Bei der Anhörung des Sicherheitskomitees des US-Heimatschutzministeriums zum Thema „Mobilizing our Cyber Defenses: Securing Critical Infrastructure Against Russian Cyber Threats“ trat Amit Yoran, Chairman und CEO von Tenable, als Zeuge auf. Er liefert eine fundierte Einschätzung der IT/OT-Sicherheitslage angesichts möglicher Bedrohungen aus Russland.
Im Folgenden finden Sie einige Zitate aus seiner mündlichen Aussage. Er beantwortete auch Fragen von Ausschussmitgliedern zur Rolle der CISA (Cybersecurity & Infrastructure Security Agency) und JCDC (Joint Cyber Defense Collaborative) beim Management von und der Reaktion auf Vorfälle, zum rasanten Tempo der Veränderungen, die sich auf die IT/OT-Konvergenz auswirken, und zum Informationsaustausch zwischen dem öffentlichen und dem privaten Sektor.
- LAPSUS$ hat gezeigt, dass eine Gruppe von Teenagern mit einem Budget von nur 25.000 Dollar in Unternehmen mit ausgereiften Cybersicherheitspraktiken eindringen kann. Stellen Sie sich vor, Russland hätte viel mehr Geld zur Verfügung, wäre viel zielstrebiger und hätte es auf kritische Infrastrukturen (KRITIS) abgesehen. Das sollte ein ernüchternder, wenn nicht gar erschreckender Aufruf zum Handeln sein.
- Die Regierungspolitik sollte keine „erlernte Hilflosigkeit“ von Regierungsbehörden oder der Privatwirtschaft zulassen. Es steht zu viel auf dem Spiel, als dass Einzelpersonen und Unternehmen nachlässig bleiben und nicht einmal die grundlegenden Schritte zur Verbesserung ihrer Cybersicherheit und zum proaktiven Management von Cyberrisiken umsetzen können.
- Die CISA hat im Rahmen ihrer Shields Up-Initiative bereits Best Practices empfohlen, die Unternehmen umsetzen können, um sich in Bezug auf Cyberrisiken vorzubereiten. Diese Empfehlungen decken sich weitgehend mit den Best-Practice-Empfehlungen zahlreicher Sicherheitsinitiativen, Branchenverbände, Arbeitsgruppen und Aufsichtsbehörden. Unternehmen, die diese grundlegenden Schritte nicht umsetzen, sollten zur Rechenschaft gezogen werden.
- Der Vorschlag der SEC (Securities and Exchange Commission) für Cybersicherheits-Risikomanagement, Strategie, Governance und Offenlegung sowie die kürzlich verabschiedete Gesetzgebung zur Meldung von Cybersicherheitsvorfällen, die eine rechtzeitige und transparente Meldung vorsieht, sind die beiden Maßnahmen, die unsere Cybersicherheitsbereitschaft als Nation am deutlichsten verbessern würden. Die Forderung nach größerer Transparenz bei Cyberrisikopraktiken und Aufsicht zwingt Unternehmen dazu, Cybersicherheitsrisiken als Geschäftsrisiken zu behandeln. Dies wird zu einer stärkeren Cybersicherheits-Governance und Rechenschaftspflicht bei Unternehmensleitern und Vorständen führen – und somit zu einer effektiveren Cybersicherheit.