{h1}
Artikel

Kritische Infrastrukturen sind anfälliger als je zuvor. Es muss nicht so sein

Einführung

U-Bahn-Autos stecken in einem Tunnel fest. Stromausfälle. Ein gebrochener Damm. Verklemmte Telekommunikation. Diese und andere mögliche Folgen von Sicherheitsverletzungen kritischer Infrastrukturen können bestenfalls nur Unannehmlichkeiten verursachen. im schlimmsten Fall können sie auf schockierende Weise zum Tod oder zur Zerstörung führen. Stromausfälle in der Ukraine in den Jahren 2015 und 2016 sind zwei Beispiele dafür.

In der heutigen hypervernetzten Welt ist eine solche Infrastruktur anfälliger für Cyber-Sicherheitsbedrohungen als je zuvor, sei es von Nationalstaaten mit schlechten Absichten, kriminellen Organisationen oder Einzelpersonen.

Diese neue Sicherheitsanfälligkeit beruht auf grundlegenden Änderungen in der kritischen Infrastruktur von Technologiesystemen von Organisationen. Solche Organisationen - Gesundheitsdienstleister, Versorger, chemische Hersteller, Hersteller, Verteidigungsbehörden, Ersthelfer, Banken, Transportsysteme - haben lange zwei Arten von Technologiesystemen besessen und betrieben.

Ihre Informationstechnologiesysteme führen grundlegende Office-Funktionen aus, wie z. B. E-Mail-, Gehaltsabrechnungs- und Personalsysteme. Ihre betriebstechnischen Systeme (OT-Systeme) steuern physische Geräte und Personal, die für die Erfüllung ihrer Aufgaben unerlässlich sind, z.

In der Vergangenheit bestand OT aus Stand-Alone-Systemen, die wenig bekannte proprietäre Protokolle verwendeten - deren Unkenntlichkeit machte sie sicher. Jetzt laufen OT-Systeme auf den gleichen bekannten Software- und Hardwareplattformen wie IT-Systeme. Diese Systeme werden von Hackern gut verstanden und sind daher deutlich weniger sicher.

Beispiellose Belichtung

Was hat zu dieser Konvergenz von OT mit IT geführt? Die wachsende Nachfrage nach nahtlosem Zugriff auf Informationen - Zugang, der von der Verwendung intelligenter digitaler Technologien, einschließlich Sensoren, Kameras und Wearables, abhängt. Beispielsweise sammelt ein Versorger Online-Daten zu Stromausfällen von intelligenten Zählern, um problematische Standorte schnell zu identifizieren und die Energieversorgung der Kunden wiederherzustellen.

Ein Hausbesitzer stellt den Thermostat an seinem Wohnsitz aus der Ferne ein, um die Temperatur zu senken, während er im Urlaub ist. Ein Arzt sieht den Insulinkonsum von Patienten auf einem Bürocomputer an. Unternehmen überwachen den Status und Standort von Zügen, Bussen und Lastkraftwagen aus der Ferne. der Fluss von Öl und Gas durch Pipelines; oder Wasser- oder Stromverbrauch, um diese Dienste effektiv und effizient zu verwalten.

Während die Technologien in diesen Beispielen unser Leben verbessern und unsere Wirtschaft effizienter machen, können sie uns auch anfälliger machen. Als Kunden von drei ukrainischen Energieversorgern aufgrund eines Cyber-Vorfalls die Stromversorgung verloren haben, konnten diese auf manuelle Vorgänge zurückgreifen, um die Stromversorgung wiederherzustellen. Dies wäre in einigen anderen Ländern nicht möglich, in denen keine manuellen Operationen mehr vorhanden sind.

Als in einem Krankenhaus in Los Angeles ein Ransomware-Angriff stattfand, der die Krankenhaussysteme einsperrte und sie nicht verfügbar machte, verlor das Krankenhaus vorübergehend Informationen über Medikamente, die den Patienten verschrieben wurden. Glücklicherweise starb niemand daran, die falschen Medikamente zu erhalten oder nicht die richtigen Medikamente zu erhalten.

Da die Anzahl der miteinander verbundenen Geräte weiter steigt, steigt auch die Anzahl potenzieller Zugangspunkte für Hacker, die die kritische Infrastruktur unterbrechen. Alle diese Geräte müssen so konzipiert, implementiert und implementiert werden, dass sie weniger anfällig für Angriffe sind.

Kurz gesagt, die Abhängigkeit von der Technologie ist jetzt kritisch und nimmt exponentiell zu. Wenn Angreifer die Systeme angreifen, die diese Technologien verwenden, können Unannehmlichkeiten oder Ärger die geringste Sorge sein.

Die Herausforderungen verstehen

Das hohe Maß an Interkonnektivität und Exposition von heute hat auch kritische Infrastrukturorganisationen vor ernste Herausforderungen gestellt, wie BCG Platinion der US-Präsidentenkommission zur Verbesserung der nationalen Cybersicherheit in einem dem National Institute of Standards and Technology (NIST) vorgelegten Bericht erklärte. Lass uns genauer hinschauen.

Die Notwendigkeit, die zukünftige digitale Infrastruktur zu sichern, während sie sich noch weiterentwickelt

Intelligente Städte, technologiebasierte Medizin und fahrerlose Autos bieten ein wunderbares Versprechen für ein besseres, sichereres und produktiveres Leben für alle. Um jedoch die digitale Infrastruktur aufzubauen, die zur Erfüllung dieses Versprechens erforderlich ist, müssen kritische Infrastrukturunternehmen die zukünftigen Anforderungen dieser Infrastruktur vorhersehen.

Einige der Technologien, die die Infrastruktur unterstützen muss, wurden noch nicht erfunden. Es ist vergleichbar mit dem Bau eines Flugzeugs, ohne zu wissen, wie weit es fliegen muss und wie viele Personen es befördern wird.

Um die Sache noch schwieriger zu machen, bestehen OT-Systeme kritischer Infrastrukturunternehmen aus älteren Technologien, die entwickelt und implementiert wurden, bevor die Cyber-Sicherheit irgendjemandes Radar befürwortet hatte. Da diese Systeme kritisch sind, können sie häufig nicht zur Neugestaltung und Reparatur offline geschaltet werden. Darüber hinaus ist das Ersetzen dieser installierten Basis kostspielig und zeitaufwändig. Es ist schwer vorstellbar, den Strom für ein halbes Jahr in einer Nachbarschaft herunterzufahren, um ein Upgrade durchzuführen.

Defizit im Bereich der Cyber-Sicherheit

Es ist nicht leicht, sicherzustellen, dass intelligente Geräte unter Berücksichtigung der Sicherheit entwickelt, implementiert und gewartet werden. Darüber hinaus erfordert es Fachwissen, das weltweit knapp ist. Das globale Defizit an Cyber ​​Security-Experten ist gut dokumentiert. Noch schwieriger ist es, diejenigen zu finden, die wissen, wie sie sowohl IT- als auch OT-Systeme absichern, die von einer kritischen Infrastruktur benötigt werden.

Obwohl die Technologie, die den beiden Systemtypen zugrunde liegt, nun dieselbe ist, erfordert die Sicherung beider Systemtypen unterschiedliche Prioritäten und unterschiedliche Ansätze. Der Unterschied bei den Prioritäten ist groß: OT-Systeme müssen in erster Linie sicher und verfügbar sein, während IT-Systeme in erster Linie die Vertraulichkeit der von ihnen verarbeiteten und gespeicherten Daten schützen müssen.

Menschen, die ihre Karriere in IT- oder OT-Umgebungen verbringen, werden von diesen sehr unterschiedlichen Prioritäten bestimmt, haben in der Regel unterschiedliche Bildungshintergründe und haben daher sehr unterschiedliche Denkweisen. Menschen zu finden, die sowohl OT- als auch IT-Cyber-Sicherheit üben können, ist keine Kleinigkeit, während Cross-Training schwierig, kostspielig und nicht immer erfolgreich ist.

Ungleichheit der Ressourcen zwischen großen und kleinen Organisationen

Cybersicherheit ist eine komplexe Disziplin, die mehrere Wissensbereiche umfasst. Um es richtig zu machen, ist eine Vielzahl von Fachwissen erforderlich, das sich kleinere Unternehmen nicht leisten können.

Große kritische Infrastrukturunternehmen mit umfangreichen Ressourcen können eigene Experten einstellen und ausgefeilte Cyber-Sicherheitsprogramme einrichten. Kleinere (wie Notfalleinsätze und Wasserversorger) müssen die gleichen Risiken mit deutlich weniger Ressourcen bewältigen.

Vertrauen Sie auf Dritte, um wichtige Funktionen sicher bereitzustellen

Die Gesetze der Wirtschaft zwingen die Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren und den Rest auszulagern. Daher überrascht es nicht, dass Transportunternehmen, Versorgungsunternehmen, Gesundheitsdienstleister, Finanzdienstleister und zahlreiche andere Branchen von zahlreichen Partnern abhängig sind, um von Software und Hardware bis hin zu Rechts- oder Beratungsdienstleistungen zu liefern. Dazu gehören die Hard- und Softwarekomponenten kritischer Infrastrukturen sowie die Vielzahl intelligenter Geräte.

Unternehmen, die fusionieren, sind viel enger als in der Vergangenheit integriert, einschließlich der gegenseitigen Systeme und des Austauschs hochsensibler Informationen. Um die Sache noch komplizierter zu gestalten, haben Lieferanten eigene Lieferanten, Unterlieferanten usw.

Die Lieferkette ist daher zu einem Versorgungsnetzwerk geworden - lang, erweitert, komplex, multidimensional und multinational. Dies bietet eine nahezu unendliche Anzahl zusätzlicher Punkte, die gefährdet werden können. Während traditionelle IT-Hersteller sich seit 20 bis 30 Jahren mit Cyber-Bedrohungen befassen, wurden die Hersteller von intelligenten Geräten und kritischen Infrastruktursystemen erst vor kurzem mit dem Problem vertraut gemacht.

Der zuvor diskutierte Mangel an Cyber ​​Security-Mitarbeitern hat erhebliche Auswirkungen auf die Fähigkeit der Lieferanten, ihre Geräte zu sichern, einschließlich der Sicherung ihrer eigenen Lieferketten. Anbieter, die früher manuell betriebene Hardwaregeräte und jetzt softwaregesteuerte intelligente Geräte herstellen, müssen sich schnell mit Cyber-Sicherheit vertraut machen.

Maßnahmen ergreifen: unsere Empfehlungen an die Präsidialkommission

Die Internetzeit schreitet viel schneller voran als die Zeit der Menschen. Das heißt, Bedrohungsakteure bewegen sich in der Internetzeit, während Menschen über Entscheidungen nachdenken, analysieren und quälen. Organisationen müssen jetzt handeln, um die Herausforderungen der Cyber-Sicherheit zu überwinden, mit denen sie heute konfrontiert sind. Wir haben mehrere Empfehlungen entwickelt, um zu einem effektiven kollektiven Handeln beizutragen.

Ein Beispiel dafür ist die Entwicklung von IT / OT-Cyber-Sicherheitsfachleuten. Bundesweit finanzierte Programme zur Entwicklung von Cyber ​​Security-Arbeitskräften sind zwar ein Schritt in die richtige Richtung, konzentrieren sich jedoch auf allgemeine Cyber ​​Security-Schulungen und nicht auf IT / OT-Umgebungen. Sie gehen daher nicht auf die Bedürfnisse kritischer Infrastrukturunternehmen in Branchen wie Fertigung, Transport und Versorgung ein - oder in deren Zuliefererökosystemen.

Um die Lücke zu schließen, können Organisationen die Schaffung einer breiteren Palette von Bildungsansätzen unterstützen, darunter Hochschulabschlüsse, Lehrlingsausbildungsprogramme und IT / OT-Sicherheitstrainings für bestehende Mitarbeiter.

Organisationsübergreifendes Mentoring und Wissenstransfer ist eine weitere Empfehlung. Organisationen mit weniger Erfahrung im Bereich Cyber ​​Security oder kleinere Cyber ​​Security-Teams können von den Erfahrungen ihrer erfahreneren Kollegen lernen. Größere Organisationen sollten ihre Experten auch dazu ermutigen, sich an Branchenverbänden, öffentlich-privaten Partnerschaften und regionalen Organisationen zu beteiligen, die alle Möglichkeiten bieten, organisationsübergreifendes Mentoring und Wissenstransfer zu formalisieren.

Kleinere Organisationen sollten eine ähnliche Beteiligung fördern. Kurzfristig nehmen sich solche Arbeitsgruppen Zeit für die Tagesarbeit der Menschen. In der heutigen vernetzten Welt werden Organisationen langfristig jedoch von Nutzen sein, da der Wissenstransfer die Sicherheit der Infrastruktur verbessert, die sie verbindet.

Einbindung der Cyber-Sicherheit in die Organisationskultur und -strategie

Zusätzlich zu den oben beschriebenen Empfehlungen müssen kritische Infrastrukturunternehmen Cyber-Sicherheit in ihre Kultur- und Strategieplanung einfließen lassen. Wie bei den Sicherheits- und Qualitätsprogrammen werden diese Bemühungen einen großen, transformativen Wandel erfordern.

Unternehmen können sich nicht nur auf die Einführung von Cyber-Security-Technologielösungen verlassen. Stattdessen müssen sie die richtigen Anreize, Leistungsmanagement, Schulungen, Prozesse, Verfahren und andere Systeme einrichten, um die Denkweise, das Verhalten und die Praktiken zu bestimmen, die für die Cybersicherheit erforderlich sind. Dies beinhaltet die effektive Nutzung vorhandener Technologien und die Durchsetzung neuer Richtlinien. Auf einer detaillierteren, alltäglichen Ebene müssen Führungskräfte mit gutem Beispiel vorangehen und die Denkweisen, Handlungen und Werte demonstrieren, die andere in ihrem Unternehmen nachahmen sollen.

Kurz gesagt, der effektivste Weg, die Widerstandsfähigkeit gegen Cyber-Sicherheit zu erhöhen, besteht darin, die Art und Weise, wie Menschen Technologie einsetzen, zu ändern - nicht durch Hinzufügen von Technologien, um Technologien zu kompensieren, die nicht ordnungsgemäß verwendet werden.

Die meisten Kategorien im Cybersecurity Framework von NIST sind nicht-technisch und unterstützen diese Tatsache. In der Tat empfehlen wir die folgenden Praktiken, die von unserer Zusammenarbeit mit dem MIT, dem Weltwirtschaftsforum und Unternehmen auf der ganzen Welt inspiriert sind, als entscheidend für die Einbindung der Cybersicherheit in die Kultur und strategische Planung einer Organisation:

  • Bevollmächtigen Sie Ihre führenden Cyber-Security-Verantwortlichen, indem Sie ihnen Autorität, Budget und regelmäßigen Zugriff auf den Verwaltungsrat Ihrer Organisation gewähren.
  • Erwerben Sie geeignete Expertenunterstützung - intern und extern.
  • Definieren Sie Ihre Cyber-Risikotoleranz konsistent mit Ihrer Geschäftsstrategie und Risikobereitschaft.
  • Unterstützen Sie Investitionen in die Cybersicherheit, um die Auswirkungen auf Ihr Unternehmen zu maximieren
  • Fordern Sie Berichte an, die erreichbare Informationen enthalten, die eine effektive und priorisierte Entscheidungsfindung unterstützen.
  • Klare Kommunikation und Verantwortlichkeit schaffen, um die Zusammenarbeit im gesamten Unternehmen zu fördern.
  • Unterstützung der Zusammenarbeit im Bereich Cybersicherheit und des Informationsaustauschs mit Dritten, einschließlich Kunden, Lieferanten, Geschäftspartnern und Wettbewerbern.

Am Ende sind Organisationen, die Cyber-Sicherheit in ihre Kultur und strategische Planung integrieren, am widerstandsfähigsten. Jeder im Unternehmen wird verstehen, was Cyber ​​Security bedeutet. warum es für ihre Organisation, die Gesellschaft insgesamt, ihre Arbeitsplätze und ihre Familien wichtig ist; und wie sie in ihrem Arbeitsalltag und bei ihren Interaktionen zur Sicherung der gesamten kritischen Infrastruktur der Nation beitragen können. Harte Arbeit? Höchstwahrscheinlich. Aber keine kritische Infrastrukturorganisation kann es sich leisten, sie zu scheuen.


Geschrieben von:

  • Nadya Bartol, stellvertretende Leiterin der Cybersecurity-Praxis von BCG Platinion
  • Michael Coden, Leiter der Cybersecurity-Praxis, BCG Platinion

Die Ansichten, die in diesem Artikel zum Ausdruck gebracht werden, beziehen sich ausschließlich auf den Autor und nicht auf das World Economic Forum.

- Zukunft der Bauarbeiten 14:33, 20 Jun 2017 (BST)

Empfohlen

BRE Trust Review 2014

Gesundheit und Produktivität in nachhaltigen Gebäuden

ICE Grenfell Tower Bewertung