Während dieser Geek Street Roundtable-Diskussion am zweiten Tag der InfoSecurity Europe 2022 diskutierten Nigel Stanley, Director of Cybersecurity bei Jacobs, und andere führende Sicherheitsexperten darüber, wie man die Risiken von OT-Systemen (Operational Technology) managt, Prozesse für das Incident Management entwickelt und Lösungen für den Risikotransfer einsetzt, um kritische Infrastrukturbereiche besser zu schützen.
Stanley begann mit einer grundlegenden Definition dessen, was OT in der Praxis ausmacht, nämlich „Computer, die physische Dinge steuern oder überwachen“. Es folgte ein Blick auf die aktuellen Trends, die zu Cyber-Risiken führen. Stanley ist der Ansicht, dass Unternehmen mit einem „perfekten Sturm“ konfrontiert sind, der sich aus drei Faktoren zusammensetzt: einer Vergrößerung der Angriffsfläche, zunehmend „motivierten, raffinierten und zunehmend zerstörerischen“ Angreifern, die es auf OT-Systeme abgesehen haben, und einer Vielzahl von Unternehmen, die weder einen Überblick über ihre OT-Risiken noch ein ausreichendes Verständnis ihrer OT-Anlagen haben.
Die Diskussion konzentrierte sich dann auf die Auswirkungen der OT auf das Geschäftsrisiko, wobei Stanley betonte, wie wichtig es ist, OT-Netzwerke aufzubauen, die effektiv mit der IT zusammenarbeiten, und die Notwendigkeit einer guten Netzwerksegmentierung und einer DMZ hervorhob. Der Schwerpunkt des Gesprächs verlagerte sich dann auf die Notwendigkeit einer effektiven Rekrutierung von Personal mit einschlägigem Fachwissen, ein schwieriges Unterfangen, insbesondere bei der Rekrutierung von Personen, die ein intuitives Verständnis sowohl für die OT- als auch für die IT-Welt haben.
Gegen Ende der Sitzung konzentrierte sich die Gesprächsrunde auf die erheblichen Probleme bei der Messung von OT-Risiken und die Notwendigkeit, diese ganzheitlich anzugehen, mit Überlegungen, wie quantitative und qualitative Methoden am besten kombiniert werden können, um ein vollständiges Bild bei der Bewertung und dem Verständnis von OT-Risiken zu erhalten.
Die größte Einigkeit herrschte in der Sitzung bei der Diskussion über bewährte Verfahren zur Sensibilisierung für OT-Risiken, wobei sich die Zuhörer einig waren, dass Organisationen einen „umfassenden Mechanismus zum Verständnis von OT“ von „unten nach oben“ benötigen. Als primärer Mechanismus wurde die „Macht der Geschichte“ vorgeschlagen, die dabei helfen könnte, das volle Ausmaß der OT-Systemrisiken auf effektive und fesselnde Weise darzustellen. Die Teilnehmer waren der Meinung, dass dies einen wichtigen Beitrag zur Aufklärung von Personal und Unternehmen leisten könnte und dass dieser Ansatz auch durch die Einbeziehung prominenter OT-Sicherheitsvorfälle verstärkt werden könnte, indem die Notwendigkeit eines robusten OT-Cybervorfall-Reaktionsprozesses durch Erzählungen verdeutlicht wird, um Reputationsschäden, Produktionsverluste, Aktienwertverluste und Auswirkungen auf die lokale Gemeinschaft zu vermeiden.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com