Solarwinds und Kaseya haben der Welt gezeigt, wie gefährlich Angriffe auf die Lieferkette werden können – wenn ein Akteur in der Lieferkette kompromittiert wird, können die Auswirkungen für Hunderte von nachgelagerten Organisationen verheerend sein.
PrivSec Third-Party Risk wird die anhaltende Bedrohung durch Angriffe auf die Lieferkette untersuchen und umsetzbare Ratschläge zur Reduzierung Ihres Risikos geben.
Transkription
Robert Bateman:
(Singen)
Hallo, willkommen zurück bei PrivSec Focus Third-Party Risk. Wir hatten bisher einen großartigen Tag, als wir uns mit Due Diligence und dem Lieferantenrisikomanagement befassten, und jetzt sind wir bei einigen Themen der Lieferkette. In unserer nächsten Sitzung geht es um Best Practices zur Verhinderung von Supply-Chain-Angriffen. Ich möchte unseren Sponsoren ein kurzes Dankeschön aussprechen, bevor ich das Wort an unseren Moderator für diese Sitzung übergebe. Das sind ProcessUnity und Servicenow, und unsere Moderatorin für diese Sitzung ist Cat Coode, Datenschutzberaterin und Teildatenschutzbeauftragte bei Binary Tattoo. Ich übergebe jetzt für diese Sitzung an Cat.
Cat Coode:
Vielen Dank, Robert. Hallo zusammen. Guten Morgen. Guten Tag, wo auch immer Sie sind. Heute sprechen wir über das, was wir am meisten zu entschärfen versuchen, nämlich Angriffe. Wir suchen also nach Best Practices, wie wir uns auf Angriffe vorbereiten können, was zu tun ist, wenn wir uns in einem Angriff befinden, und natürlich, was zu tun ist, wenn und wann es tatsächlich passiert. Wir haben heute ein erstaunliches Panel. Also lasse ich jeden von ihnen sich vorstellen. Beginnen wir mit Vincent D’Angelo. Warum erzählst du uns nicht von dir?
Vincent D’Angelo:
Danke, Katze. Guten Morgen, guten Nachmittag, guten Abend an alle. Ich bin also Vincent D’Angelo, wie Cat sagte, mit CSC Digital Brand Services. Ich leite Allianzen, Partnerschaften und Unternehmensstrategien. Seit 22 Jahren in der Domainverwaltungs- und Markenschutzbranche tätig. Ich bin auch in der Metropolregion New York ansässig. Als ich gebeten wurde, an diesem Panel teilzunehmen, lag mein Fokus mehr auf der Domänensicherheit, d. h. der Sicherheit in Bezug darauf, wie wir unsere eigenen zentralen digitalen Assets auch vor Phishing-Angriffen schützen können wie Ihre Marken durch Domain-Spoofing kompromittiert und angegriffen werden könnten. Also danke für die Gelegenheit und danke auch dem Publikum, dass es dabei war.
Cat Coode:
Vielen Dank. Unser nächster Diskussionsteilnehmer ist Marco Tulio.
Marco Túllo Moraes:
Hallo zusammen. Es ist mir also eine Freude, hier zu sein. Also mein Name ist Marco Tulio. Ich komme aus Brasilien, ich bin der CSO eines Unternehmens, eines gerechten Unternehmens in Brasilien namens OITI. Wir sind ID-Tech, die mit Onboard-Kunden zu B2B arbeiten, um Art von Geschäft zu sehen. Und ich bin verantwortlich für das Informationssicherheitsprogramm und dafür, wie wir die Organisation, die verschiedenen Geschäfte, die wir haben, und auch unsere Kunden schützen.
Cat Coode:
Fantastisch. Unsere nächste, unsere nächste Katalysatorin ist Patricia Punder.
Patricia Punder:
Hallo, mein Name ist Patricia Punder. Ich bin der Inhaber der Anwaltskanzlei Punder. Ich arbeite seit mehr als 14 Jahren im Compliance-Bereich und bei der Datenschutz-ESG und anderen Schritten in Bezug auf DOJ, CGU und BI intrapol usw. Und es ist mir eine Freude, mit meinen Kollegen hier zu sein und zu versuchen, einige Updates oder Tipps zu Best Practices in Bezug auf Lieferketten- und Cyberangriffe zu geben. Vielen Dank.
Cat Coode:
Vielen Dank. Und last but not least haben wir Anu Kukar.
Anu Kukar:
Hallo allerseits. Vielen Dank, dass Sie uns heute hier haben. Ich komme aus Australien, Sydney, Australien, um zu leben, und bin sehr leidenschaftlich daran interessiert, Vielfalt in Technologie und Cyber zu bringen. Ich bin ich selbst, ein Wirtschaftsprüfer, der den Beruf gewechselt und sich der Cybersicherheit angeschlossen hat. Und was ich heute in dieser Podiumsdiskussion herausstellen werde, ist die wirkliche Verhinderung von Lieferketten, ich habe es aus der Beratungsperspektive gesehen und ich habe es auch aus der Industrie gesehen. Mein Hintergrund umfasst also 20 Jahre, davon 10 Jahre in der Beratung und 10 Jahre in der Industrie. Und ich möchte die Best Practices teilen, die verschiedene Bereiche rund um Governance, Risiko-Compliance, Cybersicherheit und Daten abdecken.
Cat Coode:
Fantastisch. Und ich glaube, ich wusste, dass Sie es dort wirklich angesprochen haben. Ein Angriff auf die Lieferkette kann an vielen Stellen viel bedeuten, und es gibt viel zu beachten. Wir verfügen also über eine erstaunliche Breite an Fachwissen, wie Sie auf diesem Panel sehen können. Zu Beginn möchte ich wirklich, dass jeder von Ihnen in seiner Welt aus seiner eigenen Perspektive erklärt, was es bedeutet, einen Angriff auf die Lieferkette zu haben. Kommen wir also auf Vincent zurück. Was bedeutet das für Sie?
Vincent D’Angelo:
Aus meiner Sicht beinhaltet das Rezept also immer das Vertrauen in eine Marke oder eine Plattform und eine gezielte Gruppe von Unternehmen, die auf irgendeine Weise miteinander verbunden sind. Also aus meiner Sicht eines der größten globalen systemischen Risiken, also diejenigen, die mit dem Domain- und DNS-Ökosystem verbunden sind, sie werden oft nicht diskutiert. Wenn Sie jedoch an einige der einzelnen Fehlerquellen bei Cloud-Anbietern und Domain-Registraren denken, könnten im Wesentlichen legitime Domainnamen zur Waffe werden, wenn diese Anbieter verletzt werden, und es ist passiert, dass Technologien wie Blockchain und Krypto-Wallets von diesen Registraren abhängig waren Verstöße und sie haben weitreichende Auswirkungen.
Die andere Perspektive aus meiner Sicht betrifft Domainnamen oder Domain-Spoofing, mit denen nicht nur das Unternehmen selbst angegriffen wird, sondern auch seine Partner, seine Lieferketten und offensichtlich, wie wir es auch bei COVID-Verbrauchern gesehen haben. Das ist sozusagen mein Objektiv. Wenn wir über Angriffe auf die Lieferkette sprechen.
Anu Kukar:
Cat, du bist stumm.
Cat Coode:
Natürlich, weil eine Person irgendwann. Ja, das ist wunderbar, weil viele Leute Domänenangriffe nicht in Betracht ziehen, oder? Viele Leute suchen nach anderen Angriffsmethoden. Es ist also ein wirklich guter Vektor, den man sich ansehen sollte. Marco, und du? Woran denken Sie, wenn Sie Supply-Chain-Angriff sagen, was denken Sie?
Marco Túllo Moraes:
Ja, es ist interessant zu verstehen, was eine Domäne ist, denken Sie darüber nach. Sie haben alle Unternehmen, alle Ideen des Ökosystems, die geschaffen werden. Und am Ende des Tages bringen Sie einige andere Unternehmen in Ihr Geschäft. Wir sprechen also über Unternehmen, die einen Prozess unterstützen, eine Technologie, die sich in Ihrem Unternehmen befindet und möglicherweise direkt mit dem Hauptgeschäftsbereich verbunden ist oder nicht, oder eine unterstützende Aktivität, aber sie befinden sich in Ihrer Umgebung oder sind mit Ihrer Umgebung verbunden oder greifen auf Ihre Umgebung zu Daten und diesen Unternehmen können sie als Vektor verwendet werden, um die Grenze zu Ihrer Umgebung zu überschreiten. Das ist eines der wichtigsten Dinge, die ich denke.
Das andere ist natürlich der Fall von SolarWinds, bei dem wir ein Produkt, ein externes Produkt oder eine externe Lösung für Ihre Umgebung verwenden. Und das ist eines der wichtigsten Dinge, die vielleicht die Energie-, Versorgungs- und kritische Infrastrukturbranche für längere Zeit in Betracht gezogen haben [unverständlich 00:08:21], die Startups und Scale-Apps und G-Unternehmen.
Wir haben also diese Sorge um den Schutz ihrer Umwelt, weil Sie etwas in Ihr Umspannwerk oder Ihre Kraftwerke einbauen, und das wäre eine große Sorge. Im Moment ist die SolarWinds-Flagge eingeschaltet, was sollten wir uns Sorgen darüber machen, wie wir diese Umgebungen vor dieser Lieferkette schützen können, die sich in Ihrem Unternehmen befindet, dass Sie ihnen vertraut haben und nicht glauben, dass sie irgendwie angegriffen wurden und dann [unverständlich 00:09:00] etwas zu deiner Umgebung. Das sind die beiden wichtigsten Ideen, die ich zu Lieferketten- und Cybersicherheitsangriffen habe.
Anu Kukar:
Du bist wieder stumm.
Cat Coode:
Ich lasse es jetzt einfach weg. Anu, was ist mit dir? Was ist Ihre Perspektive? Was bedeutet Supply-Chain-Angriff für Sie?
Anu Kukar:
Ja. Toll. Vielen Dank. Ich denke, ich werde ein etwas anderes Objektiv nehmen, wenn wir … Ich denke, es gibt zwei Aspekte, aber was ich tun werde, ist, ich werde ein echtes Beispiel durchgehen. Hoffentlich werden wir alle, da wir aus der COVID-Reise herauskommen, wieder aufgenommen. Und wenn wir ans Reisen denken, wenn wir reisen würden, würden wir von zu Hause aus reisen, es zum Flughafen schaffen, Schritt eins. Ob wir mit dem Zug, Bus, Uber, Metro usw. gekommen sind, wir kommen zum Flughafen. Wir führen Taschenkontrollen durch. Wir würden eine Sicherheitsüberprüfung durchführen. Wir würden wahrscheinlich etwas trinken oder etwas essen oder vielleicht am Flughafen einkaufen gehen. Ich würde dann an den entsprechenden Gates in unseren spezifischen Flug einsteigen. Wir würden dorthin fliegen, wo wir hin müssen. Sicherheitskontrolle beim Aussteigen, Passkontrolle und so weiter, Gepäck abholen und weiterreisen. Standardfliegen.
Und wenn ich mir diese Art von mehreren Schritten ansehe, wenn es einen Cyberangriff gab, sagen wir mal auf die Organisation, die all die Gepäckkontrollen durchführt, wie all die anderen, dann sind die Einzelhändler am Flughafen eine Organisation, mehrere Organisationen. Die Sicherheitsüberprüfung erfolgt in der Regel durch ein anderes Unternehmen. Das Catering der Speisen im Flugzeug erfolgt durch ein anderes Unternehmen. Wo wir unser Gepäck abholen und aufgeben, ist ein anderes Unternehmen. Sie schauen sich dann sogar die Wartung und Reinigung einer anderen Firma an. In unserem gesamten Reiseprozess gibt es also viele Organisationen, die zusammenkommen, um ein großartiges Flugerlebnis für uns zu schaffen.
Und so denke ich über Lieferkettenangriffe nach und stelle mir diesen ganzen Prozess vor, einen Flug zu nehmen. Was wäre, wenn jemand einen Angriff auf das Unternehmen verübt hätte, das unsere Taschen kontrolliert? Nun, es wird sich nicht nur auf Ihren Flug auswirken. Es wird Auswirkungen haben, nicht nur auf die Fluggesellschaft, mit der Sie fliegen. Es wird höchstwahrscheinlich Auswirkungen auf die Fluggesellschaften dieses gesamten Flughafens haben. Und hier kommen für mich die beiden Aspekte eines Supply-Chain-Angriffs ins Spiel. Bei einem Cyber-Angriff wirkt man sich auf das gesamte Ökosystem aus. Und der größte Unterschied ist, und ich gehe zurück zu Tech-Tagen, es ist nicht eins zu eins, es ist eins zu vielen. Durch den Angriff auf diese Taschenkontrollorganisation haben Sie also einen Angriff durchgeführt, aber Sie haben viele Organisationen beeinflusst und viel gestört. Das ist mein reales Beispiel für Lieferkettenangriffe.
Cat Coode:
Exzellent. Das ist großartig. Und Patricia, schön, dass du zurück bist. Also schauen wir uns an, was bedeutet ein Angriff auf die Lieferkette für Sie? Wenn jemand sagt, dass es in Ihrer Welt einen Angriff auf die Lieferkette aufgrund Ihres Fachwissens gibt, was bedeutet das?
Patricia Punder:
Nun, was ich Ihnen dazu sagen kann, es ist so, als würde sich das Verbrechen weiterentwickeln. In der Vergangenheit gab es diese Westernfilme, neue, in denen Sie zwei Typen haben und sie drehen sich gegenseitig. Nun, wenn diese Entwicklung des Verbrechens, viele Hacker, sie entscheiden, okay, Sie haben einen neuen Weg, um an Geld zu kommen. Suchen wir nach den Schwachstellen der Unternehmen für Geld. Und das können sie sehr gut. Junge Leute, sie tun dies und sie verwenden das Kryptageld oder Unternehmen, die nicht viel Geld in ein privates Datenprogramm investieren. Investieren Sie kein Geld in Tests bezüglich der Schwachstellen der Systeme.
Das ist eine neue Form der Kriminalität, sehr ausgeklügelt, aber Sie können es in Ihrem Zuhause tun, in Ihrem Zuhause, in Ihrem Zimmer, Sie, die 70 Jahre alt oder 21 Jahre alt sein können, und Sie haben eine Gruppe von Kindern und sie entscheiden, Okay, machen wir es. Und sie können es tun, weil sie das Wissen haben und wissen, wie sie die Durchsetzung vermeiden können, weil sie wissen, wie man Technologie einsetzt und Technologie auf eine Weise versteht, die wir nicht haben. Für sie ist es sehr einfach, nach dem iPad zu suchen und zu sagen: Hey, es gibt keine Anleitung. Bei meinem ersten iPad hatte ich große Angst. Ich war auf der Suche nach Zerstörung, dem Führer. Es gibt keine Anleitung. Für sie ist es dasselbe mit der Technologie.
So ist ein neuer Weg, an Geld zu kommen, ein sanftes Verbrechen. Und ich glaube, Sie werden in Zukunft immer mehr sehen, weil es für diesen sehr Experten sehr einfach ist. Sagen wir so, sie brauchen keine Universität. Sie müssen sich nur mit Technologie auskennen und sie wissen viel, um in ein Unternehmen einzusteigen und alles zu stoppen und zu sagen: „Okay, Sie wollen Ihre Daten zurück, geben Sie mir Geld.“ Und sie tun dies auf der ganzen Welt.
Es geht also darum, dass die Vollzugsbeamten diese jungen Leute vielleicht einstellen müssen, um ihnen beizubringen, wie sie diese Verbrechen verhindern können, um mit ihnen zu lernen. Denn ohne das wird es nur eine Frage des Bezahlens sein, ich will meine Daten zurück, gib mir das Geld und ich gebe das Geld, schaffe Geld. So kann ich verfolgen. Dem Geld zu folgen gilt hier also nicht. Also mussten wir diese Typen einsetzen. Ich sage, haben Sie die rechte Seite der Macht, die guten Hacker, um uns beizubringen, wie wir dies verhindern können.
Cat Coode:
Ich bin vollkommen einverstanden. Und ich denke, wir haben hier viele wirklich großartige Punkte berührt. Marco, du hattest kritische Infrastruktur gesagt. Und wir wissen, wir wissen, dass diese Ransomware dort steckt … Ransomware ist extrem lukrativ, wie Patricia gesagt hat. Dafür braucht man keinen Hochschulabschluss. Sie brauchen nur ein wenig Geschick und etwas Zeit, um dies zu verstehen. Sie können Programme herunterladen, die Ransomware online ausführen.
Ich denke also, der eigentliche Vorteil für Unternehmen besteht darin, zu verstehen, wie weit verbreitet und einfach es für Angreifer ist, Ransomware zu verstehen, und wie ein neuer Leiter betonte, dass jedes System jetzt miteinander verbunden ist. Sie bringen Ihre Lieferkette herein, Sie bringen Ihre Drittpartei herein und sie lassen die Tür zur Rückseite Ihres gesicherten Gebäudes offen. Alle sind drin, und sie alle richten Schaden an. Also müssen wir uns dieser kritischen Infrastruktur wirklich sehr bewusst sein. Wir sehen Krankenhäuser, wir sehen Versorgungsunternehmen, sie sind die Hauptziele dieser Angriffe. Also müssen wir sehr, sehr darauf achten. Wir haben also noch einmal über SolarWinds gesprochen, das natürlich auftauchte, weil es ein gutes Beispiel für einen großen, groß angelegten Angriff auf die Lieferkette ist. Warum glauben wir, dass diese mehr passieren? Und was ist unserer Meinung nach die Wurzel zwischen Supply-Chain-Angriffen? Anu, was denkst du?
Anu Kukar:
Ja, ich denke, um auf mein Flugflughafen-Beispiel zurückzukommen, ich denke, der Grund, warum wir mehr Angriffe auf die Lieferkette sehen, ist, dass dieser Aufwand und diese Energie oder die Fähigkeit, in eine einzubrechen, anstatt nur eine Organorganisation zu beeinträchtigen Indem sie eine Organisation mit Ransomware infizieren oder in der Lage sind, Daten oder Geld über Lieferketten zu extrahieren, sind die Kriminellen in der Lage, den Effekt zu maximieren und zu verstärken. Sie können tatsächlich auf ein Unternehmen abzielen und mehrere Auswirkungen haben und, denke ich, mehrere Organisationen lahmlegen.
Ich denke also, Nummer eins, die maximal verstärkte Wirkung. Ich denke auch, dass die Art und Weise, wie die Welt jetzt miteinander verbunden ist, und die Art und Weise, wie Softwareverteilung, Produktentwicklung und die Art und Weise, wie wir unsere Geschäftsmethoden verändert haben, uns dieser Art von Bedrohung wahrscheinlich wirklich aussetzen. Es ist also so, als ob wir neue Technologien annehmen, etwas anderes ausprobieren, neue Risiken auftreten. Wir haben unser Geschäftsmodell weltweit geändert. Wir sehen also eine neue Art von Risiken und müssen sie jetzt managen. Das wären meine beiden, aber ich bin wirklich gespannt, was der Rest meiner Diskussionsteilnehmer darüber denkt.
Vincent D’Angelo:
Gerne kommentiere ich auch Ihre Art von Analogie, am Flughafen zu sein und zu reisen. Eine Technologie, die sich nicht stark weiterentwickelt hat, ist E-Mail und Phishing, wie wir alle wissen, ist die bevorzugte Angriffsmethode, so alt es auch klingt, es ist effektiv. Und ich denke, wenn Sie die Vertrauenswürdigkeit einer Marke kombinieren, insbesondere mit Domänennamen, die als legitim gelten, oder mit einem Domänennamen, der eine Marke enthält, dann sprechen Sie über die Lieferkette und weitreichende Angriffe, und die Auswirkungen könnten wirklich faszinierend sein . Und ich denke, es liegt auch am mangelnden Bewusstsein.
Ich denke, wenn Sie sogar für einige der CISOs im Publikum oder die Chief Compliance Officer sprechen, wenn Sie eine Frage stellen, wer ist Ihr Domänennamen-Registrar? Wer verwaltet im Wesentlichen die Schlüssel zum Königreich? Das ist es wirklich, denn ich denke oft, wenn jemand in der Lage ist, Ihren legitimen Domainnamen zu nehmen, sagen wir streamyard.com, und dann betrügerische Subdomains links von streamyard zu erstellen. Also login.streamyard.com. Stellen Sie sich vor, welche Auswirkungen das hat. Alle Sicherheitsanwendungen glauben also, dass streamyard.com ein legitimer Domänenname ist. Durch die Social-Engineering-Taktik sind sie jedoch in der Lage, das Unternehmen dazu zu bringen, zu glauben, dass es sich um eine legitime Domain handelt. Und hier beginnen die kaskadierenden Angriffe.
Wir wissen auch mit Spoofing, dass wir bei CSC einige Nachforschungen angestellt haben, die sich mit der Anzahl gefälschter Domains befasst haben, die mit den vertrauenswürdigen Marken in Verbindung gebracht werden, und alle unsere Studien deuten darauf hin, dass sieben von zehn Domainnamen heute im Internet sind sind gefälscht. Offensichtlich haben Sie Durchschnittswerte, bei denen bekannte Marken, die ihre Marken sehr aggressiv schützen, eine Abdeckung von 50 % haben können. Die weniger entwickelten Marken, insbesondere in den EPAC-Märkten, die gerade erst entstehen, sind jedoch zu über 95 % im Besitz von Fälschungen, von Dritten. Im Grunde ermöglicht dies diesen Drittanbietern, diese sehr kostengünstige Technologie für E-Mail-Domänenregistrierungen zu nutzen, um weitreichende Angriffe und Auswirkungen auf die Organisation zu haben. Das ist also meine Perspektive. Und warum passiert es? Die Leute haben die Domänensicherheit wirklich nicht als oberstes Ziel, um das sie sich kümmern sollten.
Patricia Punder:
Und wenn Sie mir erlauben [Fremdsprache 00:20:51] Entschuldigung, ich habe jetzt Italienisch gesprochen. Der Kern eines Unternehmens ist heute eine Supply-Chain-Abteilung, da sie den Preis des Produkts erhöhen oder erhöhen kann. Inflation gibt es in fast allen Ländern der Welt. Die Lieferkette ist also jetzt ein sehr sensibler Bereich. Sie müssen die Ersatzteile kaufen, die Produkte, um etwas herzustellen, um es für die Verbraucher zu verkaufen. Das ist also der Grund, warum die Hacker diese Abteilung gerne angreifen, weil sie wissen, dass diese Abteilung, Sie, die Abteilung sind, die dafür verantwortlich ist, das Geld für das Unternehmen zu sparen. Sie versuchen, mit den Lieferanten zu verhandeln, um den Preis für am Ende des Produktionsverkaufs etwas zu senken, der Preis wäre gleich oder niedriger. Und die Einnahmen, es wäre großartig für das Unternehmen.
Die Lieferkette stand also unter großem Stress, da Sie mit Ihrem Lieferanten verhandeln mussten. Wenn Sie die Lieferkettenabteilung stoppen, stoppen wir das Unternehmen, stoppen die Herstellung, stoppen den Verkauf. Die Hacker gehen also sehr schlau damit um. Sie wollen Ihre Finanzabteilung, Ihre Compliance-Abteilung oder die Personalabteilung nicht aufhalten. Sie wollen Ihr Unternehmen stoppen und wie stoppen Sie Ihr Unternehmen? Stoppen Sie Ihre Produktion und wie stoppen Sie Ihre Produktion? Stoppen Sie die Abteilung, die für die Beschaffung von Dingen verantwortlich ist, um etwas herzustellen. Das ist also der Grund, warum die Hacker zunehmen und nach dieser Abteilung suchen.
Und ich stimme zu, sie sind sehr schlau. Und es geht nicht nur um die Domain. Es geht um den IT-Service. Normalerweise haben große Unternehmen eine IT-Abteilung, aber einige Unternehmen sagen, nein, ich möchte keine interne haben. Also fragen sie nach einem Externen und wollen einen guten Preis für die Dienstleistung bezahlen. Das Sicherheitsniveau ist also nicht so gut und sie haben kein gutes Datenschutzprogramm. Sie haben nicht die richtigen Richtlinien, wie das Geschäft in einer Krise fortgesetzt werden soll, sie haben keinen Krisenausschuss, der eine Invasion bewacht, zum Beispiel, was zu tun ist. Stoppen Sie alles, stoppen Sie alle Computer. Wie kontaktieren Sie Ihre Kunden, Ihre Lieferanten usw.
Es geht also eher darum, in ein Datenschutzprogramm zu investieren und auch in einen Service bezüglich Schwachstellen zu investieren. Sie stellen ein. Ich habe einen Freund, er hat eine Firma und er wurde für das wichtigste Private Banking eingestellt [Brasilien 00:24:02], um in ihre Standorte einzudringen, Hintertüren zu entdecken, die Schwachstellen zu entdecken. Und ist eine Vereinbarung. Und das macht er jeden Monat in mehreren Banken und jedes Mal kann er etwas entdecken.
Cat Coode:
Ich denke, das ist ein großartiger Punkt, Patricia. Ja. Danke. Ich denke, wir alle haben dieses Problem aus Sicht der Cybersicherheit, dass wir eine Kostenstelle sind. Niemand will Geld in Sicherheit und Privatsphäre stecken, alle wollen Geld in Profit stecken. Marco, als CSO bist du sowohl für technische als auch für organisatorische Sicherheitsvorkehrungen verantwortlich. Jetzt wissen wir, dass Remote-Arbeit nicht mehr wegzudenken ist. Wir müssen also alle möglichen neuen Endpunkte verwalten. Ein Teil unserer Millionen-Dollar-Frage, wie wir diese Angriffe verhindern, aber wo ist ein CSO, fangen Sie an, einige dieser organisatorischen technischen Sicherheitsvorkehrungen hinzuzufügen, um die Angriffe zu verhindern?
Marco Túllo Moraes:
Ja. Ja. Toller Punkt. Ich denke, das erste, was es ist, das Risiko des Appetits zu verstehen. Wir haben viele Innovationen in neuen Unternehmen gesehen, neue Startups und Unternehmen müssen sich selbst verhindern, hauptsächlich die großen Organisationen, die Konzerne, und sie suchen nach Lösungen. Und wenn Sie das in Ihr Unternehmen einbauen, ist das die Hauptsache. Was ist also die Risikotoleranz und die Risikobereitschaft über diesem Verständnis? Das müssen wir also erstmal suchen. Was sollten Sie tun, nachdem Sie diesen Standpunkt verstanden haben? Das ist Ihre Frage. Wir haben also viele verschiedene Lösungen und Tools, Netzwerksegmentierung, Mikrosegmentierung. Wir können uns alle vorhandenen Technologiekontrollen ansehen, um als Denkweise zu verstehen, dass das Einbringen eines Unternehmens oder einiger Produkte in Ihre Umgebung und wenn es Zugriff auf kritische Vorgänge oder kritische Daten hat, Sie verstehen sollten, dass dies ein Vektor für potenzielle Probleme sein könnte und sollte die Kontrollen handhaben, sollte verhindern und damit umgehen.
Ich denke, der einzige Punkt, an dem wir versagen, betrifft nicht nur [unverständlich 00:26:16] und die Risikobewertung oder das Risikomanagement von Drittanbietern, sondern auch, sie unter Ihren Schirm zu rufen. Vielleicht setzen Sie ein Unternehmen ein, das kleiner ist als Ihres, und es hat nicht die gleichen Fähigkeiten wie Ihr Unternehmen. Wie können Sie also Ihre Ressourcen nutzen, um ihnen beim Schutz Ihrer Daten zu helfen? Vielleicht setzen und führen einige Technologien, einige Beratungsleistungen Ihres Teams einige Risikobewertungen für [unverständlich 00:26:54] Aufgaben durch und helfen ihnen dabei, besser geschützt zu sein, nicht nur, um sie zu drängen und zu sagen, Sie diese Sprache im Vertrag nicht erfüllen, aber Sie müssen besser geschützt werden, weil wir möchten, dass Sie zusammenarbeiten möchten. Also hast du die Latte getroffen. Deshalb legen wir die Messlatte für den Schutz unserer Organisation höher.
Ich denke also, dass die Suche nach diesen Standpunkten nicht nur auf unserer Seite liegt, sondern wir sprechen über alle. Es ist also unser Ökosystem. Das Ökosystem für Ihr Unternehmen, wie können wir uns wirklich darum kümmern und es schützen, und in der Folge wird Ihr Unternehmen geschützt.
Cat Coode:
Das sind tolle Punkte. Anu, was ist mit dir? Was denken Sie, was tun wir, um diese Angriffe abzuschwächen?
Anu Kukar:
Schauen Sie, ich denke, dass ich aus meiner Tätigkeit in der Industrie und in Organisationen, als dies in unserem Ökosystem passiert ist, eine der Lehren gezogen habe. Und als ich dann in die Beratung, Beratung und Unterstützung von Unternehmen gewechselt bin, denke ich, dass es wirklich darauf ankommt, dass die Reise- und Flughafenbranche von dieser Denkweise geprägt ist. Nachdem sie viel mit Reisen und Transport gearbeitet haben, ist die Denkweise, die sie haben, dass wir nur so sicher sind wie unser schwächstes Glied. Ich denke, es gibt eine grundlegende Sache, die ich in Organisationen gesehen habe, die dies wirklich richtig machen. Es gibt eine Denkweise in der gesamten Organisation.
Und gleichzeitig haben sie sich wirklich angesehen, wie Sicherheit Teil des Lebenszyklus einer Lieferkette ist. Sie nehmen also einen neuen Drittanbieter, eine Lieferkette, an Bord, verwalten und überwachen sie im laufenden Betrieb und stellen sicher, dass Sie über ordnungsgemäße Prozesse und Regeln verfügen, wenn Sie einen Drittanbieter verlassen. Also dieser Lebenszyklus für eine Lieferkette, Drittanbieter, wie wird die Sicherheit bewertet, bevor Sie jemanden einstellen? Wie können Sie sie rund um die Uhr verwalten und überwachen? Und ganz wichtig, wenn Sie sich für einen Ausstieg entscheiden oder die Verträge auslaufen, wie schützen Sie Ihre Daten? Was ist die Sicherheit? Wie kann ich sicherstellen, dass die Tür immer noch nicht geöffnet ist? Sie geben Airbnb nicht für jede Person die Schlüssel zu Ihrer Wohnung und es bleibt gleich und sie können nur Duplikate haben. Sie nehmen es zurück und stellen sicher, dass sie keine Kopie haben, und Sie ändern häufig Ihr Schloss.
Wenn ich so darüber nachdenke, denke ich, dass ich wirklich jedem sagen würde, der an diesem Webinar zuhört, ist, darüber nachzudenken, was die Denkweise von oben nach unten ist. Und zweitens, wie stellen Sie sicher, dass die Sicherheit in jeder Phase des Lebenszyklus bewertet wird?
Cat Coode:
Das ist ein fantastischer Rat. Und Patricia, ich weiß, dass Sie Richtlinien angesprochen haben, also haben wir ein grundlegendes Problem und ich rufe niemanden an, aber ich kenne viele Kunden, die eine Reihe von Richtlinien herunterladen und sie dann auf einen Ordner kleben und nachsehen, Wir haben alle relevanten Richtlinien, aber niemand passt sie wirklich an, sozialisiert sie für ihr Unternehmen. Um Angriffe auf die Lieferkette zu verhindern, brauchen wir also sicherlich eine Richtlinie zur Reaktion auf Vorfälle. Wir brauchen einen Incident Response Plan. Was könnten Unternehmen im Rahmen dieses Incident-Response-Plans in Bezug auf die Lieferkette nicht berücksichtigen?
Patricia Punder:
Nun, mein erster Rat an alle Unternehmen in Bezug auf diese Art von Cyberangriffen: Sie werden das Haus sauber machen. Schauen Sie sich zuerst Ihr Haus an. Suchen Sie später nach [unverständlich 00:30:36], da Sie manchmal viele Richtlinien haben. Sie haben ein Datenschutzprogramm, Sie haben einen Datenschutzbeauftragten und Sie haben viel Training, aber die Art und Weise, wie Sie kommunizieren, ist sehr technisch und die Menschen hängen von ihrer Position ab. Sie verstehen es nicht. Der Top-Manager, die C-Ebene, musste verstehen, dass die Daten jetzt Gold wert sind. Das mussten sie verstehen. Sie mussten dies in ihre DNA aufnehmen. Andernfalls unterstützen sie das private Datenprogramm nicht, und die Richtlinie kann alles schreiben, was sie will. Aber wenn Sie nicht kommunizieren, wenn Sie keine Kampagnen zum Thema Datenschutz starten, klicken Sie bitte nicht auf einen Link, den Sie nicht kennen … Sie wissen schon, sehr kurze Anleitungen. Klicken Sie nicht auf eine E-Mail, die Sie nicht als Frau kennen. Die kommt vielleicht von Apple, ist aber nicht von Apple, kommt von einer schönen Marke oder ist eine Werbung für Resorts. Du brauchst es. Nicht nur, um eine Politik zu entwickeln und ein Bewusstsein dafür zu schaffen, man musste auch echte Beispiele aus dem Leben geben.
Eines Tages hielt ich eine Vorlesung für das C-Niveau. Und ich frage alle: „Haben Sie Kinder in der Schule? Ja, habe ich. Können Sie über Ihr Mobiltelefon auf sie zugreifen und sie lebend sehen? Ja, wir können sehen. Ich kann meinen Sohn jetzt sehen. Er ist im Kindergarten. Er ist glücklich.” Dann frage ich sie: „Weißt du, wo sie sind?“ Sie sammeln dieses Bild und wo sie dieses Bild schützen. Wenn sie nicht in dieses Bild eingefügt werden oder dieses Bild verkaufen oder jemand hackt und das Dark Web für eine Pedaldatei eingibt, kontaktieren Sie mich am Ende des Verzeichnisses direkt, sagen Sie, es sei ein Albtraum, alle wenden sich an die Schulen und fragten über das Datenschutzprogramm.
Sie müssen echte Beispiele dafür geben, was im Leben passiert ist, damit die Menschen verstehen, dass es ein Problem ist. Ansonsten hatten wir viel bla, bla, bla, über Compliance und die Leute werden nichts tun. Und am Ende Investitionen. Wo Sie in Technologie und Schutz investieren, investieren Sie in den Fortbestand Ihres Unternehmens. Daran musst du denken. Nicht mehr über die Kosten. Sind nur Daten.
Cat Coode:
Ja, und wieder, es kostet, aber es ist diese Kosten wert. Vincent, was ist mit dir? Was sollten wir in diesen Plan einbauen? Woran sollten wir also denken, wenn wir in dem Moment, in dem wir einen Angriff haben, eine Liste mit Dingen haben, die wir tun sollen? Sicherlich weiß ich aus einer Domänenperspektive, was sollten wir uns ansehen?
Vincent D’Angelo:
Ja. Zunächst einmal, Patricia und Anu, ich liebe die Analogien, dass Sie alle darüber sprechen, das Haus in Ordnung zu bringen und die Haustür verschlossen zu halten. Die Analogie, die ich oft verwende, ist, dass Domains und DNS wie der Strom sind, der unsere Häuser antreibt. Niemand kümmert sich wirklich darum, bis das Champions-League-Finale stattfindet und Ihre Internetverbindung ausfällt, weil der Strom ausgefallen ist. Bei Domainnamen ist die Verwaltung der Domain also eine Kostenstelle. Domänennamen in DNS sind jedoch die Lebensader eines Unternehmens. Websites, E-Mail, Apps, VPN, Ihr Name, es wird von Ihren Domainnamen und Ihrem DNS betrieben. Ich könnte also tagelang über dieses Thema reden, aber ich halte es immer gerne einfach. Untersuchen Sie, wer Ihr Domain-Registrar ist. Das Unternehmen, Ihr Domain-Management- und DNS-Sicherheitsunternehmen.
Haben Sie einen Defense-in-Depth-Ansatz, um diese kritischen Vermögenswerte, Ihre Domainnamen, Ihre Zertifikate, Ihr DNS, zu sichern? Das Schlagwort des Tages, insbesondere in der Cyber-Versicherungswelt, ist heute MFA. Lassen Sie uns MFA verwenden. Wir alle wissen, dass es offensichtlich ein sehr notwendiges Werkzeug ist. Wenn es jedoch darum geht, Ihren Domainnamen, Ihr DNS-Portfolio, zu sichern, beginnt es mit MFA, aber es sind absolut mehrere Sicherheitsebenen, die eingerichtet werden sollten. Ich fasse sie also sozusagen zusammen, wir fassen sie als die Hygiene und die Kontrollen zusammen, die mit Ihrem Kerndomänenportfolio verbunden sind. Also Dinge wie dnsec demark, SPF, Dchem, Domänenregistrierungssperren.
Wenn wir also alles in Ordnung gebracht haben, schauen Sie nach außen, wie wird Ihr Marken- oder Firmenname im Internet durch die Erstellung betrügerischer Domainnamen, gefälschter Domains, gefälschter Subdomains und so weiter missbraucht? Dies sind die Bedrohungsfaktoren, bei denen wir uns heute in den frühen Phasen der Abwehr von Ransomware-Angriffen verlassen, die offensichtlich mit Phishing und geschäftlichen E-Mail-Kompromissen beginnen. Wir verlassen uns auf die erforderlichen Anwendungen, fortschrittliche Bedrohungsüberwachung und Schulungen zur Sensibilisierung für Phishing, was absolut entscheidend ist. Es gibt jedoch einige Dinge in Bezug auf die Domänensicherheit, die getan werden könnten, um einige der Risiken im Vorfeld, die mit diesen kaskadierenden Angriffen auf das Unternehmen verbunden sind, im Wesentlichen zu mindern. Hoffentlich habe ich es nicht zu kompliziert gemacht, aber ich würde mich auf diese beiden Bereiche konzentrieren.
Cat Coode:
Das ist großartig. Marco, wie bereiten Sie Ihr Team intern mit Schulungen oder Ihren Incident-Response-Plänen und -Richtlinien vor, wie bereiten Sie Ihr Unternehmen auf einen Angriff vor?
Marco Túllo Moraes:
Ja, in Bezug auf diese Themen des Panels sollten wir jeden einbeziehen, nicht nur unser internes Team, interne Ressourcen, die wir haben, und natürlich sollten wir nicht nur die technischen Teams berücksichtigen, sondern das gesamte Unternehmen, sie sprechen von der Rechtsabteilung . Und sie sprechen über das Kommunikationsteam, das PR-Team und natürlich die Geschäftsleitung, aber Sie sollten einige Szenarien üben, die externe Situationen berücksichtigen, wie wir über Angriffe auf die Lieferkette sprechen, und diese Leute in Ihre Szenarioplanung einbeziehen oder vielleicht einige Tabletop-Übungen oder was auch immer Sie verwenden, um es zu testen. Es ist also wichtig, dass diese Ausrichtung, wenn etwas passiert, Sie bereits den Weg zu gehen haben und es für Dritte getestet und ausgerichtet ist, bedenken Sie, dass Sie nach der wichtigsten Relevanz für Ihr Ökosystem suchen. Ich denke, das ist der Hauptpunkt meiner Seite.
Cat Coode:
Das ist großartig. Also habe ich versucht, einige der eingehenden Fragen zu integrieren. Erstaunliche Fragen. Wenn du sie hast, poste sie bitte. Nehmen Sie eine andere Frage aus dem Publikum. Wie bewertet die Versicherungsbranche aus Kostensicht bei der Risikominderung die Landschaft in Bezug auf die Anforderungen an die Deckung und letztendlich die Kosten für diese Deckung neu? Anu, du hast Erfahrung in der Versicherungsbranche, was denkst du hier?
Anu Kukar:
Ja, ich denke, das ist wirklich zeitgemäß. Die Branche durchläuft eine Reihe von Veränderungen. Es gab also auf jeden Fall [unhörbar 00:38:36] was ich besonders gesehen habe, ich habe das Gefühl, dass es eine Art Schub dafür gegeben hat und jetzt gab es diese Neubewertung, wie viel Versicherungsschutz und was gegeben werden kann Die Tatsache, dass wir uns jetzt in dieser Umgebung befinden, ist nicht, ob ein Cyber-Angriff stattfindet, sondern wann er stattfindet. Also, wie viel deckt diese Police ab und deckt sie ab, wenn Sie sich entschieden haben zu zahlen und dann in die Anti-Geldwäsche-Terrorgesetze einzusteigen. Aus meiner Erfahrung, nachdem ich die Art der Regulierungsänderung und die damit verbundenen Versicherungsbewertungen gesehen habe, habe ich das Gefühl, dass wir an einem wirklichen Wendepunkt stehen, an dem alles neu bewertet wird. Es gab einen großen Push, und jetzt habe ich das Gefühl, lasst uns einfach irgendwie … Und ich kann sehen, wie Marco nickt, während ein Sizer geht, es hat sich wirklich verändert. Das würde ich also von einer Risikominderung sagen, ich denke, es gab einen ersten Schub und jetzt ist es eine Art, lassen Sie uns neu bewerten. Und ich denke, es geht gleichermaßen um Organisationen, aber auch um die Versicherungsgesellschaft. Lassen Sie uns einfach neu bewerten, was wir anbieten und welchen Wert es bietet. Und ist es nachhaltig für sie?
Cat Coode:
Das ist fantastisch. Ja. Patricia, diese Frage ist direkt an dich gerichtet. Was haben Sie in Bezug auf Schulungen als Best Practices empfunden? [unhörbar 00:39:56] früher verwendete Frequenz verwenden. Was halten Sie davon, Mitarbeiter in Best Practices für Datenschutz und Cybersicherheit zu schulen?
Patricia Punder:
Nun, wenn wir über Datenschutz und Compliance und Governance sprechen, CSG, normalerweise sind wir professionelle Vertreter, wo wir viele amerikanische Begriffe verwenden, sehr technische Begriffe, die die Leute normalerweise nicht verstehen. Also mussten wir das humanisieren, versuchen, sie auf andere Weise zu erklären. Also ich liebe diese Methodik und verwende sie oft. Wenn ich über Compliance erkläre und über Datenschutz erkläre, verwende ich gerne reale Beispiele. Ich habe Ihnen zum Beispiel davon erzählt, bitte suchen Sie jetzt Ihre Kinder und fragen Sie in der Schule nach, wie sie das Image Ihrer Kinder schützen. Wenn Sie diese Methode anwenden, können Sie über sich selbst oder über jemanden oder über einen Fall sprechen, den Sie gesehen haben, oder Sie hören ihm zu. Und dann baust du die Geschichte über das Thema und die Leute auf, verstehst du. Das ist der Punkt.
Und die Art und Weise, wie Sie kommunizieren, ist für Techniker sehr einfach. Datenschutz ist ein Gesetz. Sie können nicht auf Phishing klicken. Du kannst das nicht machen. Junge Leute, verstehst du? Aber Menschen über 40 sagen: „Was zum Teufel? Was ist das?” Okay. Sie müssen also die Sprache so verwenden, wie sie die Menschen verstehen, wie Geschichtsgeschichten usw. Es gibt ein Buch, ein sehr altes Buch, aber vom Gründer von Ted, in dem Sie Schulungen mit dieser Methodik angeboten haben. Und ich benutze dieses Buch bis heute und bei wie vielen Auszubildenden sehen die Leute die ganze Zeit keine Nachricht mehr. Also bitte Compliance-Abteilungen, keine Nachricht über eine Compliance senden. Sie löschen. Ich habe einen Test in einem Unternehmen gemacht, in dem ich arbeite. Sie löschen. 80% löschen ohne hinzusehen.
Versuchen Sie also, über den Tellerrand hinaus zu denken, Popups zu platzieren, wenn Leute den Computer mit Ihrem sehr schönen Satz anmelden, Ihre Daten zu übernehmen. Es ist ein schlechtes Beispiel, aber Sie können lustig sein. Wenn Sie zum Beispiel darauf klicken, dass Sie festgehalten werden, bringen Sie Ihr Unternehmen in Gefahr, so etwas in der Art. Versuchen Sie, mehr zu sein … Fragen Sie die Leute nach dem Beispiel, setzen Sie die Leute während des Trainings ein und sagen Sie, dass Ihnen etwas passiert ist? Eines Tages frage ich während eines Trainings und ein sehr einfacher Typ sagte mir: „Ich habe eine Fußballmannschaft, die armen Menschen hilft. Und mein Blog wurde gehackt.“ Ich bin ein einfacher Mensch. Ich weiß nicht, wie das geht, aber mein Sohn kontrolliert den Block und er erklärte uns, und ich verwende dieses Beispiel in mehreren Schulungen, warum? Weil jetzt alle miteinander verbunden sind. Menschen, die Technologie verstehen, und Menschen, die sie nicht verstehen. Also mussten wir einen Mittelweg finden, wie wir das kommunizieren können. Verwenden Sie keine Fachwörter. Sie mögen nicht … [Übersprechen 00:43:39] Ja.
Cat Coode:
Ja. Stimmt.
Patricia Punder:
Ja. Haben Sie mehr Empathie mit Menschen über Technologie
Cat Coode:
Und begegne ihnen auf ihrer Ebene. Treffen Sie Menschen auf der Ebene, auf der sie getroffen werden möchten, um mit ihnen zu sprechen.
Patricia Punder:
Und sei lustig.
Cat Coode:
Und sei lustig. Sei immer lustig. Wir haben nur noch ein paar Minuten und ich möchte von allen noch etwas zum Mitnehmen bekommen. Eine Sache, die ich jedoch nicht erwähnt habe, war eine Menge Disaster Recovery und Business Continuity. Also macht sicher Backups, Backups, Backups. Sie haben einen Ransomware-Angriff und Sie haben ein Backup. Sie können dort hineinschlüpfen, kein Ransomware-Angriff mehr, aber stellen Sie sicher, dass Sie Business-Continuity- und Disaster-Recovery-Pläne haben, die wiederum nicht nur ein Stück Papier sind, das irgendwo in einem Aktenschrank liegt. Es ist etwas, das Sie getestet haben. Es ist etwas, von dem Sie wissen, dass es funktioniert. Du hast diesen Umschwung. Halten Sie also die großartigen Ideen aller fest. Eine Erkenntnis, die jemand heute mitnehmen und in die Tat umsetzen könnte, die ihm helfen würde, Angriffe auf die Lieferkette abzuschwächen und zu bewältigen. Vincent, was denkst du?
Vincent D’Angelo:
Ja, da konnte ich nicht widerstehen. Also brachte Patricia die Fußball-Analogie zur Sprache, aber wir sagen die globale Fußball-Analogie, richtig? So ist es, die Spiele werden meiner Meinung nach im Mittelfeld-Fußball gewonnen, ebenso wie im American Football, es ist die Offensive und Defensive Line. Da ist das Spiel gewonnen. Mein einziger Ratschlag lautet: Verlassen Sie sich bei der Lösung des Phishing-Problems nicht ausschließlich auf den Menschen. Wir sind das schwächste Glied. Es gibt proaktive Maßnahmen, die das Unternehmen heute ergreifen könnte und die Teil der Phishing-Abwehr-Toolbox werden könnten. Sichern Sie Ihre Domainnamen und behalten Sie im Auge, wie schlechte Akteure über Sie sprechen und sich in der Domain im DNS-Ökosystem über Sie registrieren. Das ist alles, was ich von meiner Seite habe.
Cat Coode:
Das ist großartig.
Vincent D’Angelo:
Katze, danke.
Cat Coode:
Danke. Marco, was ist mit dir? Was nehmen Sie heute mit?
Marco Túllo Moraes:
Ja, wir haben den Punkt angesprochen, Cat. Ich denke also, dass die Hauptsache bei den Risiken darin besteht, strategisch in die Vorarbeit zu denken, wie man vorbereitet ist. BCM ist also super wichtig, aber Sie sollten BCM als strategische Perspektive betrachten. Was sollten wir also tun, wenn Sie nur einem Cloud-Anbieter vertrauen, und wenn dies fehlschlägt, was sollten wir tun? Oder wenn Sie nur eine große, wichtige Software im Unternehmen haben, ist das die Hauptsache, die unsere Organisation aufrechterhält. Was sollen wir tun, wenn sie dabei einen Fehler haben? Und das Gleiche gilt für einen Verstoß oder was auch immer in der Lieferkette passiert. Wie sollen wir also reagieren?
Manchmal haben wir einen Plan, aber es geht nur darum, abzuwarten und die Auswirkungen zu sehen und den Dienst einzurichten, oder darüber nachzudenken, wie Sie im Falle eines Verstoßes vorgehen werden und wie wir reagieren können, um einen weiteren einzuführen ihren Platz haben und in der Lage sein, weiter zu arbeiten und weiter zu arbeiten und Service und Produkte für Ihre Kunden bereitzustellen. Denken Sie also strategisch über all diese Risiken von Angriffen auf die Lieferkette nach.
Cat Coode:
Das ist großartig. Anu?
Anu Kukar:
Also werde ich sagen, dass das eine Essen zum Mitnehmen ein Bonus sein wird. Es ist eins mit dem anderen verbunden. Ich habe also bereits den einen gesagt, der wirklich sofort auf Ihr Unternehmen achtet und als Sicherheitsteil beim Onboarding, Management und Verlassen jeder Lieferkette von Drittanbietern fungiert. Ich denke, das ist eine wirklich einfache Überprüfung, die jeder durchführen kann. Dabei ist eines der häufigsten Dinge, die ich finde, die Leute sagen: „Wir haben nicht genug Leute. Wir haben nicht genug Leute für Cybersicherheit. Es gibt weltweit einen Fachkräftemangel.“ Und meine wichtigste Erkenntnis daraus wird sein, dass Ihnen wahrscheinlich nicht gefallen wird, was Sie finden, wenn Sie diese Überprüfungen über den Lebenszyklus hinweg durchführen, und ein Teil der Herausforderung wird sein: „Wir haben einen Fachkräftemangel. Ich brauche mehr Leute.“ Mein wichtigstes Fazit ist also, warum nicht versuchen, eine Gelegenheit anzubieten, mit jemandem aus dem Bereich Governance, Risk Compliance [unverständlich 00:48:09] zu sprechen, ihn fragen, ob er daran interessiert ist, sich dem Cyber-Bereich anzuschließen oder seine Karriere aufzubauen, er tut es nicht aufgeben und die Karriere komplett wechseln müssen, aber sie können tatsächlich viel Supply-Chain-Wissen mitbringen, und Sie können sie in Sachen Sicherheit weiterbilden. Und los geht’s. Sie haben eine Win-Win-Situation.
Cat Coode:
Fantastisch. Das ist ein toller Vorschlag. Und Patricia, wie stehst du heute zu Menschen?
Patricia Punder:
Jeder hat vergessen, dass der Krisenausschuss in jedem Compliance-Programm obligatorisch ist, und dieser Krisenausschuss kann jetzt das Datenschutzprogramm und die Compliance-Lieferkette, HR, IT umfassen, sie sind Mitglieder und sie mussten jeden Monat Sitzungen abhalten. Sie mussten darüber diskutieren, BAC zu spielen. Sie mussten das Risikoniveau ihres Unternehmens in allen Aspekten, einschließlich des Datenschutzes, verstehen und wissen, was zu tun ist, wenn etwas Schlimmes passiert. Wen rufst du an? Wir brauchen einen externen Experten. Wir haben nicht nur die Daten auf den Servern, wir haben sie in Clouds, wir mussten den Krisenausschuss verbessern, weil der Krisenausschuss heute jemand ist, der, okay, eine Krise passiert ist, was tun? Oh, haben Sie eine Zeitung hier. Sie müssen also keine neuen Dinge erstellen. Sie müssen die Antworten haben. Es geht nur darum, ein Tun nach Vorschrift umzusetzen. Wie Vincent uns sagte, ja, Menschen, Sie sind das schwache Glied in Bezug auf den Datenschutz.
Vincent D’Angelo:
Patricia, nur ein Gedanke. Wir haben die Krisenmanagementpläne, die wir haben, in Gang gebracht, und dazu beraten wir unsere Kunden. Haben Sie eine Backup-Methode für E-Mails, weil jeder denkt, dass E-Mails ständig in Betrieb sein werden. Wenn Ihre Domain im DNS angegriffen wird, wird Ihre E-Mail nicht mehr aufgelöst. Und viele Menschen denken in ihren Krisenmanagementplänen nicht daran. Es ist wie der Strom, der Ihr Zuhause mit Strom versorgt. Es wird immer da sein. Verwenden Sie Backup-Kommunikationsmethoden und mehrere Ebenen, da Sie während des Krisenmanagements häufig Zugriff haben möchten, um mit Ihren Kollegen und Sicherheits- und Rechtsabteilungen und so weiter kommunizieren zu können. So toll, toller Punkt, Patricia-
Patricia Punder:
Und Vincent, eines ist manchmal großartig, du schaffst eine Krise, eine Scheinkrise, um zu sehen, ob dein Krisenausschuss gut arbeitet.
Vincent D’Angelo:
Recht.
Cat Coode:
Absolut.
Patricia Punder:
Ja, wie Sicherheit-
Cat Coode:
Jeder sollte … [Übersprechen 00:51:04]
Patricia Punder:
… also erstellen Sie Ihre Krise, um zu verstehen, ob Ihre Richtlinien, Ihre Verfahren und die gesamte Technologie, die damit verbunden ist, gut funktionieren.
Cat Coode:
Ja. Und alle, die IOT oder intelligente Gebäude betreiben, haben bitte auch Backups für Ihren Zugang und Ihre Türen und alles andere, was auch elektrisch und in der Lieferkette läuft.
Ich möchte mich bei allen von diesem Panel für Ihr Wissen und Ihre Zeit bedanken. Der große Vorteil, den ich mit Sicherheit sehe, ist, dass es sich lohnt, Zeit und Geld in Ihr Unternehmen zu investieren, um diese Angriffe zu verhindern. Um sicherzustellen, dass Sie keinen Angriff auf die Lieferkette haben, müssen Sie sich die Zeit nehmen, Marco verwendete das Wort Strategie, die Strategien entwickeln, Ihren Krisenausschuss erstellen, Ihre Pläne angemessen erstellen, die richtige Technologie einsetzen und Stellen Sie sicher, dass Sie die Angriffe tatsächlich abgeschwächt haben, damit Sie sich nicht damit befassen müssen, wenn es passiert.
Nochmals vielen Dank an alle. Ich hoffe, Sie genießen heute den Tag mit PrivSec und wir sehen uns beim nächsten Mal.
Vincent D’Angelo:
Okay.
Patricia Punder:
Beifall.
Robert Bateman:
Vielen Dank an Cat und das Gremium. Das war eine wirklich tolle Sitzung. Einige wirklich praktische und praktische Ratschläge zur Verhinderung von Angriffen auf die Lieferkette. Ein Thema, das im Sicherheitsbereich mit den jüngsten Angriffen leider nicht an Relevanz verliert, immer sehr bekannt, immer viele Beispiele dafür, dass in der Lieferkette etwas schief geht. Also haben wir jetzt eine siebenminütige Pause. Wenn wir zurückkommen, werden wir eine Präsentation von unserem Freund bei Servicenow haben, schnell, intelligent und vernetzt. Ein erneuerter Ansatz für das Risikomanagement von Drittanbietern. Wir sehen uns hier um halb zwei, britischer Zeit dafür.
PrivSec-Weltforum
Teil der Digital Trust Europe Series – findet bis Mai, Juni und Juli 2022 statt und besucht fünf große Städte;
Brüssel | Stockholm | London | Dublin | Amsterdam
Das PrivSec World Forum ist eine zweitägige, persönliche Veranstaltung, die im Rahmen der Reihe Digital Trust Europe stattfindet. Datenschutz, Privatsphäre und Sicherheit sind wesentliche Elemente der betrieblichen Zusammensetzung jeder erfolgreichen Organisation. Diese Dinge richtig zu machen, kann das Vertrauen der Stakeholder stärken und jedes Unternehmen auf die nächste Stufe bringen.
Das PrivSec World Forum wird eine Reihe von Rednern aus weltbekannten Unternehmen und Branchen zusammenbringen – plus Vordenker und Experten, die Fallstudien und ihre Erfahrungen austauschen – damit Fachleute aus allen Bereichen zuhören, lernen und diskutieren können.
Topics
Preventing Supply Chain Attacks: Best Practice
- 1
- 2
- 3Currently reading
Angriffe auf die Lieferkette verhindern: Best Practice
No comments yet