Manufaturação industrial
Internet das coisas industrial | Materiais industriais | Manutenção e reparo de equipamentos | Programação industrial |
home  MfgRobots >> Manufaturação industrial >  >> Industrial Internet of Things >> Integrado

Ataque SolarWinds destaca a necessidade de decisão de segurança cibernética no nível do conselho


O hack da SolarWinds revelado em dezembro de 2020 destaca a facilidade com que as cadeias de suprimentos de software e sistema podem ser alvos fáceis se não houver uma boa política de segurança cibernética incorporada em uma organização.

No comunicado oficial, a Cybersecurity &Infrastructure Security Agency (CISA), disse que os compromissos das agências governamentais dos EUA, entidades de infraestrutura crítica e organizações do setor privado por um ator de ameaça persistente avançada (APT) começaram pelo menos em março de 2020. E que a APT ator demonstrou paciência, segurança operacional e habilidade comercial complexa nessas intrusões. “A CISA espera que a remoção desse ator de ameaça de ambientes comprometidos seja altamente complexa e desafiadora para as organizações.” Os vetores de infecção detalhados e mitigações de comprometimento estão listados na declaração aqui.

A leitura de seus detalhes confirma muito do que nos é dito em briefings no embedded.com e EE Times sobre os tópicos de segurança da Internet das coisas (IoT) e cibersegurança de especialistas em segurança da indústria de semicondutores e de empresas que oferecem elementos, dispositivos, provisionamento e segurança seguros Gerenciamento do ciclo de vida.

Realmente me surpreende que tais violações possam ocorrer quando departamentos governamentais em todo o mundo são tão paranóicos com a segurança, mas se tornam completamente vulneráveis ​​por meio de sistemas de terceiros, fornecedores de software e dispositivos que parecem pular os mecanismos e políticas de segurança adequados. Lembro-me, mesmo trabalhando como empreiteiro para o governo britânico há alguns anos, a quantidade de treinamento em segurança, a consciência de que sempre precisávamos estar cientes. Apenas um pequeno exemplo foi como fiquei paranóico por nunca deixar meu laptop em um carro trancado ou em qualquer outro lugar quando viajava a negócios. Sempre tinha que ser na minha pessoa ou perto de mim onde eu pudesse ver. Claro que havia muitas outras coisas que tínhamos que observar diligentemente.

Mas a violação da SolarWinds é mais uma questão de política fundamental sobre se a segurança deve ser apenas responsabilidade dos designers de sistemas de hardware e software ou ser levada mais a sério em um nível superior da organização.

Portanto, é oportuno que o consultor de finanças corporativas Woodside Capital Partners produza um relatório descrevendo 'sete lições para CEOs, diretores, membros do conselho e empresas de capital privado. Escrito por seu diretor-gerente, Nishant Jadhav, o relatório afirma que o ataque à cadeia de suprimentos da SolarWinds sublinhou a necessidade de um entendimento mais profundo da segurança cibernética no nível do executivo e do conselho. Em meio a um mundo de ameaças persistentes avançadas que potencialmente se escondem na maioria dos ambientes de negócios invisíveis às ferramentas de vigilância, é cada vez mais importante proteger a reputação e o valor da empresa em face do desconhecido.

A principal coisa que executivos, consultores e investidores precisam perguntar, diz ele, é se a empresa pode responder no nível do conselho se tem garantia cibernética. Aqui estão suas sete lições.

Lição um:adote uma mentalidade de segurança em primeiro lugar em relação à conformidade - de cima para baixo

Uma mentalidade de segurança em primeiro lugar implica que a equipe de liderança executiva e o conselho entendam os riscos apresentados a essa empresa específica. Implica também que a empresa compreenda os riscos que cria para os seus clientes e parceiros. A mentalidade de conformidade em primeiro lugar, por outro lado, é uma corrida para apenas fazer o mínimo para receber uma nota de aprovação. Uma mentalidade de conformidade em primeiro lugar é regressiva, pois mede sua linha de base no dia do ataque e fornece garantia por um período fixo de tempo no futuro. Infelizmente, essa é uma estratégia falha para a proteção da cibersegurança, visto que as ameaças estão em constante evolução e se tornando mais sofisticadas com os adversários do estado em jogo. A equipe de liderança executiva, junto com o conselho administrativo, precisa aprovar trimestralmente qual é a postura de ameaça de uma empresa.

Lição dois:os diretores de segurança da informação (CISOs) devem fazer parte da equipe de liderança executiva, e não apenas se reportar ao chefe de tecnologia da informação

Bons CISOs são treinados para pensar sobre vetores de ameaças contínuas e superfícies de ataque em evolução para sua empresa como um todo. Isso inclui vazamento inadvertido de dados de suas fileiras de enfrentamento do cliente, riscos para os clientes de usar seus produtos e os riscos da sua empresa na implantação de tecnologias para seu próprio uso. Como resultado, o CISO deve tocar todas as facetas do negócio e ter ampla influência como um líder de linha para necessitar de mudanças em um nível atômico. O CISO deve ser responsabilizado por garantir que suas recomendações tenham penetrado nas fileiras e que a proteção contínua e a exposição ao risco sejam mensuráveis ​​a qualquer momento. Isso parece oneroso e pode ser político, mas as responsabilidades como resultado de um ataque que cega a empresa e não pode contê-la podem ser devastadoras - temporariamente no mercado de capitais e permanentemente do ponto de vista da reputação.

Lição três:KPIs para CISOs devem incluir proteção e remediação contínuas

Parece ser uma prática comum demitir um CISO assim que uma nova violação é descoberta em uma rede, mas essa linha de pensamento é ineficaz e arcaica. Em vez disso, é a conversa sobre as responsabilidades do CISO após uma ameaça que precisa mudar. Capacite o CISO com um orçamento de segurança alinhado com a lacuna de segurança da empresa. Além disso, avalie o sucesso não apenas no tempo de atividade do negócio em um determinado trimestre, mas também na conscientização gerada dentro de cada facção do negócio ao longo do tempo. Adicione a essa combinação KPIs em torno de como a empresa responderá a uma ameaça que se origina fora da esfera de sua própria organização, como o caso da SolarWinds. Modele esse comportamento e seu impacto para seus clientes e sua reputação e, subsequentemente, sua avaliação / preço das ações.

Lição quatro:um provedor / parceiro de solução confiável não significa um parceiro seguro

O ataque à cadeia de suprimentos da SolarWinds provou que as ameaças podem estar fora do controle de suas melhores práticas de segurança. Em essência, nenhum parceiro é um parceiro seguro, não importa o tamanho da empresa e a reputação de suas práticas de segurança. A criação de uma rede “sem ar” na qual novos produtos são incubados pode mitigar a infiltração de ameaças por meio de soluções de parceiros confiáveis.

Lição cinco:comprometer a segurança é a alavanca errada para aumentar a lucratividade

A Woodside Capital (WCP) prevê uma métrica de avaliação chave para uma empresa, sendo seu valor de avaliação da postura de segurança - um “grau cibernético”. O grau cibernético sendo medido nos investimentos em tecnologia e treinamento para as políticas de proteção contínua dos próprios ativos da empresa, bem como os riscos para os clientes e parceiros da empresa. Um fator chave neste grau cibernético também serão os esforços de remediação que a empresa já colocou em prática em face de ameaças anteriores e o tempo necessário para responder (ponderado pela gravidade da ameaça). Quanto maior o grau cibernético, maior será a avaliação dessa empresa. As empresas de private equity (PE) especializadas em empresas de cibersegurança devem prestar mais atenção às classificações cibernéticas de suas empresas de portfólio, e não abandoná-las por causa da lucratividade no curto prazo. A recomendação do WCP para cerca de 5.000 empresas privadas de segurança cibernética é criar uma versão de sua classificação cibernética que resuma seu compromisso contínuo com a segurança cibernética e envolvimento em nível de equipe de liderança executiva para atingir esses resultados. Na ausência de um padrão amplo do setor, é mais fácil definir um conjunto básico de diretrizes que a equipe de liderança executiva e o conselho podem mostrar, o que os diferencia como uma empresa que prioriza a segurança.

Lição seis:o seguro cibernético precisa de uma análise mais detalhada no nível do conselho

A maioria das apólices de seguro cibernético oferece cobertura para perdas financeiras resultantes de violação de dados ou acesso não autorizado ou divulgação de informações pessoais ou protegidas. Algumas seguradoras oferecem endossos adicionais ou cláusulas de apólices específicas e cobertura para perdas causadas por vários outros meios, como engenharia social (ou seja, uma violação causada por phishing), cobertura específica para perdas de cartão de crédito e ataques de negação de serviço, como ransomware e muito mais. Mas um ataque à cadeia de suprimentos como este muda o campo de jogo. Isso não pode ser considerado um ato de Deus, uma vez que existem perpetradores reais causando danos a uma empresa fora do controle de ferramentas gerenciáveis ​​que uma pessoa prudente poderia usar. O CISO deve envolver o conselho para exigir novas apólices de seguro cibernético que incluam a exposição a agentes estatais mal-intencionados e ataques à cadeia de suprimentos. Essas políticas devem abranger um intervalo de tempo mais amplo, pois os danos generalizados subsequentes dessas ameaças podem se estender por muitos meses e anos após um ataque.

Lição Sete:proteção contínua da reputação

Apesar dos melhores esforços, uma violação pode atingir uma empresa a qualquer momento e pode ter um impacto tangível nos negócios. As perguntas óbvias aqui são:

A resposta está nas ações contínuas que a equipe de liderança executiva e o conselho realizam para mostrar que a segurança cibernética é um diferencial fundamental para sua empresa - segurança em primeiro lugar, classificações cibernéticas. Que eles aprenderam com seus próprios erros e os erros de outros para melhorar continuamente a postura de ameaça da empresa e reduzir as superfícies de ataque para ela e seus clientes. Isso inclui melhor cobertura de seguro cibernético e melhores políticas de remediação da empresa para seus clientes. É importante destacar que a empresa continua a investir e educar sua força de trabalho sobre segurança cibernética. Essencialmente, se a empresa criou garantia cibernética para si mesma e pode passá-la para seus clientes e parceiros, ela estará em melhor posição para proteger sua reputação a longo prazo.

O relatório do WCP segue listando várias empresas em estágio de crescimento que oferecem os blocos de construção de uma estratégia holística de garantia cibernética, desde gerenciamento de risco e remediação de ameaças até seguro cibernético. O relatório está disponível aqui.

Integrado

  1. Segurança para IoT:O que a IoT Industrial pode aprender com o recente ataque DDoS?
  2. A segurança na nuvem é o futuro da cibersegurança
  3. Inventário virtual e impressão 3D:a necessidade de segurança
  4. TDK mostra os destaques de seus produtos para tecnologias incorporadas
  5. Eu realmente preciso de treinamento para meu CMMS?
  6. Adaptação da cibersegurança
  7. Por que a segurança cibernética é essencial para a tranquilidade da segurança física
  8. Preparando seu local de trabalho para a cannabis
  9. 5G e Edge levantam novos desafios de segurança cibernética para 2021
  10. As 10 principais empresas de segurança cibernética para o setor de manufatura