Die meisten Mitglieder der Sicherheitsgemeinschaft erkennen die Notwendigkeit einer verbesserten Sicherheitskultur an – das heißt systemisches Unternehmensbewusstsein, Messung und Überwachung zur Verbesserung der Cybersicherheit, um das Gesamtrisiko zu senken. Schau einfach auf Kim Zetters Keynote zu Black Hat USA 2022, die entscheidende Sicherheitsverbesserungen in der gesamten kritischen Infrastruktur forderte.
Oftmals ist das Hindernis für eine wirksame Sicherheit nicht unbedingt technischer Natur, sondern vielmehr ein kulturelles Problem. Viele setzen Benutzerschulung und -schulung oft fälschlicherweise mit dem gleich Schaffung einer Sicherheitskultur. Bei der Benutzerschulung geht es um den Informationsaustausch über Probleme und Verpflichtungen – während es bei der Sicherheitskultur um Verhaltensänderungen zur Unterstützung der Sicherheit geht.
Aufbau einer Sicherheitskultur durch Benutzerbewusstsein
Obwohl das Bewusstsein der Benutzer und der Aufbau einer Sicherheitskultur unterschiedliche Übungen mit unterschiedlichen Herausforderungen sind, haben sie eine Gemeinsamkeit: Sie erfordern ernsthafte Aufmerksamkeit und Unterstützung. In Anbetracht dessen ergänzen sich diese beiden Übungen tatsächlich.
Bedenken Sie Folgendes: Während es viele Debatten über CISO-Berichtsstrukturen gibt, hängt die Unterstützung, die für die Förderung einer Sicherheitskultur erforderlich ist, nicht von dieser Hierarchie ab; es ist abhängig von der Änderung des Benutzerverhaltens durch allgemein anerkannte Geschäftsvorgänge. Diese ganzheitliche Geschäftsprozessmodifikation ist der Grund, warum die Sicherheitskultur von oben nach unten vorangetrieben werden muss.
Das Benutzerbewusstsein sollte in die Sicherheitstools eines Unternehmens integriert und so konsequent durchgeführt werden wie das Durchsuchen der Systeme nach Hinweisen auf eine Kompromittierung. Die Sensibilisierung der Benutzer ersetzt nicht die Schaffung einer Sicherheitskultur und ist nicht mit ihr gleichzusetzen – vielmehr ist sie ein notwendiger Bestandteil jeder effektiven Sicherheitskultur.
Einsteigen
Eigenverantwortung und Unterstützung für die Schaffung einer Sicherheitskultur müssen auf Vorstandsebene vorangetrieben werden. Denn während viele Exploits und Angriffe nicht mehr als eine weitere zu bewältigende Sicherheitswarnung sind, entstehen ernsthafte Risiken, wenn sich ein erfahrener Angreifer einmischt. Wie ich immer sage: Amateure hacken Systeme; Profis hacken Menschen. Das Hacken des Menschen als Sicherheitsrisikokategorie hat eine hohe Erfolgsausbeute und geht über technologische Schutzmaßnahmen hinaus.
Der Trick besteht darin, den menschlichen Bediener vor den Fallstricken der menschlichen Natur zu schützen, indem er das Verhalten kontrolliert und formt. Dies erfordert oft ein kritisches Nachdenken über tief verwurzelte Geschäftspraktiken. Die Unterstützung für die Umsetzung notwendiger Veränderungen wird stark von Top-down-Einflüssen abhängen.
Sicherheitskultur in OT-Umgebungen
OT-Umgebungen stehen vor noch größeren Herausforderungen bei der Untersuchung und Pflege ihrer Sicherheitskultur. Geschäftsanwender spielen nicht nur eine wesentliche Rolle, sondern OT-Ingenieure sind ebenso wichtig, um Sicherheitsvorfälle zu verhindern und darauf zu reagieren.
Die Beziehung zwischen IT und OT Hier erfordert die Schaffung einer ganzheitlichen Sicherheitskultur Unterstützung von oben nach unten, um die gesamten Geschäfts- und Betriebsprozesse kritisch zu betrachten. Dinge, die die ernsthaftesten Versuche, Sicherheitsbemühungen zu stützen, torpedieren können, könnten so ahnungslos sein wie der Abrechnungsprozess für die Anwendung von Budgets auf die einzelnen Standorte oder die Wahrnehmung der Verantwortung für die Sicherheit.
Während diese Beispiele nur die Spitze des Eisbergs sind, ist es wichtig, ein ganzheitliches und kontinuierliches Prozessverbesserungsprogramm innerhalb der Organisation zu erstellen, um weiterhin zu fragen: „Wie könnte unsere Sicherheitskultur verbessert werden?“
Sicherheitskultur in IT-Umgebungen
Im Gegensatz zur OT ist das Erkennen des Bedarfs an Technologien in der IT gut definiert. Asset-Inventarisierung und -Sichtbarkeit sind beispielsweise ein Commodity-Produktset für die IT. Es gibt viele Asset-Management-Anbieter, aus denen Sie wählen können, und ein erfahrenes IT-Team kann diese Tools schnell übernehmen. Der Prozess der Technologieauswahl kann durch einen IT-zentrierten Prozess beeinflusst werden. Es können kulturelle Veränderungen gefunden werden, die besser zur Auswahl passen würden ergänzende Produkte auf der OT-Seite.
Asset-Inventarisierung, Schwachstellen- und Risikomanagement sind in OT aufgrund der Art der Technologie und Topologie eine größere Herausforderung. Das Personal sind in der Regel Ingenieure, die auf den Prozess spezialisiert sind, und nicht unbedingt die Werkzeuge (Systeme), die mit der Interaktion mit den Vorgängen sich bewegender Moleküle interagieren. Die Eigentümer von OT-Ressourcen haben einen anderen Missionsfokus als IT-Eigentümer, und ihre Schulung umfasst nicht unbedingt Sicherheit. Die Schaffung einer Sicherheitskultur muss diese unterschiedlichen Denkweisen berücksichtigen und nachvollziehbare Taktiken anwenden, um das Verhalten zu ändern.
Mischen von Kulturen: IT und OT
Ein risikobasierter Ansatz wird IT- und OT-Experten helfen, indem er Schlüsselkennzahlen wie Leben, Gesundheit, Sicherheit standardisiert, ganz zu schweigen von den Auswirkungen auf Produktionskapazität und -effizienz. Dieser Ansatz sollte auch die maximal tolerierbare Ausfallzeit (MTD) und die mittlere Zeit bis zur Wiederherstellung (MTR) umfassen.
Dies wird Antworten darauf geben, warum Mitarbeiter sich um Sicherheit kümmern sollten. Organisationen werden dem kollektiven Team eine Chance auf Erfolg geben wollen. Bei der Betrachtung von Geschäftsprozessen für die gruppenübergreifende Zuweisung von Aufgaben können subtile Änderungen sichtbar werden, wenn sie durch eine Sicherheitsbrille betrachtet werden. Während der Systembesitz aufgrund inhärenter, betrieblich bedingter Anforderungen zweigeteilt bleiben muss, müssen die IT-/Sicherheits-/OT-Teams alle im Gleichschritt zusammenarbeiten, um kritische Schwachstellen, potenzielle Sicherheitsereignisse und die Reaktion/Wiederherstellung von Vorfällen anzugehen. Schnelligkeit und Effizienz stehen im Vordergrund.
Dies sind nur zwei Aspekte der Schaffung einer Sicherheitskultur, dienen aber als hervorragendes Beispiel dafür, warum es bei der Verhaltensänderung um mehr geht als um den einfachen Informationsaustausch. Die Schaffung einer Sicherheitskultur ist für jedes Unternehmen von entscheidender Bedeutung, um die Investitionen in Sicherheitstechnologie zu steigern, ist jedoch für das Überleben eines OT-Betreibers im schnelllebigen Reaktionsprozess auf Sicherheitsverletzungen unerlässlich.
