat bewiesen, dass Bedrohungen außerhalb der Kontrolle Ihrer eigenen besten Sicherheitspraktiken liegen können. Im Wesentlichen ist kein Partner ein sicherer Partner, egal wie groß das Unternehmen ist und wie seriös seine Sicherheitspraktiken sind. Die Schaffung eines „Air-Gap“-Netzwerks, in dem neue Produkte inkubiert werden, kann das Eindringen von Bedrohungen durch vertrauenswürdige Partnerlösungen verringern.

Lektion fünf:Kompromisse bei der Sicherheit sind der falsche Hebel zur Steigerung der Rentabilität

Woodside Capital (WCP) sieht eine wichtige Bewertungskennzahl für ein Unternehmen in seinem Bewertungswert der Sicherheitslage – einem „Cyber-Grade“. Der Cyber-Grade wird an den Technologie- und Schulungsinvestitionen für die laufende Schutzpolitik des eigenen Vermögens sowie an den Risiken für Kunden und Partner des Unternehmens gemessen. Ein wesentlicher Faktor für diesen Cyber-Grade sind auch die bereits eingeleiteten Sanierungsbemühungen des Unternehmens angesichts früherer Bedrohungen und die Reaktionszeit (gewichtet nach der Schwere der Bedrohung). Je höher die Cybernote, desto höher die Bewertung dieses Unternehmens. Private Equity (PE)-Firmen, die auf Cybersicherheitsunternehmen spezialisiert sind, sollten den Cyber-Graden ihrer Portfoliounternehmen mehr Aufmerksamkeit schenken und sie nicht aus Gründen der kurzfristigen Rentabilität aufgeben. WCP empfiehlt den rund 5000 privaten Cybersicherheitsunternehmen, eine Version ihres Cyber-Grades zu erstellen, die ihr kontinuierliches Engagement für Cybersicherheit und ihr Engagement auf der Ebene ihres Executive-Führungsteams zusammenfasst, um diese Ergebnisse zu erzielen. In Ermangelung eines branchenweiten Standards ist es einfacher, grundlegende Richtlinien zu definieren, die das Führungsteam und der Vorstand präsentieren können, was sie als sicherheitsorientiertes Unternehmen auszeichnet.

Lektion Sechs:Cyber-Versicherungen müssen auf Vorstandsebene genauer betrachtet werden

Die meisten Cyber-Versicherungspolicen bieten Deckung für finanzielle Verluste, die aus einer Datenschutzverletzung oder einem unbefugten Zugriff oder einer Offenlegung persönlicher oder geschützter Informationen resultieren. Einige Versicherungsunternehmen bieten zusätzliche Vermerke oder spezielle Versicherungsbestimmungen und Deckung für Verluste, die durch verschiedene andere Mittel verursacht werden, wie z Ransomware und mehr. Aber ein Supply-Chain-Angriff wie dieser verändert das Spielfeld. Dies kann nicht als göttlicher Akt abgeschrieben werden, da es echte Täter gibt, die einem Unternehmen Schaden zufügen, außerhalb der Kontrolle über handhabbare Werkzeuge, die eine umsichtige Person verwenden könnte. Der CISO muss den Vorstand beauftragen, neue Cyber-Versicherungspolicen vorzuschreiben, die die Gefährdung durch böswillige staatliche Akteure und Angriffe auf die Lieferkette beinhalten. Diese Richtlinien müssen einen größeren Zeitraum abdecken, da sich nachfolgende weit verbreitete Schäden durch diese Bedrohungen über viele Monate und Jahre nach einem Angriff erstrecken können.

Lektion sieben:Kontinuierlicher Reputationsschutz

Trotz aller Bemühungen kann eine Sicherheitsverletzung jederzeit ein Unternehmen treffen und spürbare Auswirkungen auf das Geschäft haben. Die offensichtlichen Fragen hier sind:

Die Antwort liegt in den kontinuierlichen Maßnahmen, die das Führungsteam und der Vorstand ergriffen haben, um zu zeigen, dass Cybersicherheit ein wesentliches Unterscheidungsmerkmal für ihr Unternehmen ist – Sicherheit an erster Stelle, Cyber-Klassen. Dass sie aus ihren eigenen Fehlern und den Fehlern anderer gelernt haben, um die Bedrohungslage des Unternehmens kontinuierlich zu verbessern und Angriffsflächen für sich und seine Kunden zu reduzieren. Dazu gehören ein besserer Cyber-Versicherungsschutz und bessere Sanierungsrichtlinien des Unternehmens für seine Kunden. Hervorzuheben ist, dass das Unternehmen weiterhin investiert und seine Mitarbeiter über Cybersicherheit ausbildet. Im Wesentlichen, wenn sich das Unternehmen Cyber-Assurance geschaffen hat und diese an seine Kunden und Partner weitergeben kann, ist es besser in der Lage, seinen Ruf langfristig zu schützen.

Der WCP-Bericht listet weiterhin eine Reihe von Unternehmen in der Wachstumsphase auf, die die Bausteine ​​einer ganzheitlichen Cyber-Assurance-Strategie anbieten, von Risikomanagement und Bedrohungsabwehr bis hin zu Cyber-Versicherungen. Der Bericht ist hier verfügbar.


Eingebettet

  • Eingebettet
  • Sensor
  • Cloud Computing
  • Internet der Dinge-Technologie
    1. Sicherheit für das IoT:Was kann das industrielle IoT aus dem jüngsten DDoS-Angriff lernen?
    2. Cloud-Sicherheit ist die Zukunft der Cybersicherheit
    3. Virtuelle Bestandsaufnahme und 3D-Druck:das Bedürfnis nach Sicherheit
    4. TDK präsentiert seine Produkthighlights für eingebettete Technologien
    5. Brauche ich wirklich eine Schulung für mein CMMS?
    6. Nachrüstung der Cybersicherheit
    7. Warum Cybersicherheit für den Seelenfrieden der physischen Sicherheit unerlässlich ist
    8. Vorbereitung Ihres Arbeitsplatzes auf Cannabis
    9. 5G und Edge stellen neue Herausforderungen für die Cybersicherheit im Jahr 2021 dar
    10. Top 10 Cybersicherheitsunternehmen für das verarbeitende Gewerbe